Макость.2014 - эволюция яблочных паразитов.

e_kaspersky — 25.09.2014 Есть ли вирусы на Маке?

Да! Есть! Но что-то подозрительно давно ничего интересного на эту тему я здесь не рассказывал.

Прошло 2,5 года с момента глобальной эпидемии червя Flashback, заразившего 700 тыс. Маков по всему миру. Мы тогда немного пошумели по этому поводу для "поднятия тонуса" среди маководов – и потом тишина...

Для человека со стороны может показаться, что с тех пор на этом фронте было полнейшее затишье и ни один вредонос не потревожил спокойствие водной глади в яблочной бухте. Но это не совсем так.



Да, если сравнивать уровень зловредства на разных платформах, то в "лидерах", как обычно, - самая распространённая платформа Microsoft Windows. Со значительным отрывом за ней следует Android. За прошедшие пару-тройку лет компьютерные негодяи всерьёз взялись за зелёного робота и потрошат Android-устройства с экспоненциально нарастающей активностью. В мире Айфонов и Айпадов пока практически абсолютный ноль, за исключением редких шпионских атак, умудряющихся заражать сверхбезопасные гаджеты разными экзотическими способами. В среде Маков тоже пока тишь да благодать... но уже не столь безмятежная. И про это будет рассказ.

Краткое содержание:

• количество новых мак-зловредов за год исчисляется уже сотнями;


• за 8 месяцев 2014г. обнаружено 25 семейств мак-зловредов;


• вероятность подхватить мак-неприятность составляет приблизительно 3%.

Если надкусить копнуть поглубже и посмотреть на ситуацию изнутри, с точки зрения эксперта по вирусам, то картинка гораздо менее радостная. Мак-угрозы эволюционировали, восприятие Мак-безопасности среди пользователей изменилось и самый главный вопрос - что нам ждать в будущем? Без эмоций, только цифры, факты, хладнокровный анализ и непредвзятое обсуждение в комментах приветствуется.

Прежде всего – фронтовые сводки.

Что такого интересного стряслось с вирусной угрозой для Маков за последние годы? Начну вот с такого красноречивого графика. Это количество вредоносных Mac OS X файлов в нашей коллекции. Сколько мы отлавливаем новых Мак-зловредов ежегодно.

2014* - оценка

Как видно из графика, всего 4 года назад "зловредный яблочный улов" измерялся всего-то несколькими десятками штук в год, но в 2011м году наступил резкий перелом и на протяжении последних лет количество новых мак-зловредов за год исчисляется уже сотнями.

Что именно отлавливается?

За 8 месяцев этого (2014) года мы поймали и задетектили почти тысячу уникальных атак на Маки, которые группируются в 25 основных семейств. Пару слов о самых интересных экземплярах:

• Backdoor.OSX.Callme – распространяется в теле специально сконструированного документа MS Word, который при запуске через уязвимость устанавливает в систему бэкдор. Предоставляет злоумышленнику удаленный доступ к системе. Заодно ворует список контактов, видимо, для поиска новых жертв.


• Backdoor.OSX.Laoshu – каждую минуту делает скриншоты экрана. Оказался подписанным доверенным сертификатом разработчика. По всей видимости вирусописатели готовились разместить его в AppStore.


• Backdoor.OSX.Ventir – многомодульный троян-шпион с функцией скрытого удалённого управления. Из интересного: несёт в себе драйвер перехвата нажатий клавиатуры logkext, который доступен публично с исходном коде.


• Trojan.OSX.IOSinfector – установщик мобильной версии Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis) – ага, заражает Айфоны.


• Trojan-Ransom.OSX.FileCoder – первый шифровальщик файлов на OS X. Условно рабочий. Багливый прототип.


• Trojan-Spy.OSX.CoinStealer – первый похититель биткоинов для OS X. Маскируется под несколько разных биткоин-утилит с открытым исходным кодом. На самом деле устанавливает вредоносное расширение браузера и/или пропатченный вариант bitcoin-qt (утилита с открытым исходным кодом для майнинга биткоинов).

Логичный вопрос: зловореды зловредами, а насколько этот зоопарк представляет реальную угрозу для пользователей? Как вероятно подхватить эту заразу? И какая зараза более всего распространена?

Тут на помощь приходит статистика срабатываний антивируса из нашей облачной системы KSN. Но прежде чем анализировать цифры – важный дисклеймер: это данные исключительно по пользователям наших продуктов. Как распространены вредоносы в глобальном масштабе, в том числе среди пользователей других антивирусов и без антивирусов вообще – это неблагодарное и приблизительное дело экстраполяций на основе данных из разных источников. Однако тут тоже стоит покопаться, чтобы было о чём поговорить в кулуарах :)

Итак, топ-20 срабатываний для Mac OS X за 2013-2014 гг.

Вердикт	Количество срабатываний	%
AdWare.OSX.Geonei.b	56271	39,15
Trojan.OSX.Vsrch.a	28222	19,63
AdWare.OSX.Geonei.d	23904	16,63
Trojan.OSX.Yontoo.i	7595	5,28
AdWare.OSX.FkCodec.b	6395	4,45
Trojan.OSX.Yontoo.h	3636	2,53
Trojan.OSX.Yontoo.j	3366	2,34
AdWare.OSX.Geonei.c	2889	2,01
Trojan.OSX.Yontoo.a	2079	1,45
AdWare.OSX.Geonei.e	1758	1,22
Trojan.OSX.FakeCo.a	1413	0,98
Trojan.OSX.Okaz.a	1126	0,78
Trojan-Downloader.OSX.Vidsler.a	868	0,60
RemoteAdmin.OSX.AppleRDAdmin.c	677	0,47
AdWare.OSX.Bnodlero.a	656	0,46
Trojan.OSX.Yontoo.b	633	0,44
AdWare.OSX.FkCodec.a	609	0,42
Trojan-Downloader.OSX.FavDonw.c	571	0,40
AdWare.OSX.Geonei.a	544	0,38
Trojan.OSX.Yontoo.d	533	0,37

Вдогонку – география распространения маковской малвары за этот же период:



Заметьте: около половины срабатываний - AdWare, 2/3 всех срабатываний приходится на три первых вердикта, география распространения мак-малвары в целом совпадает с популярностью Маков (и это в основном развитые страны, где у потенциальных жертв водятся деньги), знаменитый Flashback в двадцатке отсутствует.

Какие из этих данных следуют выводы?

Во-первых, кибер-преступникам проще зарабатывать на условно легальных подходах (назойливая реклама это тоже деньги, а вкупе с масштабным заражением немалые).

Во-вторых, судя по общему технологическому уровню малвары, вирусописатели для Mac OS X – довольно продвинутые типы. В отличие от вирусов для Windows "макость" перемахнула через стадию детских поделок ради забавы - за платформу сразу взялись серьёзно, серьёзные люди. Вполне возможно, они отточили своё "искусство" на Windows и пришли сюда осваивать новые, неизведанные "земли" в поисках новых заработков. Деньги есть, пользователь непуганый – значит заработать можно, надо только напрячь мозги.

В-третьих, за Mac OS X серьёзно взялись профессиональные шпионские группы. Многие APT-атаки в последнее время обзавелись маковскими-модулями, например - Careto, Icefog, целевые атаки против уйгурских активистов. Да, это точечные, НЕ массовые атаки, нацеленные на конкретных жертв и потому в "топы" не попадающие. Однако от того не менее опасные. Особенно если ваши данные представляют интерес для спецслужб.

Теперь давайте разберёмся в практической значимости этих цифр.

Действительно, на фоне масштаба бедствия на Windows сотня тысяч срабатываний за полтора года выглядит как-то совсем уныло и даёт повод сказать, что на самом деле никакой угрозы нет. Ну, или почти нет. Но "почти нет" настолько, что можно расслабиться и в вопросах безопасности полностью положиться на Apple. Иными словами, отказаться от защиты вообще.

И чтобы понять кто тут параноит, а кто тут неправ :) надо снова обратиться к данным KSN. А именно – подсчитаем уровень заражённости, или соотношение количества установленных антивирусов и количества их уникальных срабатываний.

В августе вероятность в течение месяца подхватить на Маке специфическую маковскую неприятность составила приблизительно 3%. Ну, не так страшно на фоне 21% вероятности заражения для пользователей Windows (тоже данные KSN), но всё же – по крайней мере 10 раз в год к активному Интернет-пользователю в компук весьма вероятно заглянет вредонос.

А дальше становится ещё интереснее.

Во-первых, на пользователей Маков охотится не только заповедная маковская малвара. Есть другие виды атак, которым всё равно какая операционная система установлена на компьютере. Например, фишинг или MiTM-атаки. А это, на минуточку, очень распространённые угрозы, которые бьют в первую очередь по кошельку банковскому счёту, ключевым веб-сервисам и социальной активности жертвы.

Во-вторых, по Макам бьёт и другой тип не совсем маковских угроз, а именно дыры в софте сторонних производителей, которые используются кибер-негодяями для проникновения. Например, Java, Flash или Silverlight. Этого софта по умолчанию на Макоси нет, но многие пользователи всё равно скачивают и устанавливают, чтобы полноценно впитывать все прелести веба.

Трудно сказать, какова будет вероятность атаки, если учесть все перечисленные напасти. Думаю, раз в несколько уж точно вырастет.

В-третьих… ну, это уже не совсем о вирусной угрозе. На самом деле антивирус – это уже давно не просто хрень, которая висит в фоновом режиме и как-то незаметно от чего-то там спасает. "Наша служба и опасна и трудна и, на первый взгляд, как будто не видна…". Современный антивирус содержит в себе множество других полезных фичей, которые идут далеко за пределы канонического представления об этом софте. Например, родительский контроль, менеджер паролей, проверку надёжности Wi-Fi, блокировку веб-камеры и сотни других функций. Да, маковские продукты пока отстают от своих PC-братьев по функционалу, но потихоньку к этой планке подтягиваются.

А теперь немного фруктологии футурологии.

Вопрос, который свербит давно и у многих. Почему же на Маках так мало малвары и стоит ли ждать ухудшения ситуации?

Я много раз говорил, что есть три главных условия существования вредоносных программ на конкретной платформе: (i) платформа должна иметь незащищённую архитектуру и уязвимости, (ii) быть достаточно распространённой и (iii) иметь открытые средства разработки для сторонних приложений. На Mac OS X "буксует" только пункт 2.

"Ха!", - скажет осведомлённый читатель. В мире больше 80 миллионов устройств на Макоси! Неужели этого недостаточно? Ну, вот и ответ, ага. Не-до-ста-точ-но. Особенно на фоне 1,5 (полутора) миллиардов (sic!) Windows-машин.

Тут уже писалось об экономике компьютерного андерграунда. Этот закон универсален для любой платформы и Mac OS X тут не исключение. Кибер-негодяям нет смысла распылять силы, когда перед ними непаханые поля Windows-компьютеров без антивирусов, с необновлёнными или бесплатными дырявыми антивирусами. "Нас и тут неплохо кормят" ©

Вопрос упёрся в другое – какова критическая масса, когда андерграунду станет экономически эффективно заинтересоваться Маками? Я раньше кивал на 5-7% мировой installed base, но оказалось, что маловато. В этом году доля Mac OS X вплотную приблизилась к 10%. Вирусописатели зашевелились, но как-то неуклюже, нехотя и по большей части концептуально.

источник

Экстраполируя тенденцию, года через три Apple может занять уже процентов 15 рынка. Будет ли это триггером для бурного развития малвары?

Не знаю. Для бурного – скорее всего нет. Но активизация будет точно. Уж точно положительная тенденция сохранится и даже наверняка зашкалит выше нынешних значений. Другие мнения на этот счёт есть?

Что произойдёт, когда рыночная доля Макоси накопит критическую массу? Я думаю, что сначала произойдёт несколько крупных эпидемий с реальными жертвами и значительными денежными потерями. А потом случится цепная реакция – вирусописатели, почуяв лёгкую и многочисленную добычу, начнут массово переключаться на эту платформу.

Другой возможный сценарий развития ситуации – выход из под контроля какой-нибудь APT-атаки против Mac OS X. Например, глобальная эпидемия из-за бага недокументированной фичи зловреда или утечка технологии атаки, её распространение в компьютерном андерграунде и появление многочисленных клонов.

Реальную "температуру по больнице" в области мак-безопасности просчитать трудно, ведь большинство Мак-пользователей до сих пор живёт в уверенности в святости и непогрешимости любимого вендора. Поэтому, что именно происходит на десятках миллионов незащищённых Маков – неизвестно. Собственно, именно из этой сумеречной зоны случайно и выцепили червя Flashback в марте 2012г. Какие там ещё звери водятся? Чем они там занимаются? Кто именно там кукловодит – обычные кибер-негодяи или "беловоротничковые" бизнесмены с наёмными программистами? Интересных вопросов много и мы потихоньку будем находить на них ответы. И нам нужна ваша помощь: мы не можем спасти вас насильно – позаботьтесь о своей безопасности сами, сделайте хотя бы первый шаг.

А пока что вот несколько простых советов, как содержать ваш Мак в порядке и безопасности.

На этом всё про кибер-садоводство, оставайтесь на моей волне. Истории ещё будут, и чем дальше тем интереснее.

P.S. Интересное не заставило себя ждать. В Юниксовом шелле нашли дыру громадного размера. Linux, Unix и, конечно, Макось спешно делают патчи, пока не очень получается. Пользователям и админам рекомендуется срочно апдейтить свои системы. Любопытно, какой процент мак-юзеров накатит патч, а как много так и останутся с дырявым шеллом, открытым для любого мерзавца? "Бластера" ещё не забыли? А ведь тогда Микрософт выкатил патч за месяц до катастрофы... Под "катастрофой" я имею ввиду грандиозный блекаут на востоке США.

Оставить комментарий

Популярные посты:

• Архив