Mobil kötü amaçlı yazılımın bulaştığından daha fazla yıldırım çarpması olasılığınız daha yüksektir

RSA 2015 konferansında, güvenlik firması Damballa'dan araştırmacılar, Amerika Birleşik Devletleri'nde, yıldırım çarpmasıyla, mobil kötü amaçlı yazılımın bulaştığından çok daha fazla olasılığını açıkladı. Bu, şirket tarafından yapılan önceki bir çalışmayı desteklerken, Damballa mobil cihazlarda çok garip bir şey buldu.

Kötü Amaçlı Trafiği İzleme

Damballa'nın işi, büyük veri analizlerine dayanan otomatik ihlal savunmasıdır. Büyük bir ABD kablosuz taşıyıcısıyla çalışırken, Damballa trafik verilerini, yaklaşık 70.000 mobil kötü amaçlı yazılım örneğinden elde edilen bilinen kötü amaçlı URL'lerle karşılaştırabilmiştir. Kıdemli Bilimsel Araştırmacı Charles Lever, “Kötü amaçlı yazılımlarla ilişkili olmayan ortak etki alanlarını kaldırmak biraz el ile yapılan bir işlemdi” dedi. "Acı vericiydi."

Lever, araştırmalarında Damballa'nın bu iletimlerin yüklerine, sadece URL'lere erişemediğini söyledi. Şirket, müşteri verilerinde görünürlük olmadığını açıkça belirtti.

Damballa'nın araştırmasının kapsamı, şirketin 2012'de çalışmayı yürütmesiyle 25 milyona kadar, günde 151 milyon cihaza odaklanarak muazzamdır. Şirket bunun ABD'deki mobil veri trafiğinin yüzde 50'sini oluşturduğunu belirtti. Bunlar, şirket yalnızca mobil kötü amaçlı yazılımlarla ilişkili URL’lere ulaşan bazı 9.688 cihaz gördü.

Bu, trafiğin yüzde 0, 0064'ünün kötü niyetli olduğunu gösteriyor. Şirketin basın açıklamasında Damballa, Ulusal Hava Durumu Hizmetlerinin yıldırım çarpması konusundaki resmi şansının yüzde 1, 3 oranında önemli derecede yüksek olduğunu söyledi.

Güvenli bölge

Lever, çalışmanın sonuçlarının mobil kötü amaçlı yazılımların güvenlik çevrelerinde (ve bu yazar tarafından) çokça tartışıldığı görüşünü desteklediğini söyledi. Lever, "Çok sayıda kötü amaçlı yazılım örneği buluyoruz, ancak bu örneklerin cihazlarına girdiğinden emin değilim, " dedi.

Apple App mağazasına ve Google Play mağazasına atıfta bulunan “ABD'de güçlü birinci taraf pazarlarımız var” diye devam etti. Bu mağazaların en kötü oyuncuları uzak tutan iyi güvenlik önlemleri olduğunu ve Apple ve Google’ın kullanıcıların cihazlarına girebilecek kötü amaçlı uygulamaları uzaktan devre dışı bırakmasına veya kaldırmasına olanak tanıyan araçlar içerdiğini söyledi.

Tabii ki, Damballa'nın çalışmasının sınırlamaları var. Örneğin, mobil cihazlardaki gerçek kötü amaçlı kurulumlardan ziyade potansiyel olarak kötü amaçlı ağ trafiğine odaklanmıştır. Aynı zamanda ABD’nin sadece yarısını kapsıyor ve bu da dünyanın pek çoğunu hesaba katmıyor. Lever, mobil kötü amaçlı yazılım enfeksiyonlarının ABD dışında çok daha yüksek olabileceğini söyledi. "Bunu daha yüksek görebiliyordum ama bunu ampirik olarak söyleyemedim" dedi.

İlginçtir ki, Damballa'nın gözlemlediği kötü niyetli mobil trafik, çoğu adware olarak nitelendirilecektir.

Gölgeli Trafik

Ancak mobil kötü amaçlı yazılım Damballa'nın çalışmasında büyük bir gösteri yapmazken, başka bir şey yaptı. Mobil kötü amaçlı yazılımlarla ilişkili trafiğe ek olarak Lever, Damballa'nın mobil cihazlardan diğer kötü amaçlı altyapı türlerine yönelik istekleri de takip ettiğini açıkladı. Bu, masaüstü kötü amaçlı yazılımları, kimlik avı işlemleri, botnetler vb. İçin altyapı olabilir. Lever, açıklamasında, İnternet’in mobil kısımları tarafından gölgeli kalması konusundaki taleplerin, mobil kötü amaçlı yazılım URL’lerine olan taleplerden oldukça yüksek olduğunu belirtti.

Ne kadar büyük? Birkaç büyüklük emriyle. Damballa, bu 10.000 garip cihaza kadar süren mobil kötü amaçlı yazılımlarla ilgili 100.000 istek bildirdi. Sürücü indirilmiş görünen sitelere yapılan 100 milyon talebi ve masaüstünü hedefleyen kötü amaçlı yazılımlarla ilişkili 1 milyar ("b!" İle) isteklerini izlemiştir. Yine, bu isteklerin tümü mobil cihazlardan geliyor.

Lever, mobil cihazlardan gelen bu gölgeli taleplerin "mobil kötü amaçlı yazılımlar için gördüklerimizden çok daha büyük olmasına" rağmen, nedenlerinin büyük ölçüde bilinmediğini söyledi.

Lever, trafiğin bir kısmının mobil kullanıcılardan kurban alan kimlik avı sitelerine gelebileceğini belirtti. Diğer güvenlik uzmanları, mobil cihazlarda kimlik avının daha kolay olabileceğini, çünkü nispeten küçük ekran şüpheli görünen URL'leri keser ve bir SSL bağlantısıyla ilişkili kilit simgesi görünmez.

Konuşma boyunca Lever, mobil güvenlik konusunda büyük ölçüde iyimser kaldı, ancak bu sıra dışı bulguları tartışırken, kesinlikle olumsuz bir dönüş yaptı. Bu büyük miktarda şüpheli ağ trafiğine neden olan ne olursa olsun, bugün sorun olmayabileceğini, gelecekte olabileceğini söyledi. Veya şu anda bilinmeyen kötü amaçlı uygulamaların sonucu bile olabilir.

• Android 4.1.1 Hala Heartbleed'e Karşı Hassas Oldu Android 4.1.1 Hala Heartbleed'e Karşı Hassas Oldu
• Kötü Amaçlı Android Uygulamaları Gmail Hack Olabilir Kötü Amaçlı Android Uygulamaları Gmail Hack Olabilir
• Mobil Tehdit Pazartesi: Android Uygulamaları Windows Kötü Amaçlı Yazılımları Gizle Mobil Tehdit Pazartesi: Android Uygulamaları Windows Kötü Amaçlı Yazılımları Gizle

Lever, "Şu anda iyi çalışılmamış büyük bir risk alanı ve bunun ne olduğunu bulmak için daha fazla araştırma yapabilir" dedi. “Kimlik avı mı yapıyor? Spam mı? Bozukluğu nedir? Şu anda mobil cihazları ne kadar etkiliyor ve gelecekte ne kadarı olabilir?”

Umarım gelecekteki araştırmalar bu bulmacayı bir araya getirebileceklerdir.