Вы, скорее всего, будете поражены молнией, чем заражены мобильным вредоносным ПО

На конференции RSA 2015 исследователи из охранной фирмы Damballa объявили, что в Соединенных Штатах вы, скорее всего, будете поражены молнией, чем заражены мобильным вредоносным ПО. Хотя это подтверждает предыдущее исследование, проведенное компанией, Damballa обнаружила нечто очень странное на мобильных устройствах.

Отслеживание вредоносного трафика

Бизнес Damballa - это автоматическая защита от взломов на основе анализа больших данных. Работая с крупнейшим в США оператором беспроводной связи, Damballa смогла сравнить данные трафика с известными вредоносными URL-адресами, извлеченными из примерно 70 000 образцов мобильных вредоносных программ. «Это был небольшой ручной процесс удаления общих доменов, которые, вероятно, не связаны с вредоносными программами», - объяснил старший научный сотрудник Чарльз Левер. "Это было больно."

В своем исследовании Левер сказал, что Damballa не имеет доступа к полезной нагрузке этих передач, только к URL-адресам. Компания ясно дала понять, что не видит информации о клиентах.

Масштабы исследования Damballa огромны и охватывают около 151 миллиона устройств в день по сравнению с 25 миллионами, когда компания проводила исследование в 2012 году. Компания заявила, что это составило 50 процентов трафика мобильной передачи данных в США. из них компания видела только 9 688 устройств, обращающихся к URL-адресам, связанным с мобильным вредоносным ПО.

Это работает до 0, 0064 процента трафика, являющегося вредоносным. В пресс-релизе компании Дамбалла сказал, что официальные шансы Национальной метеорологической службы на удар молнии были значительно выше - 1, 3%.

Зона безопасности

Левер сказал, что выводы исследования подтверждают мнение о том, что в то время как мобильные вредоносные программы широко обсуждались в кругах безопасности (и этим автором). «Мы находим множество образцов вредоносного ПО, но я не уверен, что эти образцы попадают на свои устройства», - сказал Левер.

«У нас сильные первичные рынки в США», - продолжил Левер, имея в виду магазин Apple App Store и магазин Google Play. Он сказал, что в этих магазинах есть хорошие меры безопасности, которые не пускают наихудших игроков, и включают инструменты, позволяющие Apple и Google удаленно отключать или удалять вредоносные приложения, которые могут попасть на пользовательские устройства.

Конечно, исследование Дамбаллы имеет ограничения. Например, он сосредоточен на потенциально вредоносном сетевом трафике, а не на реальных вредоносных установках на мобильных устройствах. Он также охватывает только половину территории США, что оставляет большую часть мира без вести пропавшим. Левер сказал, что вполне возможно, что заражение мобильным вредоносным ПО может быть гораздо выше за пределами США. «Я мог видеть, что оно выше, но я не мог сказать это эмпирически», - сказал Левер.

Интересно, что из вредоносного мобильного трафика, который наблюдал Дамбала, большую часть его можно охарактеризовать как рекламное.

Shadowy Traffic

Но в то время как мобильное вредоносное ПО не показало большого успеха в исследовании Дамбаллы, кое-что еще сделало. В дополнение к трафику, связанному с мобильными вредоносными программами, Левер объяснил, что Damballa также отслеживает запросы с мобильных устройств на другие типы вредоносной инфраструктуры. Это может быть инфраструктура для настольных вредоносных программ, фишинговых операций, ботнетов и т. Д. По словам Левера, эти запросы к теневым частям Интернета с мобильных устройств были значительно выше, чем запросы на мобильные вредоносные URL-адреса.

Насколько больше? На несколько порядков. Damballa сообщила о 100 000 запросов, связанных с мобильными вредоносными программами, которые она проследила на эти 10000 с лишним устройств. Он отслеживал 100 миллионов запросов к сайтам, которые были загружены с диска, и 1 миллиард (с «b!») Запросами, связанными с вредоносным ПО, которое предназначено для настольных компьютеров. Опять же, все эти запросы поступают с мобильных устройств.

Левер сказал, что хотя эти теневые запросы от мобильных устройств «значительно больше, чем то, что мы видим для мобильных вредоносных программ», их причина в значительной степени неизвестна.

Левер предположил, что часть трафика может поступать от мобильных пользователей, ставших жертвами фишинговых сайтов. Другие эксперты по безопасности предположили, что фишинг может быть проще на мобильных устройствах, поскольку сравнительно небольшой экран обрезает подозрительно выглядящие URL-адреса, а значок блокировки, связанный с SSL-соединением, не виден.

На протяжении всего разговора Левер оставался в значительной степени оптимистичным в отношении безопасности мобильных устройств, но при обсуждении этих необычных выводов он принял решительно отрицательный поворот. Он сказал, что, несмотря на то, что то, что вызывало такое огромное количество подозрительного сетевого трафика, сегодня может не быть проблемой, оно может возникнуть в будущем. Или это может быть даже результатом неизвестных в настоящее время вредоносных программ.

• Android 4.1.1 всё ещё уязвим для Heartbleed Android 4.1.1 всё ещё уязвим для Heartbleed
• Вредоносные приложения для Android могут взломать Gmail Вредоносные приложения для Android могут взломать Gmail
• Мобильный угрозы понедельник: приложения для Android скрыть вредоносных программ для Windows Мобильный угрозы понедельник: приложения для Android скрыть вредоносных программ для Windows

«Это большая область риска, которая сейчас недостаточно изучена и может потребовать больше исследований, чтобы выяснить, что это такое», - сказал Левер. «Является ли это фишингом? Это спам? В чем состоит суть? И сколько из этого в настоящее время влияет на мобильные устройства и сколько может в будущем?»

Надеюсь, что будущие исследования смогут собрать эту загадку вместе.