Статья опубликована в № 4693 от 12.11.2018 под заголовком: образцов вредоносного ПО для macOS и iOS насчитывает коллекция «Лаборатории Касперского»

Какие вирусы угрожают пользователям Apple

Злоумышленники пользуются заблуждением, что ее устройства лучше защищены

В конце сентября специалист по информационной безопасности, основатель компании Digita Security Патрик Уордл понял, как создатель вируса Fruitfly Mac Филипп Дурачинский на протяжении более 13 лет заражал компьютеры на операционной системе macOS, после чего воровал файлы, подслушивал пользователей и подглядывал за ними. Дурачинский, писал ZDnet, сканировал порты: через подключение к интернету или по внутренней сети он искал компьютеры со слабыми или отсутствующими паролями, устанавливал на них вредоносную программу.

ФБР арестовала Дурачинского в январе 2017 г., а в начале 2018 г. обвинения против него выдвинул минюст США.

Устройства Apple считаются менее уязвимыми для вирусов, именно они все чаще становятся целью злоумышленников. С января 2018 г. антивирусная компания Avast собрала более 37 000 новых образцов вредоносных программ для macOS, в том числе 98 вредоносных рекламных программ и 76 новых троянцев, приводит цифры вирусный аналитик Avast Владимир Залуд. А по данным «Лаборатории Касперского», вирусов для macOS в первой половине 2018 г. появилось больше, чем за весь 2017 год. И в отличие от Fruitfly Mac Дурачинского они пытаются зарабатывать на украденных данных.

Относительная безопасность

По-настоящему защищенной можно считать только операционную систему Apple iOS, на которой работают смартфоны iPhone: она спроектирована с акцентом на безопасность, приложения выполняются в собственных изолированных безопасных средах, где невозможно проводить никаких манипуляций с файлами других приложений или операционной системы, объясняет старший антивирусный эксперт «Лаборатории Касперского» Михаил Кузин.

Но некоторые троянцы все же умудряются атаковать и пользователей iPhone – правда, не в самом устройстве. В сентябре 2018 г. эксперты «Лаборатории Касперского» обнаружили вредоносную активность мобильного банковского троянца Roaming Mantis, который применяет метод подмены DNS – троянец перенаправляет их на поддельный сайт, где злоумышленники крадут идентификатор пользователя, пароль и данные банковской карты. Также программа заражала устройства с целью веб-майнинга. Способ атаки определялся злоумышленниками исходя из того, что может принести больше денег в каждом случае, объясняет представитель «Лаборатории Касперского». В 2018 г. Россия вошла в топ-3 стран, пользователей которых атаковал этот троянец.

Но под угрозой обычных вирусов, которые внедряются вместе с программным обеспечением, устройства, где отключены встроенные разработчиками средства защиты – jailbreak, предупреждает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин: не ломать защиту устройства – самый надежный способ не стать жертвой.

Кроме того, необходимо своевременно обновлять систему, чтобы закрывать периодически обнаруживаемые злоумышленниками уязвимости, советует аналитик Digital Security Игорь Лырчиков.

Социально активные вирусы

Операционная система macOS, на которой работают компьютеры Apple, в отличие от iOS позволяет установить приложение не только из официального магазина Apple, но на это нужно согласие пользователя. Именно поэтому самый частый способ заражения компьютеров – различные методы социальной инженерии, говорят опрошенные «Ведомостями» эксперты. Это могут быть фишинговые рассылки, фейковые приложения и программы, которые пользователь сам ставит вместе с пиратским софтом, рассказывает Никитин.

Один из первых серьезных троянцев под OS X – обнаруженный в 2012 г. Backdoor.OSX.Morcut – распространялся при помощи JAR-файла (это архив установочной программы на языке Java) с именем AdobeFlashPlayer.jar. Файл якобы был подписан компанией VeriSign Inс. (американская компания, поддерживает два корневых сервера из 13 в глобальной системе адресации DNS), приводит пример Кузин: троянец крал переписку из мессенджера Adium, собирал информацию из браузеров Safari и Firefox, записывал и передавал злоумышленникам звонки в Skype, делал снимки экрана, следил за нажатиями клавиш клавиатуры и положением курсора, перехватывал содержимое буфера обмена.

Другой троянец – Kychi (его «Лаборатория Касперского» обнаружила в 2016 г.) маскировался под JPEG-изображение, а попадая на устройство пользователя, крал все пароли, которые когда-либо вводили на Mac, из защищенного хранилища macOS – Keychain – и отправлял злоумышленникам через сеть TOR.

Троянец Aptordoc распространялся через фишинговые e-mail: в тексте сообщалось, что у адресата проблемы с уплатой налогов, и предлагалось открыть документ из zip-архива с троянцем. Aptordoc изменял настройки подключения пользователя к сети, чтобы весь трафик проходил через контролируемый злоумышленниками прокси-сервер: они получали все данные жертвы.

Экономика не сходится

Всемирная эпидемия 2017 г., вызванная шифровальщиками Petya и Wannacry, коснулась только пользователей Windows. Но если будет объединена цепочка уязвимостей, это приведет к массовому заражению устройств под управлением macOS/iOS, такой сценарий хоть и маловероятен, но не исключен, предупреждает аналитик Digital Security Игорь Лырчиков.

Массовые заражения macbook уже бывали. В 2012 г. компания Dr.Web обнаружила бот-сеть почти из 700 000 компьютеров mac, которые через уязвимость в Java заразил троянец BackDoor.Flashback.39, рассказывает представитель компании Александр Вураско: программу распространяли более 4 млн сайтов. Создание массового ботнета подтверждали и эксперты «Лаборатории Касперского». По данным Dr.Web, 56,6% зараженных компьютеров находились в США, 19,8% – в Канаде, 12,8% – в Великобритании. Атаку удалось заметить и ликвидировать обновлением от Apple.

Причина того, что атак на устройства Apple меньше, не в их суперзащищенности, а в экономической нецелесообразности, объясняет Никитин. Доля продуктов macOS и iOS на рынке и у конечного пользователя меньше, чем Windows и Android, а значит, и писать вирусы менее выгодно. «Много ли вы встречали бухгалтеров, которые работают с 1С на macbook?» – объясняет он. Кроме того, Apple чаще устанавливает обновления и напоминает о них пользователю.

Как защищаться

Главное – чтобы сам пользователь не давал злоумышленникам разрешение на обход относительно защищенной системы, соглашаются все опрошенные специалисты, не запускал приложений из сторонних источников, т. е. не из AppStore, указывает Кузин. А если в этом есть необходимость, удостоверился, что они подписаны цифровой подписью доверенного разработчика.

Антивирусные средства часто бессильны отразить атаки хакерских груп, вирусов-шифровальщиков или атак с использованием социальной инженерии, нелегитимным использованием ресурсов компаний для криптомайнинга и др., предупреждает Никитин. Поэтому если речь идет о защите бизнеса, то основную роль играют продукты класса Anti-APT (англ. Advanced Persistent Threat – «развитая устойчивая угроза», целевая кибератака), которые позволяют проводить анализ файлов в изолированной от основной сети компании среде, так называемой песочнице.

Залуд считает, что пользователи всех устройств, включая Mac, должны устанавливать антивирусы: они могут обнаруживать и блокировать вредоносные программы вроде вымогателей или шпионов до того, как те смогут попасть на устройство.

Кузин предлагает использовать решение Kaspersky Security Cloud, которое обладает встроенным VPN – он автоматически включается, если подключение к сети выглядит небезопасным, и сообщает пользователю об актуальных угрозах.

Thomas Peter / Reuters

Читать ещё
Preloader more