Документ рассматривает угрозы безопасности данных в мобильных устройствах, акцентируя внимание на феномене BYOD (bring your own device) и возникающих рисках для корпоративных сетей. Подробно описываются различные векторы атак и вредоносные программы, нацеленные на устройства Android, а также методы, используемые злоумышленниками для кражи личной информации. Защита мобильных устройств от киберугроз и утери данных определяется как критически важная задача для пользователей.

1. MOBILE (Мобильные технологии, сервисы, контент)
Безопасность данных в мобильном мире
BYOD - векторы атак
Обзор мобильных угроз
Вредоносное ПО Android
Программные и аппаратные закладки

2. Развитие мобильных технологий идет в геометрической прогрессии,
увеличивается количество как самих гаджетов, так и число используемых ими
сервисов. Это создает новые риски для корпоративных сетей в силу того, что резко
возрастает использование подобных устройств в корпоративном окружении.
Появился даже новый термин, описывающий такую модель - BYOD. BYOD
расшифровывается как «Bring Your Own Device» («принеси свое устройство») и
описывает феномен распространения личных мобильных устройств в бизнес-среде.

3. Современный смартфон/планшет используется в качестве мобильного
офиса, центра развлечений и веб-серфинга. У рядовых пользователей возникает
привыкание к доступности информационных ресурсов и средств коммуникации.
Аппарат многое может рассказать о своем владельце, ведь в его памяти
хранятся: контакты коллег, друзей и близких с их персональными данными;
журнал звонков; корпоративная переписка; параметры точек доступа WiFi;
приложения социальных сетей (зачастую с сохраненными паролями);
банковские реквизиты или мобильный/СМС банкинг, снимки, видеозаписи.
Зачастую в телефонной книге хранятся пароли и реквизиты доступа, пин-коды
банковских карт.
Такая концентрация деловых и персональных
данных приводит к тому, что субъективная
стоимость информации перевешивает цену
самого устройства. Что делает мобильное
устройство лакомой целью для
злоумышленников:
• Потеря устройства или кража;
• Вредоносное ПО;
• Программные и аппаратные закладки;
• Продажа б/у.

4. Также большую распространённость получают атаки на привязанные облачные
сервисы: iCloud, Google аккаунт, Microsoft live, содержащие резервные копии
критичных данных, сведенья о местоположении абонента, адресная книга и многое
другое.
Это приводит к прямым финансовым потерям (платные смс, премиум
подписки), так и косвенным – кража пользовательских данных.
Именно поэтому задача защиты телефона/планшета как от киберугроз так и от
банальной утери/выхода из строя является критически важной. К сожалению, часть
пользователей осознает важность этих задач лишь постфактум.
Прямые финансовые потери
Кража пользовательских данных

5. • Большая распространённость
• Установка из недоверенных
источников
• Реклама в приложениях
• Уязвимости
• Слабая осведомленность
пользователей
Android.SmsSend/Trojan-SMS.AndroidOS:
СМС на короткие номера, рассылка сообщений по адресной книге, перенаправление на заражённые веб-страницы, хищение
личных данных, платные подписки.
Backdoor.AndroidOS.Obad.a:
Создатели вируса обнаружили ошибку в ОС Android, которая позволяет вредоносному приложению пользоваться
расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами.
Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме.
Trojan.Droidpak:
Заражает Android-устройство, подключенное к Windows-машине. Заражение Android-устройства происходит при включенном
режиме отладки через usb.
Android.Oldboot.1:
Буткит под названием Android.Oldboot.1 начинает свою работу ещё на этапе инициализации ядра Linux, запуская специальную
библиотеку, которая проводит установку специального приложения и сопутствующей службы в системный раздел Android. При
завершении загрузки, служба-троян продолжает работать в фоновом режиме и при подключении к Интернету устанавливает
соеденинение с удалённым сервером, который по команде злоумышленника может начать загрузку приложений или удалить
пользовательские данные, включая приложения.

6. Trojan-Spy.AndroidOS.Zbot.a /Android.Smssniffe /Android/SpySMS / AndroidOS_SMSREP.B
[текст взят из реального объявления на одном из хак-форумов]
Уважаемые господа, рады Вам предложить бота под мобильные устройства. В данный момент бот реализован
под операционную систему Android, так же рады вам сообщить, что разработка Blackberry ведется полным ходом, и
первые бета версии будут в ближайший месяц, всем клиентам по Android боту на Blackberry будут существенные
скидки. Теперь вкратце расскажу как это работает, для тех кто не знает, после установки на мобильное устройство,
приложение моментально отстукивает в удобную web-panel при наличии 3g или wi-fi, а так же отсылает SMS на
управляющий номер с текстом I am (ICCID+MODEL PHONE). Наш бот реализован таким образом, что послепопадания в
систему юзер продолжает спокойно пользоваться своим телефоном, все функции ему доступны в штатном режиме. В
отличии от знаменитого Perkele у нас нету заточки под определенные номера для перехвата, наш бот работает через
систему команд. Команды даются любым удобным для Вас способом, либо из web panel при наличии интернета, либо
SMS с управляющего номера. –
Грабинг всей информации о жертве (Phone Number,ICCID,IMEI,IMSI,Model,OS) - Перехват всех
входящих SMS и отправка их в web-panel и на управляющий номер. - Переадресация звонков
на любой номер - Грабинг всех входящих и исходящих SMS - Грабинг всех входящих и
исходящих ВЫЗОВОВ - Запись аудиофайла, отправка его на сервер (знаем, что происходит
вокруг) - Отправка SMS на любой номер без ведома владельца Удобная Web Panel: Итак, данный софт
продается, цена бота 4к, в комплекте вы получаете админскую панель настроенную на вашем сервере+управляющий
веб номер+файл Апк с уникальным интерфейсом разработанным под Ваши нужды, а так же постоянную поддержку
продукта. Так же, готовы рассмотреть варианты аренды и совместной работы за процент.( просьба не стучать, если у
вас нету инжектов и вы не знаете, как это применять) За более подробной информацией пишите мне в ПМ свой jabber
для контакта, GPG и OTR жизненно необходимы. Уважаемые господа. Вышел UPDATE под Android. Всем клиентам
стукнуть за обновлением и ждем новых клиентов. Что нового? -Теперь наше приложение крайней сложно удалить. При
установке приложения софт запрашивает права админа устройства, если холдер ему их предоставляет, то приложение
будет удалить крайне муторно, службы будут перезапускаться и вы не потеряете данного бота. Если же не предоставят,
то приложение как и раньше будет работать в штатном режиме. Для вашего удобства в админ панели появился
индикатор, показывающий даны админ права или нет. -Если предоставили права админа, то есть возможность снести
телефон командой до заводских настроек.

7. CROSSBEAM — закладка в виде GSM модуля на основе встраиваемого компьютера.
Может перехватывать и записывать данные передаваемые в GSM-сетях.
CANDYGRAM — эмулятор базовой станций GSM (900, 1800, 1900), предназначенный
для отслеживания расположения сотового телефона цели. Каждый раз, когда
телефон цели входит в зону действия базовой станции CANDYGRAM, система
посылает СМС через внешний канал на телефон наблюдателя.
CYCLONE Hx9 — эмулятор базовой станций GSM, предназначенный для проведения
атак на мобильные телефоны стандарт GSM 900. Позволяет осуществлять
прослушивание и перехват передаваемых данных. Дальность до 32 километров.
EBSR — многоцелевая трехдиапазонный активная базовая станция GSM, с низким
энергопотреблением (1 Вт). Предназначена для прослушивания и перехвата
передаваемых данных. Возможно объединение в макросеть нескольких таких
устройств.
GENESIS — устройство для радиоэлектронной разведки на основе
модифицированного сотового телефона стандарта GSM. Предназначено для поиска
и анализа сотовых сетей, а также определения расположения телефонов целей.
Имеет возможность записи радиочастотного спектра во внутреннюю память, объем
которой составляет 16GB.
All versions of Android are immune to CVE-2014-0160 (with
the limited exception of Android 4.1.1; patching information
for Android 4.1.1 is being distributed to Android partners).

8. NEBULA — портативная базовая станция для сетей GSM, UMTS, CDMA2000. Позволяет проводить перехват
голоса и данных.
TYPHON HX — портативная базовая станция для сетей GSM (850/900/1800/1900). Имеет полную поддержку
протокола GSM и управления вызовами. Тактический элемент радиоэлектронной разведки.
WATERWITCH — портативный прибор для определения координат целевых телефонов в радиусе действия.
DROPOUTJEEP — программная закладка для Apple iPhone iOS прозволяет получить удаленный доступ к
телефону посредством SMS или GPRS-подключения. Для установки бекдора нужен физический доступ к
устройству, возможность удаленной установки запланирована в следующих релизах.
GOPHERSET — программная закладка для SIM-карт GSM. Позволяет отправить телефонную книгу, SMS и
информацию о вызовах телефона цели на предопределенный номер SMS. Загрузка на карту возможна либо
через USB, либо по воздуху. В обоих случаях для установки могут потребоваться ключи для доступа к SIM-карте
используемые оператором сотовой связи.
MONKEYCALENDAR- программная закладка для SIM-карт GSM. Отправляет в зашифрованном виде координаты
телефона цели на предопределенный номер SMS. Технология установки аналогична GOPHERSET.
PICASSO- модифицированный телефон стандарта GSM предназначенный для сбора пользовательских данных,
записи звука в помещении и отслеживания(по данных о базовых станциях). Управление и передача данных
осуществляется по SMS.
TOTECHASER — программная закладка(под Windows CE) для двухдиапазонного(спутник и GSM) телефона
Thuraya 2520. Позволяет получить пользовательские данные от телефона цели через скрытые SMS через
спутниковый или GSM канал.
TOTEGHOSTLY 2.0 — программная закладка для операционной системы Windows Mobile. Обладает богатым
функционалом и позволяет получить полный доступ к телефону. Управление возможно как посредством SMS
так и через GPRS-соединение.

9. PentestIT - команда сертифицированных специалистов в области
практической информационной безопасности.
Имея большой опыт в обеспечении практической безопасности, наша
компания готова взять на себя самые сложные и ответственные работы по
обеспечению ИБ, обучению и стажировке персонала, предотвращению НСД к
конфиденциальной информации Вашего бизнеса.
info@pentestit.ru
+7 (495) 204-19-72