Dutch IT Chanel Logo mobile
Search icon
Redactie - 27 februari 2014

Fortinet: 96,5% van alle mobiele malware richt zich op Android-toestellen

Security

 

Fortinet, een Amerikaanse leverancier van high-performance netwerkbeveiliging, maakt de bevindingen bekend van het FortiGuard onderzoek naar het bedreigingenlandschap in 2013. Het volledige rapport (Engelstalig) kan men downloaden op: http://www.fortinet.com/resource_center/whitepapers/threat-landscape-report-2014.html

FortiGuard Labs, het onafhankelijke onderzoeksbureau van Fortinet, heeft in kaart gebracht welke malware het meest actief was in de periode van 1 januari 2013 tot en met 31 december 2013. De onderzoekers volgden verschillende malware, die zich zowel richt op mobiele apparaten als op pc’s. In 2013 was er een record aan malware voor mobiele apparaten. FortiGuard Labs stelt vast dat malware-ontwikkelaars in het afgelopen jaar vooral het Android-besturingssysteem onder vuur namen. Bijna alle (96,5%) mobiele infecties die FortiGuard Labs ontdekte, kwamen voor op Android-smartphones en -tablets. Het besturingssysteem Symbian van Nokia was een verre tweede met 3,45% van de malware-infecties. De malwareontwikkelaars lieten de overige mobiele besturingssystemen links liggen. iOS (Apple), BlackBerry, PalmOS en Windows werden allemaal samen door nog geen 1% van de mobiele malware belaagd.

Theo Schutte (foto), country manager Fortinet Nederland: “De snelle groei van malware die zich richt op Android blijft zorgwekkend voor ICT-beheerders die een BYOD-beleid hanteren voor mobiele apparaten. FortiGuard Labs ontdekte in 2013 meer dan 1.800 afzonderlijke nieuwe virusgroepen, ook wel malwarefamilies genoemd. De meerderheid daarvan neemt het Android-platfom van Google op de korrel. Dat geeft ook reden voor zorgen voor 2014. Het ziet er namelijk niet naar uit dat die groei daalt, het gaat zelfs steeds sneller. Nu er steeds meer Android-toestellen worden gekocht en gebruikt, nemen de kansen voor infecties door malware ook enorm toe.”

Volgens de onderzoekers van FortiGuard Labs zijn er tegenwoordig honderden verschillende goedkope Android-toestellen beschikbaar. Dat brengt smartphones en tablets ook binnen het bereik van mensen in ontwikkelingslanden. Veel van deze nieuwe gebruikers komen door de apparaten ook voor het eerst op internet. “Nu er veel nieuwe gebruikers bijkomen, verwachten we ook een stortvloed aan infecties en incidenten,” aldus Schutte.

Terwijl aanvallen op andere platformen, zoals Symbian afnemen, maken aanvallers Android tot doelwit nummer 1. De NewyearL.B Android-malware die meegeleverd werd in ogenschijnlijk onschuldige toepassingen zoals een zaklantaarn-app, wist miljoenen toestellen te bereiken en was gedurende heel 2013 de meest actieve malwarefamilie. Argeloze gebruikers willen de nieuwste games of apps gebruiken, maar delen zo heel naïef een schat aan persoonsgegevens met een aanvaller.

Dat leidt niet alleen tot storende advertenties, maar heeft ook veel grotere negatieve gevolgen. Zo geeft men NewyearL.B toestemming om systeemiconen te verwijderen en de content van externe opslag aan te passen of te verwijderen. Ondertussen blijft de distributie van Android-malware zich exponentieel versnellen.

“Het is duidelijk dat cybercriminelen veel tijd en moeite steken in de introductie van honderdduizenden nieuwe varianten op hun malware. Die schieten zij dagelijks de digitale wereld in, in de hoop dat enkele daarvan hun doelwit raken,” besluit Schutte.

Top 10 Mobiele malwarefamilies gebaseerd op gerapporteerde incidenten

1.Android/NewyearL.B

2.Android/DrdLight.D

3.Android/DrdDream

4.Android/SMSSend-familie

5.Android/OpFake-familie

6.Android/Basebridge.A

7.Android/Agent-familie

8.Android/AndCom.A

9.Android/Lotoor-familie

10.Android/Qdplugin.A

ZeroAccess: Het meest vruchtbare botnet van 2013

Medio 2013 rapporteerde FortiGuard Labs al over het ZeroAccess botnet en hoe het afgestemd was om wekelijks circa 100.000 nieuwe infecties te realiseren. Alle belangrijke onderzoeksbureaus kwamen tot de conclusie dat de persoon of personen achter het botnet niet alleen wekelijks een aanzienlijk bedrag betaalden om nieuwe infecties te genereren, maar dat zij er ook iedere week flinke bedragen aan verdienden.

Richard Henderson, security strategist bij FortiGuard Labs van Fortinet: “Net als alle andere cybercriminelen namen de mensen achter ZeroAccess een voorbeeld aan legitieme bedrijven en konden zij hun inkomen vergroten door diversificatie. We zagen dat 32- en 64-bit versies van ZeroAccess gebruikt warden om klikfraude te plegen, om zoekmachines te vergiftigen en om Bitcoins te maken (mining). De makers van ZeroAccess hebben zo enorm geprofiteerd van de gigantisch stijgende koers van Bitcoins in 2013, maar wel over de rug van hun slachtoffers.”

Top 10 Botnets gebaseerd op gerapporteerde incidenten, met een percentage van algemene dominantie

1.ZeroAccess (88,65%)

2.Andromeda (3,76%)

3.Jeefo (3,58%)

4.Smoke (2,03%)

5.Morto (0,91%)

6.Mariposa (0,43%)

7.Waledac (0,18%)

8.IMDDOS (0,18%)

9.Mazben (0,15%)

10.Torpig (0,10%)

India wereldleider in het leveren van spam

De antispam-appliances van Fortinet blokkeerden vorig jaar wereldwijd miljarden spamberichten. “Spammers proberen meerdere methoden om scanners te misleiden in gebruikers te verleiden om op links in hun berichten te klikken,” weet Henderson. “Zij sturen bijvoorbeeld valse faxberichten, advertenties voor allerlei medicijnen, e-cards of kwaadaardige bijlagen. Al deze vormen hebben links die, als je erop klikt, malware leveren. Het meest opvallend is misschien nog wel hoe wijdverspreid de spammers zich over de hele wereld bevinden. Uit onze statistieken blijkt dat ongeveer de helft van alle spamberichten in 2013 afkomstig was uit verschillende landen in Oost Europa en Rusland, terwijl de afzenders van de andere helft zich over de hele wereld bevonden.”

Top 10 Landen-IP’s die maandelijks spam versturen gebaseerd op gerapporteerde incidenten, met een percentage van algemene dominantie

1.India (22,66%)

2.China (18,39%)

3.Wit Rusland (12,40%)

4.Rusland (10,27%)

5.Verenigde Staten (10,06%)

6.Kazakstan (6,14%)

7.Spanje (5,37%)

8.Argentinië (5,00%)

9.Oekraïne (4,93%)

10.Taiwan (4,78%)

ZeuS is nog steeds aanvoerder

De Trojan ZeuS was in 2013 de winnaar op het gebied van generieke malware die zich richt op pc’s. Deze malware probeerde 20 miljoen keer om door de bescherming van de FortiGate-appliances van Fortinet heen te breken om netwerken te infecteren. ZeuS toonde zijn slechte tronie voor het eerst in 2007 en blijft sindsdien een doorn in het oog van internetgebruikers. In 2011 werd de broncode van ZeuS gelekt en dat leidde tot een explosie aan varianten van na-apers die hun fortuin zochten bij onschuldige slachtoffers.

“Eind 2013 zagen we een interessante en schandelijke ontwikkeling, toen de infecties van ZeuS een nieuwe wending namen,” vertelt Henderson. “Hoewel ZeuS vaak werd gebruikt als een financiële Trojan, werd een toenemend aantal ZeuS-infecties ingezet om Cryptolocker ransomware te installeren en te activeren. Cryptolocker brengt ransomware op een hoger niveau omdat het uniek gegenereerde cryptografische sleutelparen gebruikt om de content van de computer te versleutelen, inclusief alle opgegeven drives die daar aan verbonden zijn. Het slachtoffer heeft vervolgens geen toegang tot deze content en kan ook geen bestanden meer op de drives zetten. Cryptolocker meldt slachtoffers dat zij binnen een korte tijd een flink losgeld moeten betalen, meestal door middel van Bitcoins. Dat kan soms oplopen tot een waarde van honderden euro’s voordat de versleuteling van de computer werd opgeheven.”

Slachtoffers variëren van thuisgebruikers die duizenden persoonlijke bestanden verliezen, zoals foto’s en privéfilms, tot bedrijven en overheidsinstellingen van elke omvang. Cryptolocker wist ook op andere manieren slachtoffers te maken, bijvoorbeeld via geïnfecteerde flashdrives, vaak in combinatie met valse programma-activering die veel voorkomen op websites voor het uitwisselen van bestanden, of via geïnfecteerde bijlagen bij e-mailberichten.

Top 10 Malwarefamilies gebaseerd op gerapporteerde incidenten

1.W32/ZeuS(Zbot)-familie

2.W32/Tepfer-familie

3.JS/FBJack.A

4.PDF/Script.JS

5.W32/ZeroAccess-familie

6.W32/Kryptik-familie

7.JS/IFrame-familie

8.W32/Yakes.B

9.X97M/Agent.F

10.W32/Blocker-familie

Zero-day kwetsbaarheden

Zero-day kwetsbaarheden zijn lekken of gebreken in nieuwe producten, die nog niet ontdekt zijn door hackers en andere cybercriminelen. FortiGuard Labs onderzoekt nieuwe producten die een waarschijnlijke kandidaat zijn voor misbruik actief op zero-day kwetsbaarheden. Zodra de onderzoekers een lek of gebrek vinden, deelt men dat vertrouwelijk met de leverancier volgens het Responsible Disclosure-protocol van FortiGuard Labs. De leverancier kan dan een update of patch naar gebruikers sturen om het lek te dichten of het gebrek te repareren. Sinds het onderzoek in 2006 begon, heeft FortiGuard Labs al 142 zero-day kwetsbaarheden ontdekt. Opvallend is dat 14 daarvan tot op heden nog steeds niet zijn gepatched. In 2013 ontdekte FortiGuard Labs 18 nieuwe zero-days en deelde die informatie met de betrokken leveranciers. Toch zijn 12 hiervan nog steeds niet gepatched. Het merendeel van deze kwetsbaarheden werd geclassificeerd als ‘belangrijk’ of ‘kritisch’.

 

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!