האם תוכנות הכופר בדרך לסמארטפונים שלנו

יום ה', 25 בספטמבר 2014

 

מאת גיל נוילנדר, מנכ"ל ESETישראל

 

בתקופה האחרונה מתרבים הדיווחים במדורי הטכנולוגיה ברחבי העולם על כך שתוכנות הכופר – Ransomware– הגיעו לאנדרואיד. עד כמה מטריד שזה נשמע, ועם האפשרות הריאלית שאיומים כאלה יהפכו להיות נפוצים מאוד בסמארטפונים ובטאבלטים מבוססי אנדרואיד בעתיד - אין צורך להיכנס לפאניקה (בינתיים).

בחירת כותרת למאמר או עלולה להפוך לפעמים למשימה לא פשוטה: איך אתה יכול לסכם סיטואציה מורכבת בצורה כזו שהיא גם תביע את מהות הסיטואציה, וגם תשתמש בכמה שפחות מילים? לפעמים התהליך הזה עלול להשתבש וליצור בלבול לא צפוי.

אחת הכותרות הראשונות שהתריעו על גילויה של תוכנת כופר ראשונה לאנדרואיד הצהירה בכותרת ש"נתגלתה תוכנת ריגול לאנדרואיד הזהה ל CryptoLocker". לאחר מכן, כשהסיפור הזה המשיך להתגלגל, מדורי טכנולוגיה ואתרי חדשות נוספים המשיכו להשתמש ב CryptoLockerכהשוואה לאותו איום שנתגלה לאנדרואיד. אנשי אבטחה ו- ITרבים עלולים לחטוף התקף עוויתות אם רק יתקלו בטעות במילה CryptoLocker– שלא בכדי נחשבת על ידי רבים לאחת מהנוזקות ההרסניות ביותר בכל הזמנים, עקב הנטייה שלה להצפין קבצים ללא הנד עפעף.

אבל למעשה, קיימים הרבה סוגים של תוכנות כופר ולא כולן כל כך מזיקות או אפקטיביות כמו ה CryptoLocker. אותה תוכנת כופר שנתגלתה לאנדרואיד, מזוהה על ידי ESET, כמו גם על ידי חברות אבטחה אחרות, בשם Kolerולמען האמת היא אחת מהפחות אפקטיביות ממשפחת תוכנות הכופר והיא מסווגת כתוכנת כופר לנעילת מסך בלבד – זאת בניגוד לתוכנות כופר "רציניות" המצפינות קבצים ודורשות תשלום כספי על מנת לשחררם. כלומר, היא מנסה לנעול את מסך המכשיר על מנת למנוע מהמשתמש גישה לפונקציות של המכשיר, אך היא בשום אופן לא מצפינה קבצים.

 

הכירו את Koler

יוצרי ה- koler  לא היו התחכמו יותר מדי ביצירת ההונאה והשתמשו בשיטות פשוטות ומוכרות של "הנדסה חברתית" (Social engineering) על מנת לגרום למשתמשים להתקין את האפליקציה הזדונית על המכשיר שלהם - במקרה הזה התקנה של נגן וידאו "מיוחד" לצפייה בסרטון שקר-כלשהו.

לאחר ההתקנה משתלטת על מסך הבית של המכשיר אזהרה שטוענת שאתה נמצא תחת המעקב של רשויות האכיפה עקב ביצוע של פעילות לא חוקית - במקרה זה צפייה בתוכנן פורנוגרפי לא חוקי - ודרישה לתשלום "קנס" על סך 300 דולר אותו ניתן לשלם באמצעות MoneyPakעל מנת להסיר את החסימה.

במקרה הזה, התוכנה הזדונית היא אפילו פחות אפקטיבית מהרגיל: היא לא נועלת את מסך המכשיר לחלוטין, אבל היא מנטרלת את כפתור ה"חזור", וישנו פער של 5 שניות בין הלחיצה על כפתור ה"בית" ועד שהודעת הכופר מופיעה שוב על המסך. האיום הזה עושה שימוש גם בטכניקות של הנדסה חברתית כדי לשכנע אנשים להתקין את האפליקציה, ובניגוד ל- CryptoLocker, הוא אינו מותקן בצורה שקטה או אוטומטית לאחר ההורדה.

ההתפתחות הבאה – Simplocker

אז ה- Koler לא הביא איתו את בשורת יום הדין עליה הצהירו כמה מדורי טכנולוגיה מעבר לים,  ונראה היה שמשתמשי הסמארטפונים יכולים להמשיך לישון בשקט - אך לא לזמן רב. בתחילת יוני חשפה ESETתוכנת כופר חדשה לאנדרואיד, אותה היא כינתה Simplocker. ההבדל המהותי בין ה Simplockerלנוזקות אחרות ממשפחת הכופר למכשירי אנדרואיד, היא היכולת שלה להצפין קבצים.

ה-Simplockerהיא לא מאוד מתוחכמת, אבל היא עלולה לגרום לכאב ראש לא קטן לקורבן אם הנוזקה הצליחה לחדור לו למכשיר ולהצפין קבצים, במיוחד אם מדובר במשתמש לא מנוסה, שעשוי להאמין להודעת הכופר שטוענת שמכשירו ננעל עקב צפייה בתכנים פורנוגרפים באמצעות המכשיר – עברה שבגינה מוטל עליו קנס כספי.

בזמן חקירת ההונאה, הבחינו חוקרי ESETשעיקר ההדבקות היו באזור אוקראינה. מעבר לכך, הודעת הכופר שמופיעה על מסך הבית במכשיר שנפגע נכתבה ברוסית ודרשהאת התשלום עבור הסרת ההצפנה במטבע האוקראיני הריבניה. בנוסף, גובה הקנס לא היה גבוה – כ 20 דולר – אותו נדרש הקורבן לשלם באמצעות שירות הנקרא MoneXyהמאפשר ביצוע תשלומים באופן אנונימי.

ממצאים אלו הובילו את חוקרי ESETלמסקנה שה Simplocker  היא אב טיפוס לתוכנת כופר מתקדמת יותר למערכת ההפעלה אנדרואיד שנמצאת בשלבי פיתוח, משום שזו מתודת העבודה של האקרים במקרים רבים – לשחרר לשוק תוכנה זדונית בגרסה מוקדמת או ראשונית, ובטח לא שלמה, כדי לבחון את ההשפעה שלה ואת ההתמודדות של משתמשים איתה. יכולות התוכנה, בכל הנוגע להצפנת קבצים, עדיין לא מתקרבות אמנם ליכולות של תוכנות הכופר לסביבת Windows, אך ההערכה היא שגם יכולות אלו ילכו וישתפרו עם הזמן.

מאוחר יותר גילוי ב ESETוריאציות מתקדמות יותר של הנוזקה. בגרסה העדכנית התוקפים כבר עברו לאנגלית, כללו גם את תמונת המשתמש בהודעת הכופר (התמונה צולמה באמצעות המצלמה הקדמית בזמן אמת במטרה להגביר את אפקט ההפחדה) ועדכנו את גובה ה"קנס" ל 300 דולרים.

האם תוכנות הכופר בדרך לסמארטפון שלנו?

אז אם ננסה לענות על השאלה שאיתה פתחנו את הכתבה – התשובה היא ככל הנראה כן. אך כדאי לסייג: תוכנות הכופר שראינו עד עתה התמקדו בפלטפורמת האנדרואיד ולא ב iOSאו ב Windows Mobile. מערכת ההפעלה של אפל היא סגורה ופחות סביר שנראה איומים מסוג זה ב iPhone, אך עם זאת מאותה סיבה בדיוק אנחנו לא צפויים לראות תוכנות אבטחה ל- iPhoneבקרוב, מה שמעלה את החשש שאם וכאשר ייווצר הצורך להגנה כזו בעתיד – היא לא תהיה בנמצא. גם מערכת ההפעלה של מיקרוסופט לסמארטפונים איננה חסינה, אך היא עדיין לא נפוצה מספיק כדי שמישהו יטרח ליצור עבורה נוזקה כה מורכבת.

כל האמור לעיל לא אומר שיום הדין הגיע או שצריך להיכנס לפאניקה – אבל צריכים להיות ערוכים. מודעות והיערכות מראש יכולה להוציא את כל העוקץ מהונאות הכופר ולגרום להן להיות איום זניח בין שלל האיומים הקיימים, והמזיקים לא פחות, לסביבת הסמארטפון. האתגר האמיתי יהיה העלאת המודעות וחינוך המשתמשים להתייחס למכשיר שלהם כאל מחשב לכל דבר. בעיקר משום שרוב הנוזקות שהזכרנו כאן, מצליחות לחדור למכשירים עקב פעולה תמימה של המשתמש.

הניסיון שלנו מטיפול בקורבנות ה CryptoLockerהידוע לשמצה לימד אותנו שתוכנות הכופר הן לא דבר נעים להיתקל בו. משתמשים פרטיים רבים איבדו מידע בעל ערך רגשי ובתי עסק קטנים, שלא הקפידו על מדיניות אבטחת מידע, לעיתים ניצבו על סף פשיטת רגל נוכח אובדן המידע העסקי הרגיש (זה קרה במקרים שהמידע לא היה מגובה ולא ניתן היה לשחזרו, ואפילו תשלום הכופר גם הצליח להחזיר את המידע האבוד).

הדבר הטוב ביותר שניתן לעשות כבר מרגע זה הוא לבצע גיבוי תדיר של המידע שנמצא על הסמארטפון שלכם – כך גם אם יגיע אותו 'יום הדין' והמכשיר שלכם יוצפן, תוכלו לשחזר את כל המידע שאבד מבלי לשלם שקל לתוקפים. במשפט מוסגר ראוי לציין שגם קורבנות CryptoLockerרבים ששילמו את הכופר, לא זכו לראות את הקבצים שלהם בחזרה.

מעבר לכך יישום של עקרונות האבטחה הרגילים כמו לא ללחוץ על לינקים מפוקפקים או להתקין אפליקציות ממקומות לא מורשים ושימוש באפליקציית אבטחה שמסוגלת לסרוק קבצים לפני התקנתם ישמרו עליכם מוגנים לא רק מתוכנות הכופר אלא מכל איום אחר שקיים היום לסמארטפונים.