25 сентября, 2014
Макость.2014 — эволюция яблочных паразитов.
Есть ли вирусы на Маке?
Да! Есть! Но что-то подозрительно давно ничего интересного на эту тему я здесь не рассказывал.
Прошло 2,5 года с момента глобальной эпидемии червя Flashback, заразившего 700 тыс. Маков по всему миру. Мы тогда немного пошумели по этому поводу для «поднятия тонуса» среди маководов – и потом тишина…
Для человека со стороны может показаться, что с тех пор на этом фронте было полнейшее затишье и ни один вредонос не потревожил спокойствие водной глади в яблочной бухте. Но это не совсем так.
Да, если сравнивать уровень зловредства на разных платформах, то в «лидерах», как обычно, — самая распространённая платформа Microsoft Windows. Со значительным отрывом за ней следует Android. За прошедшие пару-тройку лет компьютерные негодяи всерьёз взялись за зелёного робота и потрошат Android-устройства с экспоненциально нарастающей активностью. В мире Айфонов и Айпадов пока практически абсолютный ноль, за исключением редких шпионских атак, умудряющихся заражать сверхбезопасные гаджеты разными экзотическими способами. В среде Маков тоже пока тишь да благодать… но уже не столь безмятежная. И про это будет рассказ.
Краткое содержание:
- количество новых мак-зловредов за год исчисляется уже сотнями;
- за 8 месяцев 2014г. обнаружено 25 семейств мак-зловредов;
- вероятность подхватить мак-неприятность составляет приблизительно 3%.
Есть ли вирусы на Маках? В 2013 было обнаружено ~1700 вредоносных файлов для Mac OS XTweet
Если надкусить копнуть поглубже и посмотреть на ситуацию изнутри, с точки зрения эксперта по вирусам, то картинка гораздо менее радостная. Мак-угрозы эволюционировали, восприятие Мак-безопасности среди пользователей изменилось и самый главный вопрос — что нам ждать в будущем? Без эмоций, только цифры, факты, хладнокровный анализ и непредвзятое обсуждение в комментах приветствуется.
Прежде всего – фронтовые сводки.
Что такого интересного стряслось с вирусной угрозой для Маков за последние годы? Начну вот с такого красноречивого графика. Это количество вредоносных Mac OS X файлов в нашей коллекции. Сколько мы отлавливаем новых Мак-зловредов ежегодно.
2014* — оценка
Как видно из графика, всего 4 года назад «зловредный яблочный улов» измерялся всего-то несколькими десятками штук в год, но в 2011м году наступил резкий перелом и на протяжении последних лет количество новых мак-зловредов за год исчисляется уже сотнями.
Что именно отлавливается?
За 8 месяцев этого (2014) года мы поймали и задетектили почти тысячу уникальных атак на Маки, которые группируются в 25 основных семейств. Пару слов о самых интересных экземплярах:
- Backdoor.OSX.Callme – распространяется в теле специально сконструированного документа MS Word, который при запуске через уязвимость устанавливает в систему бэкдор. Предоставляет злоумышленнику удаленный доступ к системе. Заодно ворует список контактов, видимо, для поиска новых жертв.
- Backdoor.OSX.Laoshu – каждую минуту делает скриншоты экрана. Оказался подписанным доверенным сертификатом разработчика. По всей видимости вирусописатели готовились разместить его в AppStore.
- Backdoor.OSX.Ventir – многомодульный троян-шпион с функцией скрытого удалённого управления. Из интересного: несёт в себе драйвер перехвата нажатий клавиатуры logkext, который доступен публично с исходном коде.
- Trojan.OSX.IOSinfector – установщик мобильной версии Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis) – ага, заражает Айфоны.
- Trojan-Ransom.OSX.FileCoder – первый шифровальщик файлов на OS X. Условно рабочий. Багливый прототип.
- Trojan-Spy.OSX.CoinStealer – первый похититель биткоинов для OS X. Маскируется под несколько разных биткоин-утилит с открытым исходным кодом. На самом деле устанавливает вредоносное расширение браузера и/или пропатченный вариант bitcoin-qt (утилита с открытым исходным кодом для майнинга биткоинов).
Краткое описание самых интересных вирусов для Mac OS X, найденных в 2014г.Tweet
Логичный вопрос: зловореды зловредами, а насколько этот зоопарк представляет реальную угрозу для пользователей? Как вероятно подхватить эту заразу? И какая зараза более всего распространена?
Тут на помощь приходит статистика срабатываний антивируса из нашей облачной системы KSN. Но прежде чем анализировать цифры – важный дисклеймер: это данные исключительно по пользователям наших продуктов. Как распространены вредоносы в глобальном масштабе, в том числе среди пользователей других антивирусов и без антивирусов вообще – это неблагодарное и приблизительное дело экстраполяций на основе данных из разных источников. Однако тут тоже стоит покопаться, чтобы было о чём поговорить в кулуарах :)
Итак, топ-20 срабатываний для Mac OS X за 2013-2014 гг.
| Вердикт | Количество срабатываний | % |
| AdWare.OSX.Geonei.b | 56271 | 39,15 |
| Trojan.OSX.Vsrch.a | 28222 | 19,63 |
| AdWare.OSX.Geonei.d | 23904 | 16,63 |
| Trojan.OSX.Yontoo.i | 7595 | 5,28 |
| AdWare.OSX.FkCodec.b | 6395 | 4,45 |
| Trojan.OSX.Yontoo.h | 3636 | 2,53 |
| Trojan.OSX.Yontoo.j | 3366 | 2,34 |
| AdWare.OSX.Geonei.c | 2889 | 2,01 |
| Trojan.OSX.Yontoo.a | 2079 | 1,45 |
| AdWare.OSX.Geonei.e | 1758 | 1,22 |
| Trojan.OSX.FakeCo.a | 1413 | 0,98 |
| Trojan.OSX.Okaz.a | 1126 | 0,78 |
| Trojan-Downloader.OSX.Vidsler.a | 868 | 0,60 |
| RemoteAdmin.OSX.AppleRDAdmin.c | 677 | 0,47 |
| AdWare.OSX.Bnodlero.a | 656 | 0,46 |
| Trojan.OSX.Yontoo.b | 633 | 0,44 |
| AdWare.OSX.FkCodec.a | 609 | 0,42 |
| Trojan-Downloader.OSX.FavDonw.c | 571 | 0,40 |
| AdWare.OSX.Geonei.a | 544 | 0,38 |
| Trojan.OSX.Yontoo.d | 533 | 0,37 |
Вдогонку – география распространения маковской малвары за этот же период:
Заметьте: около половины срабатываний — AdWare, 2/3 всех срабатываний приходится на три первых вердикта, география распространения мак-малвары в целом совпадает с популярностью Маков (и это в основном развитые страны, где у потенциальных жертв водятся деньги), знаменитый Flashback в двадцатке отсутствует.
География распространения и топ-20 самых «популярных» вирусов для Mac OS XTweet
Какие из этих данных следуют выводы?
Во-первых, кибер-преступникам проще зарабатывать на условно легальных подходах (назойливая реклама это тоже деньги, а вкупе с масштабным заражением немалые).
Во-вторых, судя по общему технологическому уровню малвары, вирусописатели для Mac OS X – довольно продвинутые типы. В отличие от вирусов для Windows «макость» перемахнула через стадию детских поделок ради забавы — за платформу сразу взялись серьёзно, серьёзные люди. Вполне возможно, они отточили своё «искусство» на Windows и пришли сюда осваивать новые, неизведанные «земли» в поисках новых заработков. Деньги есть, пользователь непуганый – значит заработать можно, надо только напрячь мозги.
В-третьих, за Mac OS X серьёзно взялись профессиональные шпионские группы. Многие APT-атаки в последнее время обзавелись маковскими-модулями, например — Careto, Icefog, целевые атаки против уйгурских активистов. Да, это точечные, НЕ массовые атаки, нацеленные на конкретных жертв и потому в «топы» не попадающие. Однако от того не менее опасные. Особенно если ваши данные представляют интерес для спецслужб.
Теперь давайте разберёмся в практической значимости этих цифр.
Действительно, на фоне масштаба бедствия на Windows сотня тысяч срабатываний за полтора года выглядит как-то совсем уныло и даёт повод сказать, что на самом деле никакой угрозы нет. Ну, или почти нет. Но «почти нет» настолько, что можно расслабиться и в вопросах безопасности полностью положиться на Apple. Иными словами, отказаться от защиты вообще.
И чтобы понять кто тут параноит, а кто тут неправ :) надо снова обратиться к данным KSN. А именно – подсчитаем уровень заражённости, или соотношение количества установленных антивирусов и количества их уникальных срабатываний.
В августе вероятность в течение месяца подхватить на Маке специфическую маковскую неприятность составила приблизительно 3%. Ну, не так страшно на фоне 21% вероятности заражения для пользователей Windows (тоже данные KSN), но всё же – по крайней мере 10 раз в год к активному Интернет-пользователю в компук весьма вероятно заглянет вредонос.
Согласно @e_kaspersky_ru вероятность заразиться вирусом на Маке 3%, на Windows — 21%Tweet
А дальше становится ещё интереснее.
Во-первых, на пользователей Маков охотится не только заповедная маковская малвара. Есть другие виды атак, которым всё равно какая операционная система установлена на компьютере. Например, фишинг или MiTM-атаки. А это, на минуточку, очень распространённые угрозы, которые бьют в первую очередь по кошельку банковскому счёту, ключевым веб-сервисам и социальной активности жертвы.
Во-вторых, по Макам бьёт и другой тип не совсем маковских угроз, а именно дыры в софте сторонних производителей, которые используются кибер-негодяями для проникновения. Например, Java, Flash или Silverlight. Этого софта по умолчанию на Макоси нет, но многие пользователи всё равно скачивают и устанавливают, чтобы полноценно впитывать все прелести веба.
Трудно сказать, какова будет вероятность атаки, если учесть все перечисленные напасти. Думаю, раз в несколько уж точно вырастет.
В-третьих… ну, это уже не совсем о вирусной угрозе. На самом деле антивирус – это уже давно не просто хрень, которая висит в фоновом режиме и как-то незаметно от чего-то там спасает. «Наша служба и опасна и трудна и, на первый взгляд, как будто не видна…». Современный антивирус содержит в себе множество других полезных фичей, которые идут далеко за пределы канонического представления об этом софте. Например, родительский контроль, менеджер паролей, проверку надёжности Wi-Fi, блокировку веб-камеры и сотни других функций. Да, маковские продукты пока отстают от своих PC-братьев по функционалу, но потихоньку к этой планке подтягиваются.
3 причины, почему нужен антивирус для Mas OS XTweet
А теперь немного фруктологии футурологии.
Вопрос, который свербит давно и у многих. Почему же на Маках так мало малвары и стоит ли ждать ухудшения ситуации?
Я много раз говорил, что есть три главных условия существования вредоносных программ на конкретной платформе: (i) платформа должна иметь незащищённую архитектуру и уязвимости, (ii) быть достаточно распространённой и (iii) иметь открытые средства разработки для сторонних приложений. На Mac OS X «буксует» только пункт 2.
«Ха!», — скажет осведомлённый читатель. В мире больше 80 миллионов устройств на Макоси! Неужели этого недостаточно? Ну, вот и ответ, ага. Не-до-ста-точ-но. Особенно на фоне 1,5 (полутора) миллиардов (sic!) Windows-машин.
Тут уже писалось об экономике компьютерного андерграунда. Этот закон универсален для любой платформы и Mac OS X тут не исключение. Кибер-негодяям нет смысла распылять силы, когда перед ними непаханые поля Windows-компьютеров без антивирусов, с необновлёнными или бесплатными дырявыми антивирусами. «Нас и тут неплохо кормят» ©
Вопрос упёрся в другое – какова критическая масса, когда андерграунду станет экономически эффективно заинтересоваться Маками? Я раньше кивал на 5-7% мировой installed base, но оказалось, что маловато. В этом году доля Mac OS X вплотную приблизилась к 10%. Вирусописатели зашевелились, но как-то неуклюже, нехотя и по большей части концептуально.
Экстраполируя тенденцию, года через три Apple может занять уже процентов 15 рынка. Будет ли это триггером для бурного развития малвары?
Не знаю. Для бурного – скорее всего нет. Но активизация будет точно. Уж точно положительная тенденция сохранится и даже наверняка зашкалит выше нынешних значений. Другие мнения на этот счёт есть?
Что произойдёт, когда рыночная доля Макоси накопит критическую массу? Я думаю, что сначала произойдёт несколько крупных эпидемий с реальными жертвами и значительными денежными потерями. А потом случится цепная реакция – вирусописатели, почуяв лёгкую и многочисленную добычу, начнут массово переключаться на эту платформу.
Другой возможный сценарий развития ситуации – выход из под контроля какой-нибудь APT-атаки против Mac OS X. Например, глобальная эпидемия из-за бага недокументированной фичи зловреда или утечка технологии атаки, её распространение в компьютерном андерграунде и появление многочисленных клонов.
Реальную «температуру по больнице» в области мак-безопасности просчитать трудно, ведь большинство Мак-пользователей до сих пор живёт в уверенности в святости и непогрешимости любимого вендора. Поэтому, что именно происходит на десятках миллионов незащищённых Маков – неизвестно. Собственно, именно из этой сумеречной зоны случайно и выцепили червя Flashback в марте 2012г. Какие там ещё звери водятся? Чем они там занимаются? Кто именно там кукловодит – обычные кибер-негодяи или «беловоротничковые» бизнесмены с наёмными программистами? Интересных вопросов много и мы потихоньку будем находить на них ответы. И нам нужна ваша помощь: мы не можем спасти вас насильно – позаботьтесь о своей безопасности сами, сделайте хотя бы первый шаг.
А пока что вот несколько простых советов, как содержать ваш Мак в порядке и безопасности.
На этом всё про кибер-садоводство, оставайтесь на моей волне. Истории ещё будут, и чем дальше тем интереснее.
P.S. Интересное не заставило себя ждать. В Юниксовом шелле нашли дыру громадного размера. Linux, Unix и, конечно, Макось спешно делают патчи, пока не очень получается. Пользователям и админам рекомендуется срочно апдейтить свои системы. Любопытно, какой процент мак-юзеров накатит патч, а как много так и останутся с дырявым шеллом, открытым для любого мерзавца? «Бластера» ещё не забыли? А ведь тогда Микрософт выкатил патч за месяц до катастрофы… Под «катастрофой» я имею ввиду грандиозный блекаут на востоке США.
