Android nutitelefoni ja tahvelarvuti viirused, muu pahavara ja kaitse

Android virus symptoms and protectionEsimene android süsteemile SMS trooja Android/FakePlayer avastati augustis 2010. aastal. Tegemist oli pahavaraga, mille kasutaja ise paigaldas teadmatusest nutitelefoni, mis seejärel hakkas saatma sõnumeid tasulistele telefoninumbritele. Juba siis ennustati turvaspetsialistide poolt pahavara leviku mõningat tõusu android nutisedmetes, kuid kui lugeda turvafirma ESET 2012. aasta lõpus avaldatud rapordit viiruste leviku kohta, siis tõdetakse, et sellist mobiilse pahavara kiiret kasvu nii lühikese aja jooksul peetakse uskumatuks ja isegi harukordseks nähtuseks.

Kuigi arvutiviirused pole kuhugi kadunud, siis ESET Eesti juhi Allan Kinsigo sõnul võib kindlalt väita, et juba eelmise aasta pahavara leviku ühisnimetusena võib öelda, et ” Malware Goes Mobile”.  Ehk siis küberkurjategijad jälgisid hoolsalt trende ja rahalise kasusaamise eesmärgil hakkasid genereerima rohkem pahavara just mobiilsetele seadmetele, mis käesoleval 2013. aastal on omakorda hüppeliselt kasvanud.

Pahavara kiire kasv Android süsteemile

Selle aasta trendina võib nimetada, et mobiilne pahavara eriti just android opsüsteemidele, kuna AndroidOS turuosa on kõige suurem, on muutunud keerukamaks ja raskemini avastatavaks, samuti on laiendanud kurjategijad oma pahatahtlikku tegevust. Mobiilsest pahavarast umbes 97% on loodud just Android platvormile. Kui 2010 lõpus ja 2011 aasta alguses olid levinud peamiselt SMS pettused ja ka käesoleval ajal on SMS troojad kõige levinum pahavara liik Android seadmetes, siis nüüd haaratakse kinni igast võimalusest, kuidas mobiilseadme pahavaraga nakatamisest kasu võib saada. Üha rohkem püütakse ligi pääseda kasutaja kontaktidele aadressiraamatus, et leida uusi ohvreid. Pole ime, et kui teile saadetakse kiri lingiga, mille avate mobiilseadmes, ja seejärel nakatatakse nutiseade pahatahtliku koodiga, mis varastab nii teie kontaktide nimekirja või ka muud andmed.

Android telefonid ja nende nakatumine viirustesse

Samuti, kuna nutitelefoni või väiksest tahvelaarvutit on mugav kaasas kanda, salvestavad inimesed üha rohkem neisse oma isiklikke ja tööalaseid ettevõtte andmeid või salajast infot, ka mobiilse internetipanga paroole või mõnda serverisse sisslelogimisandmeid, et seda mitte näiteks ühiskasutatavas arvutis jagada, kus see oleks kõigile näha. Üha rohkem kasutatakse nutitelefone fotoaparaadina või videokaamerana ning kui ka kasvõi lõbusa meeleolu hetkeajendil teete mõnel saunapeol või kodus salaja üksteisest siivutuid pilte või videosid, on need kõik aga kurjategijatele magus saak. Igasugused paroolid ja tundlik info näiteks ettevõtte kohta jäetakse loomulikult enda teada kuritegude toimepanemiseks, aga fotod ja videod võivad internetti lekkida või siis saadakse nende abil mobiilseadme omanikke šantažeerida ehk kompromiteerida ähvardustega ning raha välja pressida, et neid ei levitataks.

Android telefoni andmed, mida varastatakse viiruste abil

Mobiilset internetti kasutades võidakse teid aga viia kuritahtliku vahendaja veebiserverisse, mis nakatab teie nutiseadme. Näiteks trooja hobune Android.Fakeflash installib teie Android nutiseadmesse võlts Flash Player rakenduse, et suunata teid nakatunud veebilehele.

Android seadmetele pahavara võib esialgu jagada peamiselt  kolme klassi:

  1. Info vargus nuhkvara abil (spyware)
  2. SMS troojad, mis saadavad sõnumeid tasulistele numbritele
  3. Troojad, mis muudavad teie nutiseadme zombieks ehk kurjategijad saavad haarata kogu võimu nutitelefoni üle enda kätte ja siis vastavalt oma soovidele kasutada seda milleks iganes, mis neile raha sisse võib toob – paigaldada eemalt teisi pahatahtlikke koode, kasutada telefoni SMS saatmisteks tasulistele numbritele, varastada infot nagu kontaktide nimekirja, sõnumeid, pilte, videoid või muud olulist infot, paigaldada tagauksi (Backdoor) või väga kiiresti luua suur mobiilne botnet ning muuta nutiseadme konfigutatsiooni seadeid.

Android nutitelefoni nakatumine viirustesse, troojasse, nuhkvarasse

Levinumad pahavara variandid Android süsteemidele

Ehkki järjest enam kirjutatakse androidile täiesti uusi pahavaralisi koode, siis kurjategijatel on lihtsam kasutatada juba olemasoleva pahavara koodide modifikatsioone, et vältida android platvormile loodud viirusetõrjete eest kiiret avastamist. Näiteks kui Android/TrojanSMS.Agent pahavara perre, mille liikmed küll erinevad üksteisest, kuid mille kõigi eesmärgiks on tellida nakatunud nutitelefonist tasulisi sõnumiside teenuseid, loodi 2011. aastal 31 uut varianti, siis järgmisel aastal tõusis uute variantide arv juba 153-ni. Või kui näiteks troojat Android/TrojanSMS.Boxer oli 2011. aastal vaid 5 varianti, siis 2012 aastal leiti uusi modifikatsioone 36 korral. Sama on ka tundlikku isiklikku- või ettevõttealast infot varastava troojaga Android/DroidKungFu – 10 varianti oli 2011. aastal, kuid järgmisel aastal leiti neist juba 33 muudetud varianti. Kui aga arvestada TrojanSMS.Agent või TrojanSMS.Boxeriga android süsteemide nakatumisi võrreldes varasemate aastatega protsentuaalselt, siis see on olnud peadpööritav ehk tõusnud rohkem kui 700%.

Android nutitelefoni turvalisus, kaitsemeetmed viiruste vastu

Kuna käesolev aasta on poole peal, siis nende sõjakate võitluskunstide nimedega troojate uute variantide kasvu ei oska hetkel öelda, kuid neid on kindlasti tulnud märgatavalt rohkem juurde, kui varasematel aastatel.

Tugevalt on kanda kinnitanud troojad Android/Spy.Zitmo ja Android/Spy.Spitmo. Mõlemad on pangandustroojad android süsteemile ja oma nime on nad saanud kurikuulsatelt tavaarvuti teel levivatelt troojatelt Zeus ja SpyEye:  Zeus – Zitmo ja SpyEye – Spitmo. Kuidas need troojad täpsemalt android süsteemis infot varastavad, sellest saab lugeda turvafirma McAfee blogist.

Suurt hoogu kogub ka trooja hobune Trojan:AndroidOS/Plankton, mis võib muuta nutiseadme konfiguratsiooni ehk sätteid või varastada salvestatud teavet. Trojan:Android/GinMaster, mida levitatakse peamiselt seksikate piltide, mängude või mobiilihelinate sisse peidetuna ning millele nüüdseks on juba üle 6000 erineva pahavara variandi loodud, loob nutiseadmesse installeerides mobiilse tagaukse, saavutades kontrolli seadme üle.

Kummaline ülesanne on aga troojal Android/Stampeg, mis justkui ise mingit kasu ei otsigi, kuid selle-eest teeb hävitustööd palju – nimelt otsib ta nutifonist .jpg lõpuga fotosid või pilte kaustadest /sdcard/DCIM/Camera/ ja kirjutab kõik leitu üle oma failidega. Need on vaid mõned loetletud pahavara vormid, android süsteemile pahategijaid on teisigi palju, näiteks pahavara, mis blokeerib tarkvarauuendusi, et juba nutitelefonis olev pahalane ei hävineks. Veel mõnest android süsteemile mõeldud pahavarast saab lugeda ka turvafirma McAfee lehelt.

Android viiruste levik nutitelefonides ja android tahvelaarvutites

Kuidas nutitelefon nakatub ja kuidas selle vastu kaitsta

Kõige esimesena peab nutiseadme kasutaja süüdistama iseennast, sest enamik nakatumisi toimuvad seeläbi, et seadme omanik laadib sellesse rakendusi või mänge ebaturvalistelt kolmanda osapoole rakenduste lehtedelt, mitte Google Play lehelt. Kuid tuleb arvestada, et ka Google lehelt äppe laadides võib juhtuda, et kurjategijate poolt on üles laetud pahavaralise koodiga rakendusi, mida veel avastatud pole. Näiteks SMS troojat Android/TrojanSMS.Boxer avastati 2012. aastal lausa 22 Google Play rakendusest. Olgugi, et kurjategijad on kavalad ja kiiremad, kui Google Play rakenduste ülevaatajad, siis ikkagi kasutage rakenduste allalaadimiseks ainult seda lehte, sest reeglina avastatakse sealt nakatatud rakendused kiirelt, mis eemaldatakse koheselt. Rakendusi installeerides ärge valige alles saidile üles laetud värskeid  äppe vaid oodake paar nädalat ja otsige infot rakenduse tegija kohta põhjalikumalt.

Teiseks ohuks on see, et kasutaja suunatakse läbi mobiilse interneti võlts-leheküljele, millest eelnevalt kirjutasin. Samuti võidakse levitada pahatahtlikku koodi läbi e-posti või sotsiaalsete võrgustike, seega ei ole just soovitav läbi mobiilse seadme avada igat linki nii internetis, Skypes, Facebookis kui ka postkastis, isegi kui selle saadab sõber. Mõningatel juhtudel võib sõber ise olla enese teadmata vahendajaks pahavara levitamisel.

Viirusetõrjed android nutitelefonidele ja tahvealarvutitele

Viimasel ajal on suureks trendiks hoida oma nutiseadmetesse salvestatud andmeid (olgu selleks pildid, videod või dokumendid) andmepilvedes. Kuid nagu igasugused arvutisüsteemid nii ka pilved ei ole vabad ohtudest ja võivad põhjustada teabe leket. Näiteks Q-CERT meeskond on turvahaavatavusi leidnud ka populaarsest pilvehoidlast Dropbox ja mõningatel andmetel on suudetud mõnesse kontosse ka sisse murda. Praeguseks on küll turvavead parandatud, kuni kräkkerid uued avastavad. On tõenäoline, et mida rohkem hakatakse kasutama pilvetehnoloogiat, seda suurem huvi on kurikaeltel neid teenuseid ära kasutada, otsides neist turvavigu sisenemiseks, et loomulikult ise kasu saada.

Suureks ohuks on ka Android OS ja rakenduste enda turvavead. Näiteks 2012 aastal oli turvaviga android OS süsteemis, mis võimaldas kräkkeril siseneda nutiseadmesse, taastada tehaseseaded ja seeläbi kustutada kõik kasutaja andmed. Seega, väga oluline on alati uuendada nii operatsioonisüsteemi kui ka rakendusi esimesel võimalusel, kui nutiseadmes värskendusi pakutakse.

Ja mis kõige peamine! Nutiseadmete kasutajad ei kasuta tavaliselt viirusetõrjeid, sest näiteks nutitelefoni omanikud loevad selle lihtsalt telefoniks, nagu vanasti,  unustades, et nutiseadmed on siiski n-ö miniarvutid. Ja ega enne targemaks ei saadagi, kui häda on käes ja nutiseade mistahes pahavarasse nakatunud – see juhtub väga järsku, ootamatult ja võibolla juba täna!

Kaitse android nutitelefonidele, tahvealarvutitele viirusetõrje näol

Viirusetõrjetest android operatsioonisüsteemile, mis kuuluvad paremate sekka või mida eriti ei soovita, neist teeme edaspidi põhjalikumaid ülevaateid. Seni võib igaüks ise endale sobiva Google Play lehelt leida. Kes soovib teada, millise mobiilse viirusetõrje, nii tasuta kui tasulise, viiruste avastamise protsent android süsteemile on parem, võib külastada av-test.org lehte.

Artikli kirjutamisel on kasutatud ESET Eesti esindusest saadud materjale pahavara leviku kohta mobiilseadmetele.

arvutiturve.wordpress.com

Winmail.dat Reader – kuidas avada ja lugeda Outlook saadetud Winmail.dat faile

Arvutiturve lugeja Urmas küsis kolm-neli kuud tagasi:Winmail.dat fail ja Microsoft Outlook

„Tellisin eesti netipoest veebikaamera ja sain ta kätte, kuid sellel puudus eesti keelne tõlge. Oli imepisikeses kirjas inglise ja hiina keeles. Saatsin neile internetipoodi palve saata mulle eestikeelne juhend. Vastuseks sain meili, millele oli lisatud manus winmail.dat failina ja see ei avanenud. Tahaksin küsida, kas mul on võimalust avada seda meilimanust juhendiga?“

Üsna hiljuti küsis ka üks mu teine sõber, et sai ühelt firmalt hinnapakkumise, mis oli saadetud ta postkasti manusena  winmail.dat formeeringus ja ka tema ei osanud seda faili avada.

Outlook windows.dat manused - kuidas lugeda

Vastus:

Lihtsalt seletatult saadetakse winmail.dat manus meiliprogrammi Microsoft Outlook poolt vaikesätteid kasutades. Kuna tegu on Microsofti poolt MS Outlook enda jaoks arendatud süsteemiga, siis kirjas olevat lihtteksti ja manuseid suudab lugeda vaid Outlook meiliprogramm ise, kui muidugi kirja saaja seda kasutab. Kuid enamik teisi e-posti kliente paraku neid manuseid ei suuda avada ja lugeda. Selleks tuleb kasutada kolmanda osapoole programme. Loe ka keerukamat sõnaseletust, mida tähendab winmail.dat fail.

Kui firmad, ettevõtted või eraisikud saadavad MS Outlooki kasutades winmail.dat manuseid teadmatusest, siis see on andeks antav ja tuleb paluda neil oma MS Outlook vaikesätteid muuta (saatke kasvõi seesama artikkel neile teadmiseks).

Outlook vaikeseadete muutmiseks tuleb valida menüüst Tools (Tööriistad) – Options (Suvandid) – Mail Format (Meilivorming) – Message Format (Sõnumivorming ) – Send in this message format (Koosta selles sõnumivormingus) ja määrake tüübiks HTML või Plain text (Lihttekst).

Lisainfot Outlook 2007 ja 2010 sätete muutmiseks saab veel siit ja siit.

Kui aga taolised kirjad saadetakse teadlikult ja meelega tavakasutajale, kes ei ole selliste winmail.dat failide avamisega kursis, ja seeläbi püütakse neid eksitada, siis see on saatja poolt ebaeetiline ja ebaprofessionaalne.

Kui ma näiteks avasin Urmase saadetud manuse, mis oli talle saadetud ühe lugupeetud ja IT-asjanduses kursis oleva firma poolt, mis tegeleb ka e-kaubandusega, siis selgus, et tegemist oli kõige lihtlabasema kasutaja eksitamisega, lootes, et ta ei saa asjast aru ja jätab selle sinnapaika. Kuna firma ja Urmase kirjavahetus toimus varem kõige tavalisemal moel, millest oli kenasti aru saada, siis jääb arusaamatuks, et Urmase palvele saata talle ka veebikaamera eesti keelne juhend, vastati kirjaga, milles oli winmail.dat fail. Kui ma avasin faili, siis oli aru saada, miks püüdis firma Urmast eksitada – winmail.dat sõnumis oli vastus, et „Puudub eesti keelne juhend.“

Outlook winmail.dat faili avamine

Kuna Eestist ostetud kaupadele ja eriti just keerulistele tehnilistele seadmetele, mis on ostetud kas tavakauplusest või e-poest, kehtib nõue, et firmad peavad tagama ka eesti keelse juhendi, siis on arusaadav, miks püüdis see firma salakavalalt vastutusest pääseda.

Winmail.dat Reader

Winmail.dat files opener

Manuse avamiseks kasutasin rakendust Winmail.dat Reader. Selle tasuta programmi abil saab avada ja lugeda ning salvestada originaalkirja teksti või manuseid, mis on saadetud winmail.dat failina.

Kasutamine on väga lihtne. Kõigepealt tuleb e-postkastist salvestada arvutisse winmail.dat fail (videos tirin näitena alla ka teise kaasasoleva faili). Seejärel tuleb avada programm Winmai.dat Reader, valida Open Winmail.dat, otsida arvutist üles salvestatud winmail.dat fail, misjärel saabki lugeda originaalteksti või vaadata näiteks pilte ja dokumente, mis võivad olla samuti selle kirjaga kaasa pandud.

Winmail.dat failid ja manused

Programm on saadaval operatsioonisüsteemile Windows ja ka Android põhistele süsteemidele. Arendaja Bruno Marotta on üles seadnud Mac OS, Linux, iPad, iPhone, Blackberry jaoks ka online-versiooni winmail.dat failide lugemiseks, kuid hetkel on see veel katseversioon (beta).

Samuti sellel lehel soovitab ta winmail.dat avajaid ja lugejaid Linux´ile (TNEF), Apple Mac OS X-ile (TNEF’s Enough) ja iPad/iPod/iPhone´le (Letter Opener).

Mitmeid programme Windows´ile, Apple Mac OS X, Linux´ile, iPad ja iPod´ile, Android süsteemile jne, mis avavad winmail.dat faile, leiab veel sellest artiklist.

Video Winmail.dat Reader´ist, kuidas programmi arvutisse tirida ja paigaldada ning kasutada:

Sama videot näeb ka Arvutiturve Dailymotion videokanalilt

http://www.dailymotion.com/video/xq1qhx_how-open-and-read-winmail-dat-files-attachments_tech

arvutiturve.wordpress.com

Mis on Winmail.dat fail (manus) ja mis on TNEF sõnumiformaat

What is winmail.dat attachment and how open itWinmail.dat manused (attachment) saadetakse Microsoft Outlook poolt. Kui MS Outlook kasutab vaikimisi seadeid, siis kodeeritakse kõik kirjas olevad rich-text elemendid ja manused TNEF kodeeringuga sõnumiks. Rich Text Format (RTF*) toetab teksti vormindamist ja muid graafilisi elemente. RTF on tihedalt seotud TNEF -iga (Transport Neutral Encapsulation Format), mis kasutab MAPI atripuute. MAPI (Messaging Application Programming Interface) on Microsofti poolt välja arendatud sõnumite ehitusviis ehk struktuur. *RTF vorming erineb täielikult Microsoft Word dokumendi formaadist RTF.

TNEF on samuti Microsofti põhine formaat, mis kasutades sõnumis olevat algset lihtteksti ja manuseid, vormindab ehk pakib need kokku tavaliselt Winmail.dat failiks. Winmail.dat-manus võib sisaldada sõnumi algset vormindust (front, teksti suurus ja värvid), kaasa lisatud pilte või teisi manuseid, Microsoft Office dokumente jne.

Ainult MAPI-ga ühilduv e-posti klient, kui kirja saaja kasutab seda oma postkastina, näiteks MS Outlook ise, saab neist sõnumitest aru ja ilma et näidatakse Winmail.dat manust, kuvatakse kirjas originaalsõnumi sisu. Kuna tegemist on Microsofti poolt aretatud süsteemiga ainult Microsoft Outlook jaoks, siis 99% teised e-posti klientidest, näiteks Google Gmail e-post,  Elion Live Hot e-posti klient, Thunderbird, Axigen mail server, IBM Lotus Notes jne, ei saa manusesse pakitud winmail.dat faili sõnumitest aru. Kummalisel kombel ei saa neist sõnumitest aru ka Outlook Express, mis on samuti Microsofti meiliprogramm, kuid mis erineb Microsoft Outlook´ist. Winmail.dat manuste avamiseks ja lugemiseks tuleb kasutada kolmanda osapoole programme.

Paljud programmid Windows´ile, Apple Mac OS X, Linux´ile, iPad ja iPod´ile, Android süsteemile jne, mis avavad winmail.dat faile, leiab sellest artiklist.

Lihtsamat seletust ja ülevaadet ühest programmist nimega Winmail.dat Reader, millega saab avada samuti selliseid manuseid, saab lugeda artiklist Kuidas avada ja lugeda Outlook saadetud Winmail.dat faile.

Kasutatud allikad: http://technet.microsoft.com, http://en.wikipedia.org, http://help.outlook.com/et, http://blogs.msdn.com, http://support.microsoft.com, http://msdynamicswiki.com ja paljud teised.

arvutiturve.wordpress.com

%d bloggers like this: