Tietoturvayhtiö Check Point Softwaren haittaohjelmakatsaus nostaa esiin Androxgh0stin nousun sekä Jokerin ja Anubiksen jatkuvat uhat ja entistä kehittyneemmät toimintatavat. Haitake jatkaa hyökkäyksiä esimerkiksi kriittiseen infrastruktuuriin. Androxgh0stin oli myös Suomen että maailman yleisin haittaohjelma.

Check Pointin tutkijat korostavat erityisesti Androxgh0stin nopeaa nousua. Se hyödyntää haavoittuvuuksia eri alustoilla, kuten IoT-laitteissa ja verkkopalvelimissa, jotka ovat kriittisen infrastruktuurin keskeisiä osia. ”Androxgh0stin nousu ja sen yhdistyminen Moziin osoittavat, kuinka kyberrikolliset kehittävät jatkuvasti toimintatapojaan’’, sanoo  VP of Research Maya Horowitz Check Point Softwarelta.

Mozin toimintatapoja jäljitellen Androxgh0st käyttää etäkoodin suorittamista ja tunnistetietojen varastamista, jotta se säilyttää jatkuvan pääsyn järjestelmiin. Tämä mahdollistaa muun muassa palvelunestohyökkäykset (DDoS) ja tietovarkaudet. Bottiverkko tunkeutuu kriittiseen infrastruktuuriin korjaamattomien haavoittuvuuksien kautta, ja Mozin ominaisuuksien lisääminen on merkittävästi laajentanut Androxgh0stin toimintamahdollisuuksia.

Androxgh0st pystyy Check Pointin mukaan  tartuttamaan enemmän IoT-laitteita ja hallitsemaan laajempaa kohdejoukkoa bottiverkkojen kautta. Näillä hyökkäyksillä on laajoja vaikutuksia eri toimialoihin, mikä korostaa niiden vakavuutta niin hallituksille, yrityksille kuin yksityishenkilöillekin, jotka ovat riippuvaisia kriittisestä infrastruktuurista.

Mobiilihaittaohjelmista Joker on tutkijoiden mukaan edelleen yleisin uhka, ja sitä seuraavat Anubis ja Necro. Joker varastaa edelleen tekstiviestejä, yhteystietoja ja laitetietoja samalla, kun se huomaamatta tilaa käyttäjän puolesta maksullisia palveluita. Anubis, pankkitroijalainen, on puolestaan saanut uusia ominaisuuksia, kuten etäkäyttötoimintoja, näppäinpainallusten tallentamista ja kiristysohjelmaominaisuuksia.

Mobiilihaittaohjelmien globaalin listan kärjessä oli Joker, Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen.

Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Kolmantena oli Android-troijalainen Necro, joka pystyy lataamaan muita haittaohjelmia, näyttämään häiritseviä mainoksia ja varastamaan rahaa tilaamalla maksullisia palveluja uhrinsa tietämättä.

Viime kuussa maailmanlaajuisesti eniten hyödynnetyt haavoittuvuudet olivat Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), Web Server Exposed Git Repository Information Disclosure, sekä ZMap Security Scanner (CVE-2024-3378). Maailmanlaajuisesti eniten hyökkäysten kohteeksi joutuneet toimialat olivat koulutus ja tutkimus, viestintäala sekä valtionhallinto ja puolustusvoimat.

Lisää: Androxgh0st-tietoa, Check Point  (LINKKI)

Kuvituskuva: Check Point Software

Suomen yleisimmät haittaohjelmat marraskuussa 2024

1. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin.
2. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla.
3. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen.
4. Skimmer – Verkkoskimmeri eli digitaalinen skimmeri tarkoittaa haitallista JavaScript-koodia, joka upotetaan verkkokauppojen maksusivuille, usein kolmannen osapuolen haavoittuvien skriptien kautta. Tämän avulla pyritään varastamaan asiakkaiden maksutiedot maksutapahtumien yhteydessä.
5. Kazy – Dropper-tyyppinen haittaohjelma, joka on suunniteltu asentamaan muita haittaohjelmia tartunnan saaneille tietokoneille.

Lähde: Check Point Research (LINKKI, top-listat)