Ataki typu mRAT stają się coraz większym problemem. mRAT, czyli mobilne trojany zdalnego dostępu, są komercyjnymi narzędziami szpiegowskimi, reklamowanymi zwykle jako programy do nadzorowania telefonów używanych przez dzieci w celu zapewnienia im bezpieczeństwa w internecie. Okazuje się jednak, że mogą one również być wykorzystywane do szpiegostwa przemysłowego i innych złośliwych celów.

Potencjał tych ataków będzie wzrastać. W 2014 roku raport bezpieczeństwa mobilnego firmy Check Point bazujący na danych z 700 organizacji pokazał, że liczba osobistych urządzeń łączących się z firmowymi sieciami w ciągu ostatnich dwóch lat zwiększyła się dwukrotnie w 72% firm. 

Szeroka funkcjonalność powoduje, że programy mRAT są bardzo atrakcyjne dla atakujących. Pozwalają one omijać zabezpieczenia MDM, dzięki czemu można za ich pomocą podsłuchiwać połączenia i spotkania, wyciągać informacje z firmowych maili i wiadomości tekstowych oraz śledzić położenie użytkowników.

Liczba mRAT-ów rośnie

Jak poważnym zagrożeniem są programy mRAT dla bezpieczeństwa firm? Aby lepiej zrozumieć i ocenić ryzyko, jakie stanowią, firmy Check Point oraz Lacoon przeprowadziły niedawno badania komunikacji ponad 900 tys. urządzeń poprzez punkty dostępowe Wi-Fi w dużych korporacjach. Przez kilka miesięcy badacze analizowali ruch sieciowy oraz sygnatury kilku znanych mRAT-ów komunikujących się ze swoimi serwerami. Według badań w USA zainfekowanych było jedno na 500 urządzeń. Zarażenia dotyczyły w równym stopniu urządzeń pod kontrolą systemu Android, jak i iOS, w przeciwieństwie do większości mobilnego złośliwego oprogramowania.

Mimo że liczby te nie wydają się znaczące, należy podkreślić, że w wielu przypadkach programy mRAT przesyłały dane przez tygodnie, a nawet miesiące. Jakie wrażliwe dane mogły być w ten sposób wyciągnięte z jednego telefonu należącego do dyrektora?

 Schwytanie mRAT-ów

W jaki sposób firmy mogą zapobiegać dalszym infekcjom i wyciekom danych? Po pierwsze potrzebne jest zunifikowane podejście do zabezpieczeń na każdym urządzeniu mobilnym. Drugim środkiem ochrony jest blokowanie ruchu sieciowego generowanego przez mRAT-y. 

Aby chronić urządzenia poza siecią firmową przed infekcjami typu mRAT, zabezpieczenia mogą być wprowadzone w urządzeniach mobilnych jako usługa w chmurze korzystająca z szyfrowanego tunelu VPN. Dzięki temu nie tylko wprowadzamy firmowe protokoły zabezpieczeń na urządzeniach wszystkich pracowników, ale też blokujemy komunikację z serwerem urządzeń już zainfekowanych. 

Jeżeli chodzi o lokalne zabezpieczenia na każdym urządzeniu, firmy powinny wprowadzić rozwiązania pozwalające na wykrycie wszelkich podejrzanych zachowań aplikacji oraz podejrzanego ruchu sieciowego, co pozwoli zmniejszać rozprzestrzenianie się programów mRAT. W wielu przypadkach programy te mogą nie zostać wykryte przez konwencjonalne oprogramowanie antywirusowe, ale specjalne, dedykowane rozwiązania pozwalają na wprowadzenie aktywnej ochrony blokującej zagrożenia.

Źródło: Publikacja opłacona

Jeśli chcesz, aby informacja prasowa lub komunikat Twojej firmy pojawił się w DI, pisz na adres: kf@di24.pl. W odpowiedzi prześlemy informacje o usłudze.