De kans is groter dat u door de bliksem wordt getroffen dan dat u wordt geïnfecteerd met mobiele malware

Op de RSA 2015-conferentie hebben onderzoekers van beveiligingsbedrijf Damballa aangekondigd dat je in de Verenigde Staten veel meer kans hebt op blikseminslag dan op mobiele malware. Hoewel dit een eerdere studie van het bedrijf ondersteunt, vond Damballa iets heel vreemds aan de hand op mobiele apparaten.

Schadelijk verkeer volgen

Het bedrijf van Damballa is geautomatiseerde bescherming tegen inbreuken op basis van big data-analyse. Terwijl hij samenwerkte met een grote Amerikaanse draadloze netwerkaanbieder, kon Damballa verkeersgegevens vergelijken met bekende kwaadaardige URL's die waren geëxtraheerd uit ongeveer 70.000 voorbeelden van mobiele malware. "Het was een beetje een handmatig proces om de gemeenschappelijke domeinen te verwijderen die waarschijnlijk niet met malware zijn geassocieerd", legt Senior Scientific Researcher Charles Lever uit. "Het was pijnlijk."

In hun onderzoek zei Lever dat Damballa geen toegang had tot de payloads van deze transmissies, alleen de URL's. Het bedrijf maakte duidelijk dat het geen zicht had op klantgegevens.

De reikwijdte van het onderzoek van Damballa is enorm, gericht op ongeveer 151 miljoen apparaten per dag, een stijging van 25 miljoen toen het bedrijf het onderzoek in 2012 uitvoerde. Het bedrijf zei dat dit 50 procent van het mobiele dataverkeer in de VS bedroeg, maar van deze zag het bedrijf slechts ongeveer 9.688 apparaten die URL's in verband met mobiele malware bereikten.

Dat komt neer op 0, 0064 procent van het verkeer dat schadelijk is. In het persbericht van het bedrijf zei Damballa dat de officiële kansen van de National Weather Services om door de bliksem te worden getroffen aanzienlijk hoger waren met 1, 3 procent.

Veilige haven

Lever zei dat de conclusies van de studie het idee ondersteunden dat terwijl mobiele malware veel is besproken in veiligheidskringen (en door deze auteur). "We vinden veel malwarevoorbeelden, maar ik weet niet zeker of deze monsters hun weg naar hun apparaten vinden, " zei Lever.

"We hebben sterke first-party markten in de VS, " vervolgde Lever, verwijzend naar de Apple App Store en de Google Play Store. Hij zei dat die winkels goede beveiligingsmaatregelen hebben die de slechtste actoren buiten de deur hebben gehouden, en hulpmiddelen bevatten waarmee Apple en Google op afstand schadelijke apps kunnen uitschakelen of verwijderen die mogelijk op gebruikersapparaten terechtkomen.

Het onderzoek van Damballa heeft natuurlijk wel beperkingen. Het is bijvoorbeeld gericht op potentieel kwaadaardig netwerkverkeer in plaats van daadwerkelijke kwaadaardige installaties op mobiele apparaten. Het dekt ook slechts de helft van de VS, waardoor een groot deel van de wereld buiten beschouwing wordt gelaten. Lever zei dat het mogelijk is dat mobiele malware-infecties buiten de VS veel hoger kunnen zijn. "Ik kon zien dat het hoger was, maar ik kon dat niet empirisch zeggen, " zei Lever.

Interessant genoeg zou het grootste deel van het kwaadwillende mobiele verkeer dat Damballa opmerkte, worden gekenmerkt als adware.

Schaduwrijk verkeer

Maar hoewel mobiele malware in Damballa's studie geen grote indruk maakte, deed iets anders dat wel. Naast verkeer dat werd geassocieerd met mobiele malware, legde Lever uit dat Damballa ook aanvragen van mobiele apparaten bijhield naar andere soorten kwaadaardige infrastructuur. Dit kan een infrastructuur zijn voor desktop-malware, phishing-operaties, botnets, enzovoort. Deze verzoeken om schaduwrijke delen van internet door mobiele apparaten waren, legt Lever uit, aanzienlijk hoger dan verzoeken om mobiele malware-URL's.

Hoeveel groter? In verschillende ordes van grootte. Damballa rapporteerde 100.000 aanvragen in verband met mobiele malware, die het herleidde tot die 10.000 apparaten. Het volgde 100 miljoen verzoeken aan sites die drive-by downloads leken te zijn, en 1 miljard (met een "b!") Verzoeken in verband met malware die zich op de desktop richt. Nogmaals, deze verzoeken komen allemaal van mobiele apparaten.

Lever zei dat hoewel deze schimmige verzoeken van mobiele apparaten "aanzienlijk groter zijn dan wat we zien voor mobiele malware, " hun oorzaak grotendeels onbekend is.

Lever suggereerde dat een deel van het verkeer afkomstig zou kunnen zijn van mobiele gebruikers die het slachtoffer worden van phishing-sites. Andere beveiligingsexperts hebben gesuggereerd dat phishing op mobiele apparaten misschien eenvoudiger is, omdat het relatief kleine scherm verdacht uitziende URL's afsnijdt en het slotpictogram van een SSL-verbinding niet zichtbaar is.

Gedurende het gesprek bleef Lever grotendeels optimistisch over mobiele beveiliging, maar bij het bespreken van deze ongewone bevindingen nam hij een beslist negatieve wending. Hij zei dat, hoewel alles wat deze enorme hoeveelheid verdacht netwerkverkeer veroorzaakte, vandaag misschien geen probleem is, het zou in de toekomst kunnen zijn. Of het kan zelfs het gevolg zijn van momenteel onbekende kwaadwillende toepassingen.

• Android 4.1.1 Nog steeds kwetsbaar voor Heartbleed Android 4.1.1 Nog steeds kwetsbaar voor Heartbleed
• Schadelijke Android-apps kunnen Gmail hacken Schadelijke Android-apps kunnen Gmail hacken
• Mobile Threat Monday: Android-apps verbergen Windows Malware Mobile Threat Monday: Android-apps verbergen Windows Malware

"Het is een groot risicogebied dat momenteel niet goed wordt bestudeerd en meer onderzoek zou kunnen gebruiken om erachter te komen wat dit is", zei Lever. "Is het phishing? Is het spam? Wat is de verdeling? En hoeveel daarvan heeft momenteel invloed op mobiele apparaten en hoeveel kan dit in de toekomst?"

Hopelijk kan toekomstig onderzoek deze puzzel samenstellen.