Malware se na porno sajtovima već godinama seje na isti način, a ljudi se i dalje „pecaju”

Dok ukradeni kredencijali za naloge na takvim sajtovima završavaju kao roba na dark vebu.

Sanja Vatić - 27. Februar, 2018.

Početkom godine u pornografskoj aplikaciji SinVR pronađen je bezbednosni propust usled kog su napadači mogli da pristupe informacijama o njenim korisnicima (imena, mejlovi…). Ovaj primer loše prakse, naravno, nije usamljen u svetu pornografskih i dejting aplikacija.

Živimo u stvarnosti u kojoj je većini nezamislivo da bilo ko vidi njegovu/njenu istorju pretraživanja iz straha da se ne otkrije da koristi poronografske veb i mobilne aplikacije ili da je deo neke onlajn zajednice gde se deli osetljiv sadržaj, ali i dalje se lako upada u zamke napadača u sajber svetu. Ili je bar to zaključak koji je moguće izvući nakon objavljenog istraživanja Kaspersky Lab tima o tome kako hakeri koriste sadržaj za punoletne da bi posejali malware.

Kaspersky tim je u toku prošle godine identifikovao pretnje po dekstop računare, mobilne telefone i uočio kretanja ukradenih podataka na dark veb tržištima.

Klik do komšinice

Sasvim očekivano, došli su do zaključka da su Mac korisnici daleko ređe na meti napada nego PC korisnici. Jednako neiznenađujuće je i da su motivi iza napada ili phishing ili malware. Kada govorimo u brojevima radi se o više od 50.000 napada od strane 27 PC malware-a iz trojanskih porodica betabot, Neverquest i Panda usmerenih na potragu za kredencijalima na porno sajtovima — PornHub, Brazzers, chatrubate, Xvideos, Xnxx, Motherless, Youporn, Myfreecams…

Odnosno, i u 2017, pa po inerciji i u 2018. godini, očigledno još uvek ima onih koji klikću na banere i pop-upove koji im obećavaju dejt sa polugolom plavušom pola kilometra udaljenom od njih u zamenu za detalje sa kreditne kartice. A u međuvremenu su lozinke još uvek loše i još ređe jedinstvene (12345, qwerty, password, fuckyou, iloveyou…), pa nije ni čudo što poverljive informacije lako bivaju iznuđene phishingom.

Hakovanje samih sajtova ili platforma za reklame na porno sajtovima kako bi posetioce preusmeravali na zaražene veb stranice je takođe trend koji je aktuelan godinama. Uostalom, ovaj tip napada se dogodio čak i PornHubu kada je prošle godine pomagao širenje Trojan.Win32.Kovtera.

Već viđeno

Upadljivo je da je lepeza malware-a koji vladaju svetom mobilnih telefona još šira.

Gledajući statistiku radi se o tome da je četvrtina od svih ugroženih mobilnih korisnika naišla na neku vrstu malware-a pristupajući porno sadržaju. Odnosno, 1,2 miliona korisnika Androida je u toku prošle godine bar jednom naišlo na virus koji je povezan sa pornografskim sadržajem.

Svi ti napadi su došli od neke od 23 porodica malware-a za mobilne telefone, ali na nekoliko različitih načina — malware povezan sa WAP-pretplatom (45,8 odsto), bankarski trojanci i ransomware (30,38 odsto), rooting trojanci (22,38 odsto), premium SMS malware i lažne pretplate na porno sajtove (2,81 odsto).

A zajedničko im je to da do ovih Android trojanaca korisnici dolaze jer su mahom preusmereni na lažne porno sajtove sa onih pravih.

Ipak, i ovde se radi o stvarima koje su već viđene. Malware-om povezanim sa WAP-pretplatom su obuhvaćeni svi oni malware-i koji za cilj imaju da korisnik otvori stranicu i klikne na reklamu da bi napadači izvukli novac zahvaljujući njenom prikazivanju ili da omogući WAP-pretplatu i skida novac. Oni su u stanju i da „pojedu” po 100 Mb prenosa podataka, troše bateriju, prikupljaju kontakte, istorije poziva, lokacije, brišu poruke, instaliraju aplikacije… Ili, kao Trojan.AndroidOS.Loapi, rudare kriptovalute u pozadini.

Onda su tu bankarski trojanci koji korisnika obično učine metom napada tako što im ponude instaliranje/ažuriranje plejera koji je potreban da bi odgledali određeni video. Takođe, koriste i metod zastrašivanja poput zaključavanja ekrana jer su na uređaju navodno primećeni sadržaji povezani sa dečijom pornografijom, pa iznuđuju novac u zamenu za otključavanje. Takvi su Svpeng (u 95 odsto slučajeva napada uređaje na teritoriji SAD) i Small (aktivniji u Rusiji i susednim zemljama).

Oni koji pristupe rootu preko administrativnog naloga manipulišu sadržajem sa uređaja, instaliraju aplikacije, zatrpavaju korisnika reklamama i sl, dok SMS malware i lažne pretplate na porno sajtove šalju poruke i okreću brojeve koji se naplaćuju. Na primer, iako ima novijih, to radi Trojan-SMS.AndroidOS.FakePlayer.a i to još od 2012. godine.

Drugim rečima, ne radi se ni o čemu drugačijem nego kada je u pitanju bilo koji drugi malware koji nije povezan sa pornografskim sadržajem. Ipak, oni koji pokreću sajber napade se u svojim strategijama i dalje uzdaju u to da će korisnici u potrazi za jeftinim uzbuđenjima skinuti biblioteku virusa jednim klikom.

Koji su motivi napadača?

Uprkos tome što smo svakim danom vizuelno sve pismeniji, iz Kaspersky istraživanja je očigledno da metode napada ne evoluiraju u korak s tim.

Isto tako, jasno je i da su napadi koji se maskiraju iza pornografije efikasni (da ne uspevaju, ne bi ih bilo toliko). Napadačima dodatno olakšavaju sami korisnici — oni koji su postali žrtve maleware-a zbog pornografije daleko ređe prijavljuju napade.

Međutim, motivi napada često nisu najjasniji. Osim onda kada napadači uspešno izvuku korisnička imena, pripadajuće lozinke i podatke sa kreditnih kartica i prodaju ih na crnom tržištu, što je ujedno bio motiv za Kaspersky istraživanje.

Njihov tim je posmatranjem dark veb tržišta često nalazio da se na prodaju nude kredencijali sa porno sajtova za malo para i u velikim količinama. Samo u toku 2016. godine više od 72 miliona kredencijala bilo je ukradeno da bi se kasnije našlo na crnom tržištu. Tu spadaju oni sa sajtova kao što su Cams (62,6 miliona), Penthouse (7,1 milion), Stripshow (1,42 milion), xHamster (380.000), Brazzers (791.000)…

Da bi stekli bolji uvid o kretanjima podataka istraživači su sa liste 29 najbolje ocenjenih Tor tržišta izvukli pet najvećih tržišta s najvećom ponudom. Tu su u trenutku istraživanja našli 5.239 ponuda za prodaju naloga sa porno sajtova, gde jedna ponuda uključuje i do nekoliko hiljada naloga i to najčešće sa:

  1. Naughty America (2.575 ponuda),
  2. Brazzers (1.228),
  3. Mofos (789),
  4. Reality Kings (294),
  5. Pornhub (153).

Kaspersky listu ne tumači kao pokazatelj koliko su ranjivi ovi sajtovi već koliko su popularni na dark vebu. S tim u vezi jedan od mogućih razloga za kupovinu je to što su plaćeni nalozi za najposećenije porno sajtove na dark vebu jeftiniji nego kada se legalno registruješ. Drugi je obezbeđivanje anonimnosti — kupovinom na crnom tržištu korisnici izbegavaju da se plaćanje naloga na porno sajtu pojavljuje u istoriji plaćanja dostupnoj npr. banci.

Naravno, ljudi su spremni da rade nešto što je nelegalno za tu anonimnost ili da bi manje platili. Čak i ako je pitanje trenutka kada će vlasnici naloga ili sajt saznati da je nalog ugrožen i blokirati ga.

Kategorija Bezbednost je pod pokroviteljstvom Data Guard Networka.