Spyware-ul este un tip de malware care infecteaza dispozitivul unui utilizator si “spioneaza” sistemul monitorizandu-l continuu. In trecut, spyware-ul era regasit pe dispozitivele traditionale folosite la desfasurarea activitatii ca desktop-uri sau laptop-uri, insa astazi este foarte intalnit si pe platforme mobile (telefoane smart si tablete), facand din spyware una dintre cele mai active tehnici prin care atacatorii reusesc sa compromita utilizatorii.
De regula, spyware-ul nu este programat sa faca stricaciuni asa cum face un ransomware, insa prezenta sa este un semn de slabiciune. Daca acest tip de malware a reusit sa treaca de masurile de securitate ale organizatiei, cu siguranta o pot face si altele. In general, activitatea spyware-ului este de a inregistra apasarile de taste, de a colecta istoricul de browsing, de a face screenshot-uri si de a monitoriza inbox-ul utilizatorului. Spyware-ul poate porni si camera web si poate observa live ce face utilizatorul.
Toate aceste informatii pot fi transmise catre un server de-ale atacatorului care poate sa vanda aceste informatii sau care poate sa le foloseasca in operatiuni de furt de identitate. Uneori, spyware-ul poate sa contacteze un server de CnC (command and control) si sa download-eze malware aditional care sa produca pagube pe sistem sau in retea. Pe un device mobil spyware-ul poate sa consulte jurnalul de apeluri, sa se uite la pozele facute de utilizator sau chiar sa faca el poze, sa determine locatia folosind GPS-ul sau poate folosi microfonul pentru a “auzi” utilizatorul.
Cum se “ia” spyware-ul?
Infectarea cu spyware poate fi atat de triviala. Cu totii instalam programe sau aplicatii pe dispozitivele noastre. Nu vi s-a intamplat ca la un pas din procesul de instalare sa fiti intrebati daca vreti sa instalati si un toolbar anume, precum a fost intrebat si user-ul de mai jos, in repetate randuri? 😊
Mai mult ca sigur ca in spatele acestor toolbar-uri este un spyware, pe care il putem instala fara sa ne dam seama.
Un alt mod prin care spyware-ul poate ajunge pe un sistem este atunci cand utilizatorul da click pe o reclama aparent inocenta aparuta in browser sau cand primeste un email care are un link catre un site malitios (poate fi un email dintr-o campanie de phising). Spyware-ul poate fi raspandit si prin canalele si aplicatiile de social media sau chiar prin mesajele de tip SMS.
Categorii de spyware
Cele mai frecvent intalnite categorii de spyware sunt:
- keylogger-e: un astfel de spyware inregistreaza apasarile de taste, ce a cautat utilizatorul pe Google, site-uri web vizitate, conversatiile de pe chat, precum si credentiale de acces ca nume de utilizator si parole
- trojans: este exemplul cu toolbar-ul 😊 Utilizatorul are impresia ca instaleaza ceva ce va fi in beneficiul sau, insa va instala de fapt malware care are cu totul alte intentii. Malware-ul poate sterge fisiere, poate download-a malware aditional sau poate fura credentiale de acces. Un astfel de exemplu este troianul bancar Emotet care fura informatii bancare, care poate modifica tranzactii financiare sau plati online.
- infostealers: spyware care colecteaza parole si informatii confidentiale despre utilizator din orice sursa pentru a le putea monetiza
Care sunt semnele unei infectii cu spyware?
Spyware-ul poate determina ca dispozitivul sa manifeste comportamente anormale, precum:
- rularea unor aplicatii de care utilizatorul nu are habar
- consumarea mult mai rapida a bateriei
- rularea mai lenta a unor task-uri, din cauza procesorului incarcat, mai ales la initilizarea si oprirea sistemului
- afisarea exagerata de reclame si pop-up-uri
Protectie impotriva malware-ului
Utilizatorul poate sa verifice procesele si aplicatii care ruleaza pe sistem folosind Task Manager-ul din Windows sau Applications din MacOS. Daca se observa ceva suspicios, atunci se poate termina acel proces si se poate investiga mai mult asupra lui.
Se poate verifica si folderul Temp care gazduieste fisiere temporare. Acest folder este folosit adesea de catre malware pentru a download-a fisiere aditionale de pe serverele atacatorilor.
Cea mai buna protectie ramane insa instalarea unui software de antivirus/antimalware care detecteaza si opreste spyware-ul inainte ca acesta sa ajunga pe sistem.
Cisco Secure Endpoint este solutia care ofera protectie continua pentru PC-uri, dispozitive mobile si chiar echipamente IoT. Folosind feed-urile de securitate din cloud-ul Cisco Talos, preventia si protectia endpoint-urilor este deosebit de rapida si eficienta. Raspunsul in fata amenintarilor cibernetice este automatizat, fara a fi nevoie de interventia inginerilor de securitate pentru a limita si bloca impactul unui atac de tipul malware.
Mihai Dumitrascu, Sr Systems Engineer