Darwins theorie toepasbaar op malware

In het meest recente Malware Report van G Data is een nieuwe, onverwachte ontwikkeling op gebied van malware te zien: de extreme groei van het aantal nieuwe schadelijke programma’s lijkt af te nemen.

De hele antivirus-industrie heeft in het eerste half jaar van 2012 wel 1.381.967 nieuwe virushandtekening moeten ontwikkelen om de nieuwe bedreigingen te detecteren en blokkeren, hetgeen het hoogste aantal ooit voor een periode van 6 maanden is. Maar verwacht was dat dit aantal een stuk hoger zou liggen, het is namelijk maar iets hoger (+3,9%) dan de 1.330.146 nieuwe malware types die in het laatste half jaar van 2011 werden ontdekt.

Dit is overigens nog geen enkele reden voor opluchting. De nieuwe malware die dit jaar verscheen is de slimste code tot nu toe. Hierdoor wordt de indruk gewekt dat er een evolutie gaande is die iets weg heeft van Darwins evolutietheorie.

In het afgelopen decennium zijn security-experts gewend geraakt aan de extreme groei als het ging om nieuwe soorten malware. “Er werd duidelijk wereldwijd meer en meer tijd gestoken in het schrijven van schadelijke code om computers over de hele wereld te infecteren. Malware schrijven leek een gemakkelijk beroep te zijn geworden waarin veel geld te verdienen viel. Maar tegelijkertijd zijn potentiële slachtoffers over de hele wereld verstandiger geworden en zijn zij moeilijker te misleiden. Dit lijkt nu zijn weerslag te hebben op malware-schrijvers. Alleen de slimmere malware-schrijvers, die erin slagen om hun werkwijze aan de veranderende omstandigheden aan te passen lijken economisch gezien te overleven,” aldus Eddy Willems, Security Evangelist van G Data. “Je snel aanpassen om te kunnen overleven onder veranderde omstandigheden is min of meer de definitie van Darwins evolutietheorie.“

Slimmere malware

Een goed voorbeeld van slimmere malware is een moderne banktrojan. In het Malware Report wordt de evolutie als volgt omschreven:

“De meeste oudere aanvallen waren relatief eenvoudig. Zo werd bijvoorbeeld het slachtoffer bij het inloggen bij het internetbankieren gevraagd om een grote hoeveelheid TAN-codes in te geven, die vervolgens aan de aanvaller werden doorgestuurd. […] Nieuwe methodes zijn intelligenter: in de zogenaamde Automatic Transfer Systems (ATS)-aanval, vindt de volledige diefstal plaats zonder interactie met de klant. Het rekeningoverzicht wordt ook gemanipuleerd, zodat de rekeninghouder de diefstal niet eens kan zien.“

Een ander voorbeeld is de malware voor Android:

“In het jaar 2011 richtte de meeste mobiele malware zich op snel wat geld verdienen […] en kon vooral worden gevonden in alternatieve App-markten. […] 2012 markeert de opkomst van volledig hergeprogrammeerde of zelfs geheel nieuwe apps die ook echt alle functies bieden die beloofd worden, maar daarnaast ook malware bevatten. Hierdoor kan malware zelfs enkele dagen, of zelfs weken, via de officiële Google Play Store worden verspreid voordat ze worden ontmaskerd.“

Kwaliteit

Het beste voorbeeld van de reden waarom kwaliteit belangrijker is dan kwantiteit voor malware-schrijvers is het Flashback-virus voor Apple. “In het eerste halfjaar van 2012 zijn er weinig nieuwe virussen voor MacOS ontdekt. Het waren er zelfs minder dan in de voorafgaande twee semesters. Maar één kwalitatief sterk virus is genoeg. Flashback infecteerde meer Apple-machines (ruim 600.000) dan er ooit eerder zijn besmet,” aldus Willems.

Analisten van G Data denken dat de aanwas van nieuwe malware zal stabiliseren, maar dat de kwaliteit van de malware zal blijven stijgen. Eddy Willems: “Om als malware-schrijver geld te kunnen verdienen, moet je meer tijd en creativiteit steken in het ontwikkelen van nog misleidendere en valse aanvallen. En wij, als onderdeel van de antivirus-industrie, maken onze borst nat.“