Kaspersky Security Bulletin

Kaspersky Security Bulletin 2006. Вредоносные программы для мобильных устройств

  1. Развитие вредоносных программ
  2. Вредоносные программы для Unix-подобных систем
  3. Вредоносные программы для мобильных устройств
  4. Интернет-атаки
  5. Спам в 2006 году

Основные итоги года

В области мобильной вирусологии в 2006 году произошло несколько значительных событий, которые, по всей вероятности, определили на ближайшие годы ее развитие.

  1. Были созданы коммерческие троянские программы для Symbian.
  2. Злоумышленники научились красть деньги с мобильных счетов пользователей.
  3. Впервые объектом заражения стали не смартфоны, а обычные мобильные телефоны.

Статистические изменения за 2006 год

Осенью 2005 года наши эксперты прогнозировали равномерный поток аналогов уже известных вирусов с очень редкими вкраплениями технологических новшеств. Дополнительным стимулом для вирусописателей должна была послужить очевидная экономическая выгода, например широкое использование мобильных телефонов для операций с системами электронных платежей. Тогда же предполагалось, что в течение двух лет глобальной эпидемии мобильных вирусов не будет.

С статистической точки зрения, в 2006 год мобильные вирусы вступили со следующими показателями (по классификации «Лаборатории Касперского»):

  • известное число семейств мобильных вирусов: 22 семейства;
  • известное число вариантов и модификаций в данных семействах: 106 вариантов;
  • известное число атакуемых платформ / операционных систем: 2 (Symbian и WinCE).

Начало 2006 года ознаменовалось значительным ростом числа вредоносных программ для мобильных устройств. Только в феврале-апреле появилось 43 варианта различных мобильных вирусов. На пике своей активности вирусописатели «поставляли» в антивирусные компании около 10 вариантов в течение одной недели, причем наиболее плодовитыми оказались азиатские хакеры. В целом их разработки отличались разнообразием целевых платформ и направлений экспансии в еще мало исследованную область мобильных технологий.

Казалось, что взятый ими темп будет поддерживаться продолжительное время, а это уже создавало угрозу вывести производство мобильных вирусов на «промышленный» уровень, сравнимый с уровнем производства некоторых компьютерных вирусов. Однако во втором квартале 2006 года рост числа новых самплов практически прекратился — как для известных семейств, так и для новых.

До конца 2006 года эта тенденция снижения активности продолжилась, выйдя на показатель 2-7 новых вариантов старых семейств в месяц. Одновременно с этим число активно «работающих» авторов мобильных вирусов заметно уменьшилось. Фактически в настоящий момент основную часть всех новых мобильных зловредов, создают 1-2 человека в мире, причем эти разработки не отличаются особой технологичностью и относятся к классу примитивных троянцев-оверрайтеров.


Рост числа вариантов мобильных вирусов в 2006 году.

Статистические данные на конец 2006 года:

  • известное число семейств мобильных вирусов: 35 (+13), рост — 37%;
  • известное число вариантов и модификаций: 186 (+80), рост — 45%;
  • известных платформ / операционных систем: 4 (+2, J2ME и MSIL).

Новые технологии

Кража информации

Наступила эпоха, когда для Symbian стали создаваться коммерческие троянцы-шпионы. В апреле был обнаружен первый полнофункциональный шпион, который его создатели продавали на своем web-сайте за 50 долларов США: Flexispy устанавливает тотальный контроль над смартфоном и отсылает злоумышленнику информацию о совершенных звонках и отправленных СМС. Сентябрь 2006 года принес для этой платформы вторую похожую разработку — шпион Acallno, собирающий и отправляющий на определенный номер все принятые и полученые на зараженном телефоне SMS.

Кража денег

Вирусописатели продемонстрировали всего один из множества способов кражи денег у пользователей. Технологию начали «разрабатывать» неизвестные российские хакеры, которые дважды (в феврале и сентябре) использовали такую функцию мобильной связи, как premium-номера. В феврале ими был распространен троянец RedBrowser, выдающий себя за утилиту для доступа к Интернету через SMS, а на деле — отсылающий SMS на различные premium-номера. В результате за каждую отправленную SMS со счета зараженного пользователя списывалось около 5 долларов США. Следующим аналогичным троянцем стал Wesber, зафиксированный в сентябре 2006 года.

Способы распространения

Ранее мобильные вирусы отличались собственными, непохожими на компьютерные вирусы способами распространения — через Bluetooth или MMS. Однако функционал платформы программирования .NET, реализованной на WinCE, позволил им использовать еще один, традиционный путь — электронную почту. Червь Letum ведет себя точно так же, как тысячи обычных компьютерных почтовых червей: попав в телефон он рассылает себя по всем адресам электронной почты, найденным в контакт-листе пораженного телефона. Кроме этого, Letum может считаться кроссплатформенным вирусом из-за того, что способен функционировать и на компьютерах с .NET.

Кроссплатформенные вирусы

Вирус Cxover может считаться первым кроссплатформенным мобильным зловредом. При своем запуске он проверяет, что это за операционная система, и, запущенный на персональном компьютере, ищет доступные через ActiveSync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или КПК), вирус затем пытается проделать обратную процедуру — скопировать себя на персональный компьютер. Кроме этого, он может удалять пользовательские файлы на мобильном устройстве.

Червь Mobler действует несколько иначе. Будучи запущен на персональном компьютере (Win32-компонента), он создает на диске E: sis-файл. SIS-файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится тот же самый Win32-червь, который копируется на карту памяти телефона и дополняется файлом autorun.inf.

Если такой зараженный телефон подключить к компьютеру и попытаться с него обратиться к карте памяти телефона, произойдет автозапуск червя и заражение компьютера.

Это пример кроссплатформенного вируса, который способен функционировать на совершенно разных операционных системах — Windows и Symbian.

Новые платформы

Из всех мобильных платформ до 2006 года подвергались нападению вирусов две основных смартфон-платформы: Symbian и WinCE. Появление в феврале 2006 года троянца RedBrower стало неприятным сюрпризом. Впервые объектом заражения стали обычные мобильные телефоны (т.е. не смартфоны), использующие платформу J2ME для выполнения некоторых приложений.

Заражение вредоносными программами практически любых существующих мобильных телефонов, еще недавно казавшееся невозможным, оказалось реальностью. Само появление троянских программ для J2ME представляет собой не менее серьезное событие, чем появление первого червя для смартфонов в июне 2004 года. Пока еще трудно оценить все потенциальные угрозы, однако тот факт, что доля обычных телефонов на порядок превосходит долю смартфонов, а возможность заражения и преступного использования обычного телефона уже реализована злоумышленниками, заставляет нас начать исследования в области создания антивирусной защиты и для этого класса устройств.

Весной также был зафиксирован первый концептуальный бэкдор для устройств BlackBerry, однако он был реализован на языке Java, и поэтому мы не можем однозначно отнести его на счет вируса для новой платформы.

Из 13 новых семейств, обнаруженных «Лабораторией Касперского» в 2006 году, 7 содержали технологические новинки, в том числе для двух новых платформ.

Инновации Семейство Дата ОС Функционал
+ Trojan-SMS.J2ME.RedBrowser Февраль 2006 J2ME Рассылка SMS
+ Worm.MSIL.Cxover Март 2006 Windows Mobile / .NET Удаление файлов, копирование своего тела на другие устройства
Worm.SymbOS.StealWar Март 2006 Symbian Кража информации, распространение по Bluetooth и MMS
+ Email-Worm.MSIL.Letum Март 2006 Windows Mobile / .NET Распространение по электронной почте
+ Trojan-Spy.SymbOS.Flexispy Апрель 2006 Symbian Кража информации
Trojan.SymbOS.Rommwar Апрель 2006 Symbian Подмена системных приложений
Trojan.SymbOS.Arifat Апрель 2006 Symbian
Trojan.SymbOS.Romride Июнь 2006 Symbian Подмена системных приложений
+ Worm.SymbOS.Mobler.a Август 2006 Symbian Удаление файлов антивирусов, подмена системных приложений, размножение через карту памяти
+ Trojan-SMS.J2ME.Wesber Сентябрь 2006 J2ME Рассылка SMS
+ Trojan-Spy.SymbOS.Acallno Сентябрь 2006 Symbian Кража информации
Trojan.SymboS.Flerprox Октябрь 2006 Symbian Подмена системных загрузчиков
not-a-virus:Tool.SymbOS.Hidmenu Октябрь 2006 Symbian Приложение

Новые семейства мобильных вирусов — 2006 год.


Рост числа семейств мобильных вирусов в 2006 году.

Текущая ситуация

В настоящее время основную угрозу для пользователей представляют мобильные черви Cabir и ComWar, отмеченные уже почти в трех десятках стран мира. Однако они не ориентированы на кражу данных и наносят финансовый ущерб пользователю только опосредованно (попав на мобильный телефон, ComWar рассылает себя по контактам адресной книги при помощи MMS-сообщений, за что со счета пользователя списываются деньги). Прямую выгоду от мобильных вирусов их авторы пока еще не научились получать. Троянцы, отсылающие SMS на платные номера, можно считать пока только «пробой пера». А данные, хранящиеся в телефонах, не представляют интереса для широкого числа злоумышленников. Пока еще красть данные с компьютера проще, чем с телефона.

Современное положение дел в области мобильной вирусологии мы расцениваем как затишье перед бурей. С точки зрения технологий, возможностей мобильных вирусов и сред их обитания — практически все уже реализовано вирусописателями, в той или иной мере. Все популярные мобильные платформы уязвимы для вирусной атаки. Спектр поведений и функционал известных червей, троянцев и вирусов в полной мере повторяет то, что существует в мире компьютерных вирусов.

Пока авторы мобильных вирусов занимаются созданием незначительного потока несложных троянских программ. Как мы уже говорили выше, наибольшую активность проявляют несколько script-kiddies, что может привести к очередной волне новых вариантов уже известных семейств (сравнимой с той, что наблюдалась в декабре 2005 и весной 2006 года). Однако определяющим фактором развития мобильных вирусов на ближайшее время останется исключительно доля смартфонов на рынке и возможности по нелегальному зарабатыванию денег при помощи зараженных телефонов.

Прогнозы

Если говорить о прогнозах на 2007 год, то вряд ли опасность для мобильных пользователей увеличится значительно. На стадию «промышленного» использования мобильные вирусы еще не вышли и вряд ли выйдут в течение ближайших пары лет.

Угроза для пользователей мобильных телефонов будет расти пропорционально росту популярности «умных» телефонов (смартфонов). Со временем их число, несомненно, составит сотни миллионов по всему миру, а появление у них все новых и новых функций позволит людям использовать смартфоны, как сейчас используют персональный компьютер. Это неминуемо привлечет внимание киберпреступников и приведет к росту троянских программ для телефонов.

Kaspersky Security Bulletin 2006. Вредоносные программы для мобильных устройств

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике