Kaspersky Security Bulletin, январь-июнь 2006. Вредоносные программы для мобильных устройств

1. Развитие вредоносных программ
2. Вредоносные программы для не Win32-платформ
3. Интернет-атаки
4. Вредоносные программы для мобильных устройств
   • Динамика появления новых вредоносных программ
   • Концептуальные разработки первого полугодия 2006 года
   • Гибридизация как метод создания новых семейств вирусов
   • Затишье перед бурей?
   • Тенденции и прогнозы
5. Спам в первом полугодии 2006 года

Динамика появления новых вредоносных программ

В начале 2006 г. «мобильные» вирусописатели проявили повышенную активность, выпустив целый ряд качественно новых вредоносных программ для мобильныx телефонов. Их разработки отличались разнообразием целевых платформ и направлений экспансии в область мобильных технологий, пока еще мало исследованную.

К февралю-марту количество новых вредоносных программ для мобильных устройств выросло примерно до 5-7 в неделю, иногда подбираясь к 10. Примерно со 150 самплов всех известных вирусов для Symbian в начале года, к лету их число выросло почти до трех сотен. Это было отмечено в отчетах ряда антивирусных компаний, хотя точное число все-таки назвать трудно — по причине разности методик детектирования у разных антивирусов.

Во втором квартале 2006 года рост числа новых самплов прекратился — как для известных семейств, так и для новых.

Увеличение количества известных вариантов мобильных вирусов

Авторы вирусов продолжали совершенствовать свои знания и умения, особое внимание уделяя методам противодействия антивирусным программам и реализации возможности заражения персонального компьютера при обращении к памяти телефона (троянцы Cardtrap устанавливают на карту памяти телефона различные троянские программы для Win32-систем).

Что касается ранее известных вирусов, то за последние полгода червь Comwar, распространяющийся в виде MMS, стал самым распространенным вредоносным кодом в MMS-трафике. Cabir же, напротив, несколько сбавил темпы своего распространения. Если зимой, начиная с декабря, мы регулярно получали сообщения о случаях вирусной атаки в московском метро со стороны Cabir (в том числе и от наших сотрудников), то к лету эти сообщения прекратились.

Концептуальные разработки первого полугодия 2006 года

ОС Symbian

Для Symbian наступила эпоха, когда для нее стали создаваться коммерческие троянцы-шпионы. В апреле был обнаружен первый полнофункциональный шпион, который его создатели продавали на своем web-сайте за 50 долларов США: Flexispy устанавливает тотальный контроль над смартфоном и отсылает злоумышленнику информацию о совершенных звонках и отправленных СМС.

ОС Windows Mobile

Вторая по популярности операционная система для смартфонов/коммуникаторов, Windows Mobile, также не осталась обойденной вниманием. В первом полугодии 2006 года число известных вирусов для Windows Mobile удвоилось. Конечно, это удвоение достигнуто всего лишь за счет того, что до сих пор таких вредоносов было всего два (вирус Duts и бэкдор Brador). Но те два, что появились в этом году, без сомнения, являются концептуальными «творениями», способными задать общее направление разработкам других вирусописателей.

Кроссплатформенные вирусы

Вирус Cxover может считаться первым кроссплатформенным мобильным зловредом. При своем запуске он проверяет, что это за операционная система, и, запущенный на персональном компьютере, ищет доступные через ActiveSync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или КПК), вирус затем пытается проделать обратную процедуру — скопировать себя на персональный компьютер. Кроме этого, он может удалять пользовательские файлы на мобильном устройстве.

Червь Letum, обнаруженный в апреле, продолжил «тему» кроссплатформенности. Злоумышленники использовали возможности .NET — среды программирования, которая функционирует как на персональных компьютерах, так и на Windows-Mobile-устройствах. Letum — обычный почтовый червь, распространяющийся в виде вложений в письмах электронной почты и рассылающий себя по адресной книге почтового клиента (который существует и на смартфонах). Что ж, очень строгая ранее грань между мобильными и компьютерными вирусами почти стерта! Теперь эти устройства могут заражать друг друга, и именно это может стать одной из самых серьезных проблем будущего.

Обычные мобильные телефоны — тоже мишень для преступников

Однако наибольший прорыв был достигнут не в смартфонах. Впервые объектом заражения стали обычные мобильные телефоны (т.е. не смартфоны), использующие платформу J2ME для выполнения некоторых приложений.

Заражение вредоносными программами практически любых существующих мобильных телефонов, еще недавно казавшееся невозможным, оказалось реальностью. Такой троянец, очевидно, уже какое-то время функционировал в «дикой природе», и даже имелись пострадавшие от него. Троянец получил название Trojan-SMS.J2ME.RedBrowser.a. А вслед за ним мы обнаружили его новый вариант.

Само появление троянских программ для J2ME представляет собой не менее серьезное событие, чем появление первого червя для смартфонов в июне 2004 года. Пока еще трудно оценить все потенциальные угрозы, однако тот факт, что доля обычных телефонов на порядок превосходит долю смартфонов, а возможность заражения и преступного использования обычного телефона уже реализована злоумышленниками, заставляет нас начать исследования в области создания антивирусной защиты и для этого класса устройств.

Гибридизация как метод создания новых семейств вирусов

Статистика появления новых семейств вирусов в 2006 году выглядит следующим образом:

Увеличение количества известных семейств мобильных вирусов

Одним из важных факторов появления новых семейств мобильных вирусов является «гибридизация» вирусов. Очень показателен пример с Worm.SymbOS.StealWar. Фактически это две уже ранее известных вредоносных программы — шпион Pbstealer и червь Comwar. Автор StealWar объединил их в одном модуле, и получился червь, имеющий черты обоих своих «родителей» (ворующий данные адресной книги и рассылающий себя через MMS). Подобные «мутации» наблюдались и ранее. Например, многие варианты Skuller или SingleJump содержат в себе еще и модификации червя Cabir, что вызывает постоянные проблемы у антивирусных компаний с классификацией подобных «мутантов».

Затишье перед бурей?

Как уже отмечалось выше, во втором квартале 2006 года прекратился рост числа новых самплов — как для известных семейств, так и для новых.

Отрасль мобильных вирусов с момента ее зарождения почти два года развивалась равномерно и предсказуемо с точки зрения возможности существующих мобильных телефонов. Изменение динамики произошло всего несколько месяцев назад, и пока оно не позволяет сделать полноценный прогноз. Тем не менее, необходимо рассмотреть, чем это изменение может быть вызвано.

В авангарде разработки новых технологий всегда находятся blackhats. Вирусы для мобильных телефонов — малоразработанная область, и ее развитие на текущем этапе почти целиком зависит от таких людей. Таким образом, можно предположить, что уменьшение активности в области создания концептуально новых мобильных вирусов связано с появлением новой, более «вкусной» мишени для blackhats. Таковой могли стать, например, множественные уязвимости в программах пакета MS Office, раскрытые в конце весны и начале лета.

Как известно из теории вирусологии, помимо энтузиастов-исследователей, вирусное сообщество, если рассматривать его в целом, содержит в себе еще две крупнейшие социальные группы: киберпреступники — профессионалы, чьи цели в написании или распространении вирусов сконцентрированы на получении выгоды, и «скрипт киддиз» — низкоквалифицированные технофрики, использующие готовые наработки для создания своих вариантов вредоносных программ, вторичных и характерно примитивных.

Если говорить о киберпреступниках, то момент, когда они станут полноценной движущей силой в области мобильных вирусов, еще не настал. В настоящий момент массово используются телефоны средней сложности — от самых простых аппаратов до смартфонов. Они не предоставляют технических возможностей для написания мощного коммерчески ориентированного вируса и не имеют достаточного объема памяти для хранения действительно уязвимой информации, которая может быть интересна киберпреступникам. И тем не менее, для них уже есть первая ласточка — троянец-шпион Flexispy для ОС Symbian, отсылающий автору логи SMS и звонков.

А «скрипт киддиз» активны только в той мере, в какой их питают исследования предыдущих двух групп вирусописателей. Поэтому сейчас затихли и они, подустав плодить примитивных DoS-троянцев для Symbian.

Затишье на мобильном фронте, безусловно, явление временное. Объем продаж смартфонов растет, набор функций — расширяется, поэтому продолжение экспансии вирусописателей в мобильную отрасль неминуемо. Не хватает только объективных параметров для того, чтобы утверждать, что мы наблюдаем затишье перед бурей. Время — в частности осенне-зимний период — покажет.

Тенденции и прогнозы

Как нам кажется, одним из ключевых факторов, определяющих развитие мобильных вирусов в будущем, является масштаб распространения и рост количества смартфонов и коммуникаторов: как только число «умных» телефонов станет сопоставимо с числом персональных компьютеров — сравняются и риски вирусных угроз.

Согласно исследованиям, проведенным аналитической компанией IDC, за первые три месяца 2006 года в мире было продано почти 19 млн. смартфонов. Это означает более чем 67%-ный рост по сравнению с аналогичным периодом 2005 года. Данные за второй квартал этого года пока отсутствуют, однако очевидно, что цифры будут вполне сопоставимы.

Если попробовать просуммировать цифры по продажам смартфонов за несколько лет, с момента начала их продаж, то получится, что в настоящее время общее количество таких устройств в мире — более 50 млн. Примерно 40-50% от этих 50 миллионов приходится на продукцию Nokia. Это означает, что все эти устройства работают под управлением Symbian OS, которая является сейчас основной платформой для функционирования мобильных вирусов, в том числе и червей Cabir и ComWar. Вредоносные программы с префиксом SymbOS в названии составляют практически 100% всего мобильного «зоопарка». В ближайшем полугодии Symbian OS по-прежнему останется основной мишенью злоумышленников.

Не исключено, что к 2007 году число смартфонов в мире приблизится к 100 млн. Столь значительное число потенциальных жертв несомненно привлечет к себе внимание широких слоев вирусописателей и киберпреступников.

В апреле этого года мы провели собственное исследование на тему распространенности смартфонов, их производителей и используемых ОС. Исследование проходило на выставке InfoSecurity London и его результаты были опубликованы в отдельной статье.

Согласно результатам нашего исследования, примерно 23% от общего числа устройств, использующих протокол Bluetooth, приходится на смартфоны. Из этих смартфонов более 80% поддерживают функцию Object Transfer. Именно эта функция необходима для распространения мобильных вирусов, использующих BlueTooth (черви Cabir и ComWar, троянцы PbStealer, Skuller и т. д.). Эти цифры заставляют нас еще раз акцентировать внимание на одной из основных проблем современной мобильной безопасности — протоколе BlueTooth.

Фактически любой владелец смартфона с включенным в режиме «видимости для всех» Bluetooth потенциально уязвим не только для атаки со стороны мобильного червя, но и для хакерской атаки, использующей одну из многочисленных BT-уязвимостей. По-прежнему актуальными остаются рекомендации пользователям по ограничению работы с Bluetooth (отключение или использование в режиме «невидимости»), к которым стоит добавить требования о повышенном внимании к поступающим MMS.

Однако не стоит забывать и о второй по популярности операционной системе для смартфонов/коммуникаторов — Windows Mobile. Доля Windows-Mobile-устройств на рынке растет очень быстрыми темпами, и это получит свое отражение и в соотношении Symbian/WinMobile вирусов. Кроме того, разработка вредоносных программ для WinMobile представляется более простой с точки зрения открытости информации, средств программирования и благодаря тесной связи с обычными Windows-платформами.

Разумеется, не отстают от авторов вирусов и антивирусные компании. Постоянный рост мобильных угроз требует адекватных решений, способных защитить пользователей. В этом году многие из лидеров антивирусного рынка уже выпустили версии своих продуктов для смартфонов. Отметим выход бета-версии KAV Mobile 2.0, беты антивируса от BitDefender, ESET, версию для WinMobile от Trend Micro и полнофункциональное решение для операторов и абонентов от McAfee.

Постепенно наличие антивирусной защиты в телефоне становится все более и более важным фактором защищенности конфиденциальных данных.