Отчеты о вредоносном ПО

Мобильная вирусология, часть 3

Введение

Со времени написания первых двух статей цикла «Мобильная вирусология» прошло почти три года. Такой большой интервал между публикациями был вызван практически полной остановкой эволюции в мире мобильных угроз.

За первые два года существования мобильных угроз (в 2004-2006 годах) произошел их стремительный рост, приведший к появлению целого спектра вредоносных поведений для мобильных телефонов, практически идентичного компьютерному: вирусы, черви, троянские программы, в том числе шпионы, бэкдоры, рекламные программы.

Технологическая база для массированной атаки на пользователей смартфонов была создана. Однако такой атаки не произошло. Вызвано это было стремительным изменением ситуации на рынке мобильных устройств. Два года назад ситуация характеризовалась так: есть абсолютный лидер — платформа Symbian, и есть все остальные. Сохранись такое положение дел до сих пор, мы бы имели дело с массой вредоносных программ для Symbian-смартфонов. Но все изменилось. Производители телефонов и операционных систем смогли фактически сместить Symbian (и Nokia) с ее лидерских позиций. На данный момент у Nokia около 45% рынка смартфонов.

Первый вклад в эту борьбу был внесен Microsoft и ее мобильной платформой Windows Mobile. Начало было положено очень удачной версией Windows Mobile 5, которую поддержало много крупных производителей телефонов, затем была шестая версия, публикация исходных кодов ОС. Как следствие, сейчас Windows Mobile занимает около 15% мирового рынка смартфонов, а в некоторых странах мира — лидирующие позиции. Windows Mobile была лицензирована у Microsoft четырьмя крупнейшими производителями телефонов (кроме лидера — Nokia), и в настоящий момент объем продаж таких устройств может составлять более 20 млн трубок в год.

Весьма значительно усилились позиции и компании RIM, чьи устройства BlackBerry на собственной операционной системе очень популярны в США. Напомним, что для данной платформы до сих пор не было обнаружено ни одной вредоносной программы, за исключением концептуального бэкдора BBproxy, созданного исследователями уязвимостей.

Но самым ярким и заметным событием последних лет стал выход на рынок устройства iPhone от компании Apple. Базирующийся на собственной разработке — мобильной версии Mac OS X, телефон стремительно стал одним из самых продаваемых коммуникаторов в мире. Заявленная Apple цель — продать 10 млн устройств к концу 2008 года — была выполнена. На данный момент продано уже более 21 млн iPhone всех моделей, а если к этому числу прибавить еще iPod Touch («iPhone» без телефона), то общее количество проданных устройств составит 37 млн.

Добавьте сюда уже состоявшийся выход первого телефона на платформе Android, разработанной Google, с массой возможностей для создания приложений и использования сервисов Google — и вы получите картину полной неопределенности в том, какую платформу рассматривать в качестве «базовой».

Ситуация в корне отличается от персональных компьютеров, где определенно доминирует Windows. А именно популярность операционной системы является крайне важным фактором для вирусописателей при выборе объекта атаки.

Столкнувшись с проблемой отсутствия лидера на рынке мобильных ОС и, как следствие, с невозможностью одновременной атаки на большинство пользователей, вирусописателям пришлось, во-первых, значительно сократить разработки в направлении какой-то конкретной платформы и, во-вторых, попробовать решить проблему «кроссплатформенности» своих творений.

О том, что из этого у них получилось, мы и поговорим ниже.

Семейства и модификации. Статистика и изменения

Каталог вредоносных программ для мобильных телефонов, приведенный в первой части «Мобильной вирусологии«, был датирован 30 августа 2006 года и насчитывал 5 платформ, подверженных заражению. За прошедшие три года к числу платформ, атакованных мобильными вирусами, добавилась всего одна — ею стала платформа S/EGOLD (SGold, по классификации «Лаборатории Касперского»), на которой работают телефоны Siemens. Платформа является открытой, что позволяет пользователям устанавливать на телефон собственные приложения.

Платформа Число
семейств
Число
модификаций
Symbian 62 253
J2ME 31 182
WinCE 5 26
Python 3 45
SGold 3 4
MSIL 2 4

 

Эти данные можно представить в виде диаграммы:


Распределение модификаций детектируемых объектов по платформам

Стоит признать, что вирусописатели смогли найти решение проблемы выбора целевой платформы, о которой мы говорили выше. Произошло это в ходе попыток реализации «кроссплатформенности». Отказавшись от создания приложений под конкретную платформу, они обратили свое внимание на Java 2 Micro Edition.

Дело в том, что практически все современные телефоны, не говоря уж о смартфонах, имеют поддержку Java и позволяют запускать java-приложения, которые могут быть загружены из интернета. Освоив создание вредоносных Java-приложений, вирусописатели не только вырвались за пределы какой-то одной платформы, но и смогли значительно увеличить «зону поражения» — ведь под угрозой оказались не только пользователи смартфонов, но и практически каждый владелец обычного мобильного телефона.

В конце августа 2006 года было 31 семейство и 170 модификаций. На середину августа этого года мы зафиксировали 106 семейств, 514 модификаций детектируемых объектов для мобильных устройств. Таким образом, за три года число детектируемых объектов для мобильных устройств выросло на 202%. Число семейств при этом выросло на 235%.


Рост числа известных модификаций (2004-2009)


Динамика появления новых модификаций по месяцам (2004-2009)

Детектируемые объекты для мобильных устройств, появившиеся в период с 09.2006 по 08.2009, по семействам:

Семейство Дата
обнаружения
Платформа Краткое описание
функционала
Коли-
чество
модифи-
каций
Wesber сен.06 J2ME Рассылка SMS 1
Acallno сен.06 Symbian Кража информации 2
Flerprox окт.06 Symbian Подмена системных загрузчиков 2
Hidmenu окт.06 Symbian Скрытие меню 1
Unlock.a окт.06 Symbian Снятие блокировки телефона 1
Smarm янв.07 J2ME Рассылка SMS 10
Mead фев.07 Sgold Заражение файлов 2
Mrex мар.07 Symbian Подмена цветовых схем 1
Viver май.07 Symbian Рассылка SMS 2
Feak май.07 Symbian Рассылка SMS с ссылкой на себя в zip-архиве 1
SHT авг.07 Symbian Хакерская утилита 1
Konopla авг.07 Sgold Cбой настроек, подмена тем и картинок 1
Reboot авг.07 Symbian Перезагрузка устройства 2
Delcon авг.07 Symbian Удаление контактов 1
SMSFree окт.07 J2ME Рассылка SMS 10
Flocker окт.07 Python Рассылка SMS 44
Deladdr ноя.07 Sgold Удаление файлов с телефона (адресная книга, приложения, SMS, wap-профили) 1
HatiHati дек.07 Symbian Распространение через карты памяти MMC, отправка SMS 1
Fonzi янв.08 Symbian Удаление файлов 1
Killav янв.08 Symbian Удаление антивирусов 3
Beselo янв.08 Symbian Распространение через Bluetooth и MMS 2
Swapi фев.08 J2ME Рассылка SMS 44
SrvSender мар.08 Symbian Отвечает на все входящие сообщения и звонки случайным SMS, удаление сообщений 1
Kiazh мар.08 Symbian Вымогательство денег, удаление всех входящих и исходящих SMS-сообщений 1
InfoJack мар.08 WinCE Копирование на сменные диски, кража информации, загрузка ПО без ведома пользователя, отключение защиты 3
Gpiares апр.08 Symbian Рассылка SMS 2
Kuku май.08 Symbian Рассылка SMS 1
SmsSpy май.08 Symbian Отсылка пользовательских сообщений на номер, записанный в cfg-файле 1
Forvir май.08 Symbian Вывод ложных сообщений об ошибках в системе и телефоне, установке вируса 1
Hoaxer май.08 J2ME Рассылка SMS 6
KillPhone май.08 Symbian Невозможность запуска телефона после его перезагрузки 3
Xanel май.08 J2ME Рассылка SMS 4
SMSi май.08 J2ME Рассылка SMS 15
Konov май.08 J2ME Рассылка SMS 14
Kros июн.08 Symbian Подмена исполняемых файлов 1
Blocker июн.08 Symbian Блокировка некоторых функций ОС телефона 1
Boxer сен.08 J2ME Рассылка SMS 15
Redoc сен.08 WinCE Рассылка SMS 19
Espaw сен.08 J2ME Рассылка SMS 7
KaspAV авг.08 J2ME Поддельный антивирус 3
PMCryptic окт.08 WinCE Полиморфный вирус-компаньон, червь (карта памяти) 1
MultiNum окт.08 Symbian Рассылка SMS 1
Razan окт.08 J2ME Вывод ложного сообщения о заражении телефона 1
Onro окт.08 J2ME Рассылка SMS 3
DoctorW ноя.08 J2ME Поддельный антивирус 1
SMSSender ноя.08 J2ME Рассылка SMS 1
Sspy дек.08 Python программа-шпион 1
Tagsa дек.08 Symbian Рассылка SMS 1
Small дек.08 J2ME Рассылка SMS 7
Noti янв.09 J2ME Мобильный контент за SMS 1
Okpon янв.09 J2ME Рассылка SMS 1
Yxe янв.09 Symbian размножение через SMS, сбор информации 4
CoS янв.09 Symbian Хакерская утилита для отправки специально сформированных SMS 2
Kinap янв.09 Symbian Подмена шрифтов, иконок, логотипов 7
Vers фев.09 Symbian Рассылка SMS 1
Yakki фев.09 Symbian Удаление шрифтов 1
Disabler фев.09 Symbian Блокировка SMS, MMS, звонков 1
Getas фев.09 J2ME Имитация вируса 1
Xef фев.09 J2ME Рассылка SMS 2
GameSat фев.09 J2ME Рассылка SMS 1
Rebrew фев.09 J2ME SMS-Flooder 1
Mexasa мар.09 J2ME Рассылка SMS 4
Xavava мар.09 J2ME Рассылка SMS 3
Kblock мар.09 Symbian Блокировка телефона 1
Garlag мар.09 J2ME Рассылка SMS 2
Redrob мар.09 J2ME Рассылка SMS 4
Fnusob мар.09 J2ME Рассылка SMS 1
Pornidal апр.09 Symbian Звонки на платные номера 2
SMSRtap апр.09 Symbian мониторинг SMS, звонков и т.д. 3
Trojan-SMS.Agent май.09 J2ME Рассылка SMS 4
Caneo июн.09 Symbian мониторинг SMS, звонков и т.д. 2
Crymss июн.09 J2ME Рассылка SMS 1
Smypa июн.09 Python SMS-Flooder 1
Enoriv июл.09 Symbian Рассылка SMS 1
Smofree авг.09 J2ME Звонки на платный номер 1

 

Итого: 75 новых семейств

С 2006 по 2009 год произошло утроение числа вредоносных программ для мобильных устройств. Это означает, что темпы роста, показанные в период «первой стадии» (2004-2006 гг.), сохранились.

Что нового?

Составленный нами три года назад список того, что умеют делать мобильные вредоносные программы, выглядел так:

  • Распространение через Bluetooth, MMS
  • Отправка SMS
  • Заражение файлов
  • Возможность удаленно управлять смартфоном
  • Изменение или подмена иконок, системных приложений
  • Установка «ложных» или некорректных шрифтов, приложений
  • Борьба с антивирусами
  • Установка других вредоносных программ
  • Блокирование работы карт памяти
  • Кража информации

За прошедшие три года у мобильного вредоносного ПО появилось несколько новых технологий и приемов:

  • Распространение на сменных накопителях (флэш-картах)
  • Порча пользовательских данных
  • Отключение систем защиты, встроенных в ОС
  • Загрузка других файлов из интернета
  • Звонки на платные номера
  • Полиморфизм

Технологии и приемы

Довольно большое количество вредоносных программ для персональных компьютеров используют технологию самокопирования на сменные диски или USB-флэшки. Примитивный способ размножения, к несчастью, оказался весьма эффективным.

Мобильные вирусописатели решили не отставать от «модных» тенденций и начали использовать такой прием в своих вредоносных программах. Пример такой вредоносной программы — Worm.WinCE.InfoJack. Этот червь копирует себя на диск E:. В смартфонах, оснащенных операционной системой Windows Mobile, эта буква обозначает карту памяти мобильного устройства.

Помимо способа размножения, червь InfoJack обладает еще несколькими интересными особенностями. Во-первых, вредоносная программа распространяется в cab-инсталляторе, куда, помимо копии червя, входят также различные легальные приложения и игры. Очевидно, что такой прием используется для маскировки активности вредоносной программы. Во-вторых, InfoJack отключает проверку подписи приложений (один из защитных механизмов ОС Windows Mobile). Это означает, что при попытке установки пользователем неподписанного приложения (которое может оказаться вредоносным), операционная система не выдаст предупреждения об отсутствии подписи у исполняемого файла. В-третьих, при подключении смартфона к интернету червь пытается загрузить из Сети дополнительные модули для своей работы. Таким образом, InfoJack содержит в себе загрузочный функционал. Ну и на закуску у нас осталась отсылка персональных данных пользователя смартфона автору вредоносной программы.

Что мы имеем в итоге? Вредоносную программу с функционалом размножения, загрузки сторонних файлов из Сети, отключения систем защиты ОС и шпионажа за пользователем. Плюс достаточно хорошая маскировка.

Червь Worm.WinCE.PMCryptic.a также может служить примером использования копирования на карту памяти. Однако его уникальность заключается в другом: это первый полиморфный червь и вирус-компаньон для смартфонов! К счастью, этот китайский червь не был обнаружен «в дикой природе» и является только «доказательством возможности существования». Однако сам факт возможности создания полиморфных вредоносных программ для смартфонов не сулит ничего хорошего.

Различные примитивные троянские поделки, портящие или уничтожающие пользовательские данные на смартфоне, также доставили немало проблем владельцам смартфонов. Один из примеров — Trojan.SymbOS.Delcon.a. Это троянская программа для смартфонов под управлением ОС Symbian размером всего лишь 676 байт! После запуска sis-архива происходит перезапись файла contacts.pdb, хранящего все контакты пользователя, на файл с аналогичным именем из вредоносного архива. Вредоносный contacts.pdb содержит следующие слова:

«If you have installed this programm you are really stupid man 😀
Series60 is only for professionals…(c)
by KoS. 2006 ))»»Если вы установили эту программу, вы действительно глупы 😀
Series 60 — только для профессионалов… (c)
KoS. 2006 ))»

До появления not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, которая осуществляет звонки на международные платные номера, подобные программы были лишь компьютерной реалией.

Программа not-a-virus:Porn-Dialer.SymbOS.Pornidal.a работает следующим образом: при запуске пользователем sis-файла появляется текст лицензионного соглашения, в котором говорится, что приложение будет осуществлять звонки на международные платные номера для получения полного доступа к сайту, содержащему порнографические материалы. Номера, на которые осуществляются звонки, расположены в различных страх мира (4 страны в Европе, 4 — в Африке, 1 страна — в Океании).

Опасность подобного рода программ заключается в том, что, во-первых, подобное ПО может быть изменено злоумышленниками таким образом, что оно станет вредоносным и будет использовано для получения нелегальной прибыли. Например, если в приложении убрать предупреждение о том, что звонки производятся на платные номера. А во-вторых, большинство пользователей невнимательно читают лицензионное соглашение, соглашаясь с ним почти автоматически. В результате они не знают, каков функционал приложения (в данном случае — звонки на платные номера).

Trojan-SMS: главная угроза

Если сравнить поведение вредоносных программ последних двух лет с их предшественниками, то можно заметить, что в их функционале явно преобладает отправка SMS на дорогие премиум-номера без ведома хозяев телефонов. Если три года назад такая функция была только у двух семейств вредоносных программ, то в настоящий момент ею могут похвастаться уже 32 семейства! Отправкой SMS занимались около 35% всех обнаруженных вариантов вредоносных программ для мобильных устройств. Это значит, что Trojan-SMS являются лидирующим вредоносным поведением в современном мобильном мире. Причины такой ситуации были описаны в аналитическом отчете о развитии угроз в первом полугодии 2008 года.

Функционал

Основная платформа существования Trojan-SMS — это Java 2 Micro Edition. SMS-троянцы, написанные для J2ME, опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем.

Абсолютное большинство J2ME-троянцев имеют следующую структуру: jar-архив, в котором есть несколько class-файлов, один из которых и осуществляет отправку платного SMS-сообщения на короткий номер. Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем — эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.

Сразу после запуска Trojan-SMS.J2ME осуществляет попытку отправить SMS с определенным текстом на короткий номер. Java-машина в этом случае выдает пользователю предупреждение о том, что приложение пытается отправить SMS. Это может вызвать подозрения у человека, и он не разрешит отправку сообщения. Некоторые вирусописатели, поняв это, начали более тщательно маскировать вредоносные действия своих творений, иногда довольно оригинальными способами.

Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.

Вот текст с одного из сайтов, где злоумышленники предлагают свои услуги по созданию подобных вредоносных программ — разумеется, за деньги: «Очень прибыльная программка, в виде фотоальбома. При запуске появляется красивая картинка, затем она исчезает, и появляется текст «Для продолжения просмотра Вам должно быть 18 лет. Вам есть 18 лет?». Если пользователь нажмет «Да», то он отошлет SMS на короткий номер…».

Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), по структуре и задачам практически ничем не отличаются от J2ME-троянцев. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные файлы, служащие для маскировки основной деятельности вредоносной программы.

Между различными модификациями Flocker’а не обнаруживалось практически никаких различий (в основном они отличались лишь коротким номером, на который отправлялись SMS-сообщения). Такая идентичность говорила о том, что исходные тексты скрипта, который используется в данном семействе вредоносных программ, возможно, лежат в общем доступе. Эта гипотеза подтвердилась. На одном из форумов в общий доступ был выложен текст скрипта на языке Python, фрагменты которого были идентичны скриптам из вредоносных программ, уже известных нам. Интересен также тот факт, что тот скрипт, который можно было скачать, способен заражать другие скрипты, хранящиеся на телефоне и написанные на языке Python.

Распространение

В России использование разнообразных Trojan-SMS было поставлено вирусописателями на поток. Самый популярный (из числа немногих) способ распространения таких вредоносных программ — через WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируется либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного интернета, либо под приложения эротического или порнографического характера.

Возникает вопрос: почему именно WAP-сайты? А потому, что Россия входит в четверку стран-лидеров, где наиболее активно пользуются услугами мобильного интернета. И многие пользователи посещают WAP-обменники для загрузки на телефон различного мобильного контента.

Большинство сайтов, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации или ее отсутствие и в большинстве случаев бесплатный доступ к подобным ресурсам позволяют злоумышленникам распространять свои примитивные поделки безо всяких препятствий. Вирусописателю нужно лишь дать файлу как можно более заметное для потенциальных жертв имя (free_gprs, sms_besplatno, super_porno и так далее), написать привлекательный комментарий и ждать, пока кто-либо из посетителей решит «бесплатно отправить SMS» или «посмотреть эротические картинки».

После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди — потенциальные жертвы.

Финансовая схема

Именно SMS стали практически единственным (пока) способом нелегальной наживы для мобильных вирусописателей. Еще в середине 2007 года, расследуя инцидент с появлением первого SMS-троянца для Symbian — Viver, мы детально исследовали связанную с ним финансовую схему. В общих чертах она остается актуальной до сего времени и используется всеми Trojan-SMS.

Для того чтобы получить нелегальный доход, злоумышленнику необходимо взять в аренду префикс на том или ином коротком номере. Многие вирусописатели вместо того, чтобы самостоятельно арендовать префикс на коротком номере, принимают участие в так называемых партнерских программах. Регистрируясь в партнерской сети, злоумышленник получает в свое пользование не весь префикс целиком, а сочетание «префикс + ID партнера».

В этом случае деньги, исчезнувшие со счетов хозяев зараженных мобильных устройств, делятся между участниками партнерской программы.

SMS-мошенничество

Мобильные вредоносные программы — не единственный источник угроз для телефонов. К несчастью, SMS-мошенничество становится все более популярным среди кибепреступников. Причем угроза уже давно приобрела международный характер.

Так, в 2007 году было опубликовано сообщение департамента телекоммуникаций Индии, в котором говорилось об обеспокоенности развитием SMS-фишинга в стране и рассмотрении вопроса о запрете для операторов обработки SMS-сообщений, отправленных из-за границы через веб-шлюзы. В мошеннических сообщениях, распространявшихся в Индии, говорилось о необходимости перезвонить на определенный номер и «подтвердить» некоторые необходимые детали транзакций. При звонке пользователь попадал на автоответчик, спрашивающий реквизиты и другую конфиденциальную информацию. Естественно, автоответчик принадлежал мошенникам.

Подобные схемы популярны не только в Индии, но и во многих других странах.

Стоит отметить немаловажный факт: операторы сотовой связи уделяют внимание данной проблеме. Они достаточно активно информируют пользователей, публикуя информацию о подобных атаках, примеры фишинговых сообщений, а также советы о том, как надо поступать в случае их получения.

В России злоумышленники используют несколько иные схемы. Рассмотрим их более подробно.

Вариант 1.

Злоумышленник формирует SMS-сообщение примерно такого содержания:

«Привет. У меня проблемы, всего рассказать не могу. Положи денег на этот номер или на +79xx-xxx-xx-xx, деньги верну чуть позже».

Отметим, что подобные сообщения не имеют ни обращения, ни подписи, и каждый получатель может принять их на свой счет.

Естественно, при звонке на оба номера пользователь услышит что-то вроде «Абонент временно недоступен». После чего человек может подумать: «Может быть, и вправду с кем-то из моих знакомых/друзей/родственников что-то случилось?» и перевести деньги на мобильный телефон злоумышленника.

Вариант 2.

В другой схеме используются платные SMS на короткие номера. Тексты мошеннических сообщений носят достаточно разнообразный характер.
Например:

«Привет. Отправь SMS с текстом *** на номер 3649, получишь бонус 150 рублей на свой счет! SMS бесплатное, я проверил, у меня работает». Или: «Здравствуйте! Ваш номер выиграл! Для получения приза отправьте SMS с текстом *** на номер 1171. Стоимость SMS: 3 рубля».

Основные черты подобной атаки следующие:

  1. Злоумышленники используют наиболее дорогие короткие номера.
  2. Большинство сообщений предлагают пользователям какой-либо моментальный «бонус» или «выигрыш».
  3. Сообщения не имеют ни обращения, ни подписи.

Стоит отметить также тот немаловажный факт, что подобные сообщения рассылаются не только пользователям мобильных телефонов, но и пользователям ICQ, кроме того, такие послания часто встречается и в обычной электронной почте, а также в сообщениях, распространяемых в социальных сетях.

Уязвимости

В самом начале 2009 года была обнаружена новая уязвимость в смартфонах под управлением следующих версий операционной системы Symbian:

  1. S60 2nd edition, Feature Pack 2;
  2. S60 2nd edition, Feature Pack 3;
  3. S60 3rd edition;
  4. S60 3rd edition, Feature Pack 1.

Что же это за уязвимость, и как она эксплуатируется? Если на телефон под управлением одной из перечисленных выше операционных систем отправить сформированное специальным образом SMS-сообщение, то атакуемый телефон перестанет принимать входящие SMS/MMS сообщения, равно как и отсылать их. Стоит отметить тот факт, что такое вредоносное сообщение не будет отображаться в списке входящих. Никаких видимых следов эксплойта тоже нет. Именно поэтому он получил название «Curse of Silence» («Проклятье тишины»).

Служба коротких сообщений перестает функционировать, но в остальном телефон продолжает работать нормально, и пройдет какое-то время, прежде чем пользователь обнаружит, что что-то не так с его смартфоном. К сожалению, ни удаление предыдущих входящих и исходящих сообщений, ни перезагрузка телефона не могут разрешить проблему невозможности получения/отправки коротких сообщений. Поможет лишь hard-reset смартфона.

Мобильные угрозы in-the-wild

В предыдущих частях «Мобильной вирусологии» мы приводили статистику по распространению Bluetooth- и MMS-червей в разных странах мира. Cabir и ComWar были наиболее распространенными мобильными угрозами, каждая из которых была обнаружена более чем в 30 странах мира. Наиболее громким инцидентом стало заражение одним из вариантов Comwar более 115 тысяч пользователей в Испании весной 2007 года.

Однако повышенное внимание мобильных операторов к появившимся червям и внедрение средств антивирусной проверки MMS-трафика, позволили остановить распространение этих червей. Другими причинами исчезновения локальных эпидемий стало появление и распространение антивирусных продуктов для телефонов, включая их допродажную предустановку, новые средства защиты, реализованные в операционных системах (запуск только подписанных приложений) и постепенное исчезновение моделей телефонов, на которых Cabir и ComWar могли функционировать.

Впрочем, за последние три года появился как минимум еще один мобильный червь, который смог распространиться в ряде стран Европы.

Worm.SymbOS.Beselo

В конце декабря 2007 года в антивирусные базы попал очередной клон ComWar — вариант .y. Его появление в январе 2008 в мобильном трафике одного из крупных европейских мобильных операторов заставило более детально взглянуть на новый образец.

Анализ, проведенный финской компанией F-Secure, показал, что на самом деле это совершенно новое семейство, не имеющее общих корней с созданным три года назад в России ComWar.

Принцип действия червя, классифицированного как Worm.SymbOS.Beselo.a (чуть позже был обнаружен еще один вариант — Beselo.b), очень схож с ComWar и является классическим для червей такого типа. Распространение происходит через рассылку инфицированных SIS-файлов по MMS и через Bluetooth. После запуска на атакуемом устройстве червь начинает рассылать себя по адресной книге смартфона, а также на все доступные устройства в радиусе действия Bluetooth.

К счастью, распространение Beselo удалось достаточно быстро остановить, и с тех пор мобильные черви в Европе в «дикой природе» обнаружены не были.

Но тут к делу подключилась Азия, во главе с родиной большинства современных компьютерных вирусов — Китаем.

Worm.WinCE.InfoJack

В начале того же 2008 года стали поступать сообщения о заражении пользователей неизвестной программой, функционировавшей на Windows Mobile. Этой программой оказался троянец InfoJack.a, о котором мы уже упоминали выше.

Распространение вредоносной программы происходило с одного из китайских сайтов, размещающего различный софт (легальный). Троянец был добавлен в состав дистрибутивов мобильных продуктов, таких как клиент для Google Maps и игры. Владелец сайта, с которого происходило распространение троянца, заявил, что он не преследовал никаких криминальных целей, а производил сбор информации о своих посетителях только с целью улучшения сервиса и анализа рынка мобильных приложений.

Спустя несколько дней деятельность сайта была прекращена, вероятно, в ходе расследования, проводимого китайской полицией.

До сих пор основной мишенью китайских хакеров являлись пользователи, играющие на персональных компьютерах в онлайн-игры. Однако случай с InfoJack показал, что в Китае существует возможность для организации массовых эпидемий и мобильных вирусов.

Китай стал первой страной, пострадавшей от Windows Mobile троянца. Возможно, автор InfoJack действительно не преследовал криминальных целей, но начало было положено…

Worm.SymbOS.Yxe

Спустя год, в январе 2009, мы обнаружили новую вредоносную программу для мобильных телефонов, работающих под управлением ОС Symbian. Казалось бы, что тут может быть нового или интересного? Однако этот червь оказался весьма примечательным.

Worm.SymbOS.Yxe стал первым новым семейством Symbian-червей за долгое время. Его отличием от предшественников был способ распространения. Не через Bluetooth, не через MMS, а с помощью SMS-сообщений!

Worm.SymbOS.Yxe посылал SMS-сообщения (весьма фривольного содержания) со ссылкой на себя http://www*****.com/game по всему контакт-листу зараженного телефона. По ссылке находился обычный Symbian-инсталлятор с двумя файлами внутри: исполняемым exe-файлом и вспомогательным rsc-файлом. Если пользователь соглашался с установкой приложения, то через некоторое время червь начинал рассылку SMS-сообщений пользователям из контакт-листа зараженного телефона, генерируя таким образом вредоносный SMS-трафик.

Судя по всему, именно червь Worm.SymbOS.Yxe стал причиной множества публикаций в электронных китайских СМИ, а также многочисленных обсуждений на китайских форумах, жалоб на непонятные SMS-сообщения и т. д. В публикациях речь шла об SMS-сообщениях порнографического содержания с непонятной ссылкой внутри, несанкционированной рассылке коротких сообщений по контакт-листу и потере денег на мобильном счете в результате отправки таких SMS-сообщений..

Но этому червю удалось отличиться еще одним способом. Он создан для смартфонов под управлением ОС Symbian S60 3rd edition и подписан легальным сертификатом. Это значит, что червь без проблем сможет установиться практически на любой смартфон с ОС Symbian S60 3rd edition.

Сведения о сертификате:

Интересен тот факт, что, судя по подписи, сертификат был выдан на 10 лет. Удалось выяснить, что вредоносное приложение прошло процедуру автоматической подписи.

Trojan-SMS.Python.Flocker

Январь 2009 года был очень богат на события в сегменте мобильного вредоносного ПО. Помимо упомянутого выше червя Yxe, эксплойта Curse of Silence для смартфонов под управлением ОС Symbian, мы обнаружили несколько новых версий Trojan-SMS.Python.Flocker (ab-af).


Одна из модификаций Trojan-SMS.Python.Flocker

Что же особенного в шести новых модификациях этого семейства? До момента их появления все зарегистрированные нами вредоносные программы с поведением Trojan-SMS были созданы на постсоветской территории, а короткие сообщения отправлялись на номера, принадлежащие российским сотовым операторам.

Все новые модификации Flocker’а отправляли SMS на короткий номер 151, который не зарегистрирован в России. Более того, нам не встречались до этого трехзначные короткие номера. Текст сообщения тоже имел свои особенности: TP .

Что же мы имеем? Несколько вредоносных программ, которые отправляют SMS-сообщения на один и тот же короткий номер с достаточно похожими текстами. Возникает старый вопрос: где деньги?

Задолго до обнаружения новых версий Flocker’а был опубликован пресс-релиз одного из индонезийских сотовых операторов, в котором говорилось, что у владельцев определенных сим-карт есть возможность перевода денег со своего мобильного счета (баланса) на счет своего родственника/друга/знакомого с такой же сим-картой. Для этого необходимо отправить сообщение на короткий номер 151 со следующим текстом: TP <сумма перевода в рупиях.

Этой возможностью воспользовались мошенники, и троянец, имевший российское происхождение, был кем-то модифицирован под работу с индонезийскими мобильными операторами и распространен среди пользователей в Индонезии.

Все вышеперечисленные случаи свидетельствуют о том, что мобильные угрозы продолжают распространяться по миру, однако с важным изменением тенденции: вместо глобальных эпидемий червей мы наблюдаем локальные вспышки заражений, ориентированные на жителей одной конкретной страны или одного региона. Это полностью соответствует текущей ситуации с компьютерными вирусами.

Регионами, для которых проблема мобильных вирусов является наиболее актуальной, являются Россия, Китай, Индонезия и страны Западной Европы.

Заключение

Популярность смартфонов, все более активное их использование в рабочих целях, для доступа к интернету, для доступа к банковскому счету, для оплаты товаров и услуг — все это приведет к росту числа мошенников, которые хотели бы незаконно нажиться на этом.

Современные вредоносные программы могут делать множество вещей: сохранять и отсылать содержимое телефонной книги и другие данные, полностью блокировать аппарат, предоставлять удаленный доступ злоумышленникам, отправлять SMSи MMS и т.п. На предприятиях смартфоны в рабочих целях используют те, кто работает удаленно, кто ездит в командировки. Даже просто выведенный из строя телефон (вследствие атаки вредоносного ПО) — уже серьезная проблема. А в тех случаях, когда злоумышленник заполучил доступ к корпоративной сети (или электронной почте), возникает брешь в безопасности сети предприятия.

Что касается iPhone (4% мирового рынка мобильных телефонов и 20% американского) и Android — для этих платформ потенциальная возможность вредоносной атаки очень разная. Для iPhone заражение наиболее вероятно только в том случае, когда пользователь взломал свое устройство и устанавливает на него приложения из неофициальных источников. Android (вероятно) не будет иметь столь жесткой привязки к официальным источникам файлов, и пользователи «легальных» телефонов смогут ставить на свои устройства все что угодно.

В любом случае говорить сейчас о том, что будет с вредоносными программами на iPhone и Android, пока еще рано. На наш взгляд, для них основную опасность будут представлять уязвимости в используемом софте и возможности по доступу злоумышленников через эти уязвимости.

Крайне важным является начинающееся рыночное противостояние между нетбуками и смартбуками. Отличие первых от вторых заключается в том, что смартбуки основаны на совершенно другой архитектуре — аналогичной мобильным телефонам. По оценкам специалистов, 98% процессоров для мобильных телефонов, включая Apple iPhone, базируются на процессорах архитектуры ARM.

По замыслу создателей, смартбук должен воплотить лучшие черты нетбука и смартофона: обладать полноценной клавиатурой, сравнительно большим дисплеем, быть легким и способным к длительной автономной работе. И главный плюс — платформа изначально поддерживает мобильные сети, смартбуки изначально имеют модемы в составе процессоров. Это гарантирует легкую и прозрачную интеграцию сетевых служб и сервисов в программную оболочку.

С другой стороны, Intel пытается создать рынок мобильных устройств, основанный на собственном процессоре Atom. К концу текущего года процессоры Atom будут выпускаться в виде чипов-сборок (SoC). На практике это означает, что привычная множеству программистов x86-совместимая микропроцессорная архитектура будет встраиваться во что угодно: в авточипы, в чипы для холодильников и микроволновых печей, в пылесосы и часы, телевизоры, кофейные автоматы и так далее.

Все эти факторы и ожидаемые технологические войны могут изменить ситуацию до неузнаваемости. Смартбуки могут оказаться более привлекательным объектом для вирусных атак, чем смартфоны. В то же время, проникновение x86 процессоров в бытовые устройства может расширить потенциальную область атак до невиданных ранее масштабов.

Мобильная вирусология, часть 3

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике