Введение
Со времени написания первых двух статей цикла «Мобильная вирусология» прошло почти три года. Такой большой интервал между публикациями был вызван практически полной остановкой эволюции в мире мобильных угроз.
За первые два года существования мобильных угроз (в 2004-2006 годах) произошел их стремительный рост, приведший к появлению целого спектра вредоносных поведений для мобильных телефонов, практически идентичного компьютерному: вирусы, черви, троянские программы, в том числе шпионы, бэкдоры, рекламные программы.
Технологическая база для массированной атаки на пользователей смартфонов была создана. Однако такой атаки не произошло. Вызвано это было стремительным изменением ситуации на рынке мобильных устройств. Два года назад ситуация характеризовалась так: есть абсолютный лидер — платформа Symbian, и есть все остальные. Сохранись такое положение дел до сих пор, мы бы имели дело с массой вредоносных программ для Symbian-смартфонов. Но все изменилось. Производители телефонов и операционных систем смогли фактически сместить Symbian (и Nokia) с ее лидерских позиций. На данный момент у Nokia около 45% рынка смартфонов.
Первый вклад в эту борьбу был внесен Microsoft и ее мобильной платформой Windows Mobile. Начало было положено очень удачной версией Windows Mobile 5, которую поддержало много крупных производителей телефонов, затем была шестая версия, публикация исходных кодов ОС. Как следствие, сейчас Windows Mobile занимает около 15% мирового рынка смартфонов, а в некоторых странах мира — лидирующие позиции. Windows Mobile была лицензирована у Microsoft четырьмя крупнейшими производителями телефонов (кроме лидера — Nokia), и в настоящий момент объем продаж таких устройств может составлять более 20 млн трубок в год.
Весьма значительно усилились позиции и компании RIM, чьи устройства BlackBerry на собственной операционной системе очень популярны в США. Напомним, что для данной платформы до сих пор не было обнаружено ни одной вредоносной программы, за исключением концептуального бэкдора BBproxy, созданного исследователями уязвимостей.
Но самым ярким и заметным событием последних лет стал выход на рынок устройства iPhone от компании Apple. Базирующийся на собственной разработке — мобильной версии Mac OS X, телефон стремительно стал одним из самых продаваемых коммуникаторов в мире. Заявленная Apple цель — продать 10 млн устройств к концу 2008 года — была выполнена. На данный момент продано уже более 21 млн iPhone всех моделей, а если к этому числу прибавить еще iPod Touch («iPhone» без телефона), то общее количество проданных устройств составит 37 млн.
Добавьте сюда уже состоявшийся выход первого телефона на платформе Android, разработанной Google, с массой возможностей для создания приложений и использования сервисов Google — и вы получите картину полной неопределенности в том, какую платформу рассматривать в качестве «базовой».
Ситуация в корне отличается от персональных компьютеров, где определенно доминирует Windows. А именно популярность операционной системы является крайне важным фактором для вирусописателей при выборе объекта атаки.
Столкнувшись с проблемой отсутствия лидера на рынке мобильных ОС и, как следствие, с невозможностью одновременной атаки на большинство пользователей, вирусописателям пришлось, во-первых, значительно сократить разработки в направлении какой-то конкретной платформы и, во-вторых, попробовать решить проблему «кроссплатформенности» своих творений.
О том, что из этого у них получилось, мы и поговорим ниже.
Семейства и модификации. Статистика и изменения
Каталог вредоносных программ для мобильных телефонов, приведенный в первой части «Мобильной вирусологии«, был датирован 30 августа 2006 года и насчитывал 5 платформ, подверженных заражению. За прошедшие три года к числу платформ, атакованных мобильными вирусами, добавилась всего одна — ею стала платформа S/EGOLD (SGold, по классификации «Лаборатории Касперского»), на которой работают телефоны Siemens. Платформа является открытой, что позволяет пользователям устанавливать на телефон собственные приложения.
Платформа | Число семейств |
Число модификаций |
Symbian | 62 | 253 |
J2ME | 31 | 182 |
WinCE | 5 | 26 |
Python | 3 | 45 |
SGold | 3 | 4 |
MSIL | 2 | 4 |
Эти данные можно представить в виде диаграммы:
Распределение модификаций детектируемых объектов по платформам
Стоит признать, что вирусописатели смогли найти решение проблемы выбора целевой платформы, о которой мы говорили выше. Произошло это в ходе попыток реализации «кроссплатформенности». Отказавшись от создания приложений под конкретную платформу, они обратили свое внимание на Java 2 Micro Edition.
Дело в том, что практически все современные телефоны, не говоря уж о смартфонах, имеют поддержку Java и позволяют запускать java-приложения, которые могут быть загружены из интернета. Освоив создание вредоносных Java-приложений, вирусописатели не только вырвались за пределы какой-то одной платформы, но и смогли значительно увеличить «зону поражения» — ведь под угрозой оказались не только пользователи смартфонов, но и практически каждый владелец обычного мобильного телефона.
В конце августа 2006 года было 31 семейство и 170 модификаций. На середину августа этого года мы зафиксировали 106 семейств, 514 модификаций детектируемых объектов для мобильных устройств. Таким образом, за три года число детектируемых объектов для мобильных устройств выросло на 202%. Число семейств при этом выросло на 235%.
Рост числа известных модификаций (2004-2009)
Динамика появления новых модификаций по месяцам (2004-2009)
Детектируемые объекты для мобильных устройств, появившиеся в период с 09.2006 по 08.2009, по семействам:
Семейство | Дата обнаружения |
Платформа | Краткое описание функционала |
Коли- чество модифи- каций |
Wesber | сен.06 | J2ME | Рассылка SMS | 1 |
Acallno | сен.06 | Symbian | Кража информации | 2 |
Flerprox | окт.06 | Symbian | Подмена системных загрузчиков | 2 |
Hidmenu | окт.06 | Symbian | Скрытие меню | 1 |
Unlock.a | окт.06 | Symbian | Снятие блокировки телефона | 1 |
Smarm | янв.07 | J2ME | Рассылка SMS | 10 |
Mead | фев.07 | Sgold | Заражение файлов | 2 |
Mrex | мар.07 | Symbian | Подмена цветовых схем | 1 |
Viver | май.07 | Symbian | Рассылка SMS | 2 |
Feak | май.07 | Symbian | Рассылка SMS с ссылкой на себя в zip-архиве | 1 |
SHT | авг.07 | Symbian | Хакерская утилита | 1 |
Konopla | авг.07 | Sgold | Cбой настроек, подмена тем и картинок | 1 |
Reboot | авг.07 | Symbian | Перезагрузка устройства | 2 |
Delcon | авг.07 | Symbian | Удаление контактов | 1 |
SMSFree | окт.07 | J2ME | Рассылка SMS | 10 |
Flocker | окт.07 | Python | Рассылка SMS | 44 |
Deladdr | ноя.07 | Sgold | Удаление файлов с телефона (адресная книга, приложения, SMS, wap-профили) | 1 |
HatiHati | дек.07 | Symbian | Распространение через карты памяти MMC, отправка SMS | 1 |
Fonzi | янв.08 | Symbian | Удаление файлов | 1 |
Killav | янв.08 | Symbian | Удаление антивирусов | 3 |
Beselo | янв.08 | Symbian | Распространение через Bluetooth и MMS | 2 |
Swapi | фев.08 | J2ME | Рассылка SMS | 44 |
SrvSender | мар.08 | Symbian | Отвечает на все входящие сообщения и звонки случайным SMS, удаление сообщений | 1 |
Kiazh | мар.08 | Symbian | Вымогательство денег, удаление всех входящих и исходящих SMS-сообщений | 1 |
InfoJack | мар.08 | WinCE | Копирование на сменные диски, кража информации, загрузка ПО без ведома пользователя, отключение защиты | 3 |
Gpiares | апр.08 | Symbian | Рассылка SMS | 2 |
Kuku | май.08 | Symbian | Рассылка SMS | 1 |
SmsSpy | май.08 | Symbian | Отсылка пользовательских сообщений на номер, записанный в cfg-файле | 1 |
Forvir | май.08 | Symbian | Вывод ложных сообщений об ошибках в системе и телефоне, установке вируса | 1 |
Hoaxer | май.08 | J2ME | Рассылка SMS | 6 |
KillPhone | май.08 | Symbian | Невозможность запуска телефона после его перезагрузки | 3 |
Xanel | май.08 | J2ME | Рассылка SMS | 4 |
SMSi | май.08 | J2ME | Рассылка SMS | 15 |
Konov | май.08 | J2ME | Рассылка SMS | 14 |
Kros | июн.08 | Symbian | Подмена исполняемых файлов | 1 |
Blocker | июн.08 | Symbian | Блокировка некоторых функций ОС телефона | 1 |
Boxer | сен.08 | J2ME | Рассылка SMS | 15 |
Redoc | сен.08 | WinCE | Рассылка SMS | 19 |
Espaw | сен.08 | J2ME | Рассылка SMS | 7 |
KaspAV | авг.08 | J2ME | Поддельный антивирус | 3 |
PMCryptic | окт.08 | WinCE | Полиморфный вирус-компаньон, червь (карта памяти) | 1 |
MultiNum | окт.08 | Symbian | Рассылка SMS | 1 |
Razan | окт.08 | J2ME | Вывод ложного сообщения о заражении телефона | 1 |
Onro | окт.08 | J2ME | Рассылка SMS | 3 |
DoctorW | ноя.08 | J2ME | Поддельный антивирус | 1 |
SMSSender | ноя.08 | J2ME | Рассылка SMS | 1 |
Sspy | дек.08 | Python | программа-шпион | 1 |
Tagsa | дек.08 | Symbian | Рассылка SMS | 1 |
Small | дек.08 | J2ME | Рассылка SMS | 7 |
Noti | янв.09 | J2ME | Мобильный контент за SMS | 1 |
Okpon | янв.09 | J2ME | Рассылка SMS | 1 |
Yxe | янв.09 | Symbian | размножение через SMS, сбор информации | 4 |
CoS | янв.09 | Symbian | Хакерская утилита для отправки специально сформированных SMS | 2 |
Kinap | янв.09 | Symbian | Подмена шрифтов, иконок, логотипов | 7 |
Vers | фев.09 | Symbian | Рассылка SMS | 1 |
Yakki | фев.09 | Symbian | Удаление шрифтов | 1 |
Disabler | фев.09 | Symbian | Блокировка SMS, MMS, звонков | 1 |
Getas | фев.09 | J2ME | Имитация вируса | 1 |
Xef | фев.09 | J2ME | Рассылка SMS | 2 |
GameSat | фев.09 | J2ME | Рассылка SMS | 1 |
Rebrew | фев.09 | J2ME | SMS-Flooder | 1 |
Mexasa | мар.09 | J2ME | Рассылка SMS | 4 |
Xavava | мар.09 | J2ME | Рассылка SMS | 3 |
Kblock | мар.09 | Symbian | Блокировка телефона | 1 |
Garlag | мар.09 | J2ME | Рассылка SMS | 2 |
Redrob | мар.09 | J2ME | Рассылка SMS | 4 |
Fnusob | мар.09 | J2ME | Рассылка SMS | 1 |
Pornidal | апр.09 | Symbian | Звонки на платные номера | 2 |
SMSRtap | апр.09 | Symbian | мониторинг SMS, звонков и т.д. | 3 |
Trojan-SMS.Agent | май.09 | J2ME | Рассылка SMS | 4 |
Caneo | июн.09 | Symbian | мониторинг SMS, звонков и т.д. | 2 |
Crymss | июн.09 | J2ME | Рассылка SMS | 1 |
Smypa | июн.09 | Python | SMS-Flooder | 1 |
Enoriv | июл.09 | Symbian | Рассылка SMS | 1 |
Smofree | авг.09 | J2ME | Звонки на платный номер | 1 |
Итого: 75 новых семейств
С 2006 по 2009 год произошло утроение числа вредоносных программ для мобильных устройств. Это означает, что темпы роста, показанные в период «первой стадии» (2004-2006 гг.), сохранились.
Что нового?
Составленный нами три года назад список того, что умеют делать мобильные вредоносные программы, выглядел так:
- Распространение через Bluetooth, MMS
- Отправка SMS
- Заражение файлов
- Возможность удаленно управлять смартфоном
- Изменение или подмена иконок, системных приложений
- Установка «ложных» или некорректных шрифтов, приложений
- Борьба с антивирусами
- Установка других вредоносных программ
- Блокирование работы карт памяти
- Кража информации
За прошедшие три года у мобильного вредоносного ПО появилось несколько новых технологий и приемов:
- Распространение на сменных накопителях (флэш-картах)
- Порча пользовательских данных
- Отключение систем защиты, встроенных в ОС
- Загрузка других файлов из интернета
- Звонки на платные номера
- Полиморфизм
Технологии и приемы
Довольно большое количество вредоносных программ для персональных компьютеров используют технологию самокопирования на сменные диски или USB-флэшки. Примитивный способ размножения, к несчастью, оказался весьма эффективным.
Мобильные вирусописатели решили не отставать от «модных» тенденций и начали использовать такой прием в своих вредоносных программах. Пример такой вредоносной программы — Worm.WinCE.InfoJack. Этот червь копирует себя на диск E:. В смартфонах, оснащенных операционной системой Windows Mobile, эта буква обозначает карту памяти мобильного устройства.
Помимо способа размножения, червь InfoJack обладает еще несколькими интересными особенностями. Во-первых, вредоносная программа распространяется в cab-инсталляторе, куда, помимо копии червя, входят также различные легальные приложения и игры. Очевидно, что такой прием используется для маскировки активности вредоносной программы. Во-вторых, InfoJack отключает проверку подписи приложений (один из защитных механизмов ОС Windows Mobile). Это означает, что при попытке установки пользователем неподписанного приложения (которое может оказаться вредоносным), операционная система не выдаст предупреждения об отсутствии подписи у исполняемого файла. В-третьих, при подключении смартфона к интернету червь пытается загрузить из Сети дополнительные модули для своей работы. Таким образом, InfoJack содержит в себе загрузочный функционал. Ну и на закуску у нас осталась отсылка персональных данных пользователя смартфона автору вредоносной программы.
Что мы имеем в итоге? Вредоносную программу с функционалом размножения, загрузки сторонних файлов из Сети, отключения систем защиты ОС и шпионажа за пользователем. Плюс достаточно хорошая маскировка.
Червь Worm.WinCE.PMCryptic.a также может служить примером использования копирования на карту памяти. Однако его уникальность заключается в другом: это первый полиморфный червь и вирус-компаньон для смартфонов! К счастью, этот китайский червь не был обнаружен «в дикой природе» и является только «доказательством возможности существования». Однако сам факт возможности создания полиморфных вредоносных программ для смартфонов не сулит ничего хорошего.
Различные примитивные троянские поделки, портящие или уничтожающие пользовательские данные на смартфоне, также доставили немало проблем владельцам смартфонов. Один из примеров — Trojan.SymbOS.Delcon.a. Это троянская программа для смартфонов под управлением ОС Symbian размером всего лишь 676 байт! После запуска sis-архива происходит перезапись файла contacts.pdb, хранящего все контакты пользователя, на файл с аналогичным именем из вредоносного архива. Вредоносный contacts.pdb содержит следующие слова:
Series60 is only for professionals…(c)
by KoS. 2006 ))»»Если вы установили эту программу, вы действительно глупы 😀
Series 60 — только для профессионалов… (c)
KoS. 2006 ))»
До появления not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, которая осуществляет звонки на международные платные номера, подобные программы были лишь компьютерной реалией.
Программа not-a-virus:Porn-Dialer.SymbOS.Pornidal.a работает следующим образом: при запуске пользователем sis-файла появляется текст лицензионного соглашения, в котором говорится, что приложение будет осуществлять звонки на международные платные номера для получения полного доступа к сайту, содержащему порнографические материалы. Номера, на которые осуществляются звонки, расположены в различных страх мира (4 страны в Европе, 4 — в Африке, 1 страна — в Океании).
Опасность подобного рода программ заключается в том, что, во-первых, подобное ПО может быть изменено злоумышленниками таким образом, что оно станет вредоносным и будет использовано для получения нелегальной прибыли. Например, если в приложении убрать предупреждение о том, что звонки производятся на платные номера. А во-вторых, большинство пользователей невнимательно читают лицензионное соглашение, соглашаясь с ним почти автоматически. В результате они не знают, каков функционал приложения (в данном случае — звонки на платные номера).
Trojan-SMS: главная угроза
Если сравнить поведение вредоносных программ последних двух лет с их предшественниками, то можно заметить, что в их функционале явно преобладает отправка SMS на дорогие премиум-номера без ведома хозяев телефонов. Если три года назад такая функция была только у двух семейств вредоносных программ, то в настоящий момент ею могут похвастаться уже 32 семейства! Отправкой SMS занимались около 35% всех обнаруженных вариантов вредоносных программ для мобильных устройств. Это значит, что Trojan-SMS являются лидирующим вредоносным поведением в современном мобильном мире. Причины такой ситуации были описаны в аналитическом отчете о развитии угроз в первом полугодии 2008 года.
Функционал
Основная платформа существования Trojan-SMS — это Java 2 Micro Edition. SMS-троянцы, написанные для J2ME, опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем.
Абсолютное большинство J2ME-троянцев имеют следующую структуру: jar-архив, в котором есть несколько class-файлов, один из которых и осуществляет отправку платного SMS-сообщения на короткий номер. Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем — эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.
Сразу после запуска Trojan-SMS.J2ME осуществляет попытку отправить SMS с определенным текстом на короткий номер. Java-машина в этом случае выдает пользователю предупреждение о том, что приложение пытается отправить SMS. Это может вызвать подозрения у человека, и он не разрешит отправку сообщения. Некоторые вирусописатели, поняв это, начали более тщательно маскировать вредоносные действия своих творений, иногда довольно оригинальными способами.
Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.
Вот текст с одного из сайтов, где злоумышленники предлагают свои услуги по созданию подобных вредоносных программ — разумеется, за деньги: «Очень прибыльная программка, в виде фотоальбома. При запуске появляется красивая картинка, затем она исчезает, и появляется текст «Для продолжения просмотра Вам должно быть 18 лет. Вам есть 18 лет?». Если пользователь нажмет «Да», то он отошлет SMS на короткий номер…».
Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), по структуре и задачам практически ничем не отличаются от J2ME-троянцев. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные файлы, служащие для маскировки основной деятельности вредоносной программы.
Между различными модификациями Flocker’а не обнаруживалось практически никаких различий (в основном они отличались лишь коротким номером, на который отправлялись SMS-сообщения). Такая идентичность говорила о том, что исходные тексты скрипта, который используется в данном семействе вредоносных программ, возможно, лежат в общем доступе. Эта гипотеза подтвердилась. На одном из форумов в общий доступ был выложен текст скрипта на языке Python, фрагменты которого были идентичны скриптам из вредоносных программ, уже известных нам. Интересен также тот факт, что тот скрипт, который можно было скачать, способен заражать другие скрипты, хранящиеся на телефоне и написанные на языке Python.
Распространение
В России использование разнообразных Trojan-SMS было поставлено вирусописателями на поток. Самый популярный (из числа немногих) способ распространения таких вредоносных программ — через WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируется либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного интернета, либо под приложения эротического или порнографического характера.
Возникает вопрос: почему именно WAP-сайты? А потому, что Россия входит в четверку стран-лидеров, где наиболее активно пользуются услугами мобильного интернета. И многие пользователи посещают WAP-обменники для загрузки на телефон различного мобильного контента.
Большинство сайтов, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации или ее отсутствие и в большинстве случаев бесплатный доступ к подобным ресурсам позволяют злоумышленникам распространять свои примитивные поделки безо всяких препятствий. Вирусописателю нужно лишь дать файлу как можно более заметное для потенциальных жертв имя (free_gprs, sms_besplatno, super_porno и так далее), написать привлекательный комментарий и ждать, пока кто-либо из посетителей решит «бесплатно отправить SMS» или «посмотреть эротические картинки».
После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди — потенциальные жертвы.
Финансовая схема
Именно SMS стали практически единственным (пока) способом нелегальной наживы для мобильных вирусописателей. Еще в середине 2007 года, расследуя инцидент с появлением первого SMS-троянца для Symbian — Viver, мы детально исследовали связанную с ним финансовую схему. В общих чертах она остается актуальной до сего времени и используется всеми Trojan-SMS.
Для того чтобы получить нелегальный доход, злоумышленнику необходимо взять в аренду префикс на том или ином коротком номере. Многие вирусописатели вместо того, чтобы самостоятельно арендовать префикс на коротком номере, принимают участие в так называемых партнерских программах. Регистрируясь в партнерской сети, злоумышленник получает в свое пользование не весь префикс целиком, а сочетание «префикс + ID партнера».
В этом случае деньги, исчезнувшие со счетов хозяев зараженных мобильных устройств, делятся между участниками партнерской программы.
SMS-мошенничество
Мобильные вредоносные программы — не единственный источник угроз для телефонов. К несчастью, SMS-мошенничество становится все более популярным среди кибепреступников. Причем угроза уже давно приобрела международный характер.
Так, в 2007 году было опубликовано сообщение департамента телекоммуникаций Индии, в котором говорилось об обеспокоенности развитием SMS-фишинга в стране и рассмотрении вопроса о запрете для операторов обработки SMS-сообщений, отправленных из-за границы через веб-шлюзы. В мошеннических сообщениях, распространявшихся в Индии, говорилось о необходимости перезвонить на определенный номер и «подтвердить» некоторые необходимые детали транзакций. При звонке пользователь попадал на автоответчик, спрашивающий реквизиты и другую конфиденциальную информацию. Естественно, автоответчик принадлежал мошенникам.
Подобные схемы популярны не только в Индии, но и во многих других странах.
Стоит отметить немаловажный факт: операторы сотовой связи уделяют внимание данной проблеме. Они достаточно активно информируют пользователей, публикуя информацию о подобных атаках, примеры фишинговых сообщений, а также советы о том, как надо поступать в случае их получения.
В России злоумышленники используют несколько иные схемы. Рассмотрим их более подробно.
Вариант 1.
Злоумышленник формирует SMS-сообщение примерно такого содержания:
Отметим, что подобные сообщения не имеют ни обращения, ни подписи, и каждый получатель может принять их на свой счет.
Естественно, при звонке на оба номера пользователь услышит что-то вроде «Абонент временно недоступен». После чего человек может подумать: «Может быть, и вправду с кем-то из моих знакомых/друзей/родственников что-то случилось?» и перевести деньги на мобильный телефон злоумышленника.
Вариант 2.
В другой схеме используются платные SMS на короткие номера. Тексты мошеннических сообщений носят достаточно разнообразный характер.
Например:
Основные черты подобной атаки следующие:
- Злоумышленники используют наиболее дорогие короткие номера.
- Большинство сообщений предлагают пользователям какой-либо моментальный «бонус» или «выигрыш».
- Сообщения не имеют ни обращения, ни подписи.
Стоит отметить также тот немаловажный факт, что подобные сообщения рассылаются не только пользователям мобильных телефонов, но и пользователям ICQ, кроме того, такие послания часто встречается и в обычной электронной почте, а также в сообщениях, распространяемых в социальных сетях.
Уязвимости
В самом начале 2009 года была обнаружена новая уязвимость в смартфонах под управлением следующих версий операционной системы Symbian:
- S60 2nd edition, Feature Pack 2;
- S60 2nd edition, Feature Pack 3;
- S60 3rd edition;
- S60 3rd edition, Feature Pack 1.
Что же это за уязвимость, и как она эксплуатируется? Если на телефон под управлением одной из перечисленных выше операционных систем отправить сформированное специальным образом SMS-сообщение, то атакуемый телефон перестанет принимать входящие SMS/MMS сообщения, равно как и отсылать их. Стоит отметить тот факт, что такое вредоносное сообщение не будет отображаться в списке входящих. Никаких видимых следов эксплойта тоже нет. Именно поэтому он получил название «Curse of Silence» («Проклятье тишины»).
Служба коротких сообщений перестает функционировать, но в остальном телефон продолжает работать нормально, и пройдет какое-то время, прежде чем пользователь обнаружит, что что-то не так с его смартфоном. К сожалению, ни удаление предыдущих входящих и исходящих сообщений, ни перезагрузка телефона не могут разрешить проблему невозможности получения/отправки коротких сообщений. Поможет лишь hard-reset смартфона.
Мобильные угрозы in-the-wild
В предыдущих частях «Мобильной вирусологии» мы приводили статистику по распространению Bluetooth- и MMS-червей в разных странах мира. Cabir и ComWar были наиболее распространенными мобильными угрозами, каждая из которых была обнаружена более чем в 30 странах мира. Наиболее громким инцидентом стало заражение одним из вариантов Comwar более 115 тысяч пользователей в Испании весной 2007 года.
Однако повышенное внимание мобильных операторов к появившимся червям и внедрение средств антивирусной проверки MMS-трафика, позволили остановить распространение этих червей. Другими причинами исчезновения локальных эпидемий стало появление и распространение антивирусных продуктов для телефонов, включая их допродажную предустановку, новые средства защиты, реализованные в операционных системах (запуск только подписанных приложений) и постепенное исчезновение моделей телефонов, на которых Cabir и ComWar могли функционировать.
Впрочем, за последние три года появился как минимум еще один мобильный червь, который смог распространиться в ряде стран Европы.
Worm.SymbOS.Beselo
В конце декабря 2007 года в антивирусные базы попал очередной клон ComWar — вариант .y. Его появление в январе 2008 в мобильном трафике одного из крупных европейских мобильных операторов заставило более детально взглянуть на новый образец.
Анализ, проведенный финской компанией F-Secure, показал, что на самом деле это совершенно новое семейство, не имеющее общих корней с созданным три года назад в России ComWar.
Принцип действия червя, классифицированного как Worm.SymbOS.Beselo.a (чуть позже был обнаружен еще один вариант — Beselo.b), очень схож с ComWar и является классическим для червей такого типа. Распространение происходит через рассылку инфицированных SIS-файлов по MMS и через Bluetooth. После запуска на атакуемом устройстве червь начинает рассылать себя по адресной книге смартфона, а также на все доступные устройства в радиусе действия Bluetooth.
К счастью, распространение Beselo удалось достаточно быстро остановить, и с тех пор мобильные черви в Европе в «дикой природе» обнаружены не были.
Но тут к делу подключилась Азия, во главе с родиной большинства современных компьютерных вирусов — Китаем.
Worm.WinCE.InfoJack
В начале того же 2008 года стали поступать сообщения о заражении пользователей неизвестной программой, функционировавшей на Windows Mobile. Этой программой оказался троянец InfoJack.a, о котором мы уже упоминали выше.
Распространение вредоносной программы происходило с одного из китайских сайтов, размещающего различный софт (легальный). Троянец был добавлен в состав дистрибутивов мобильных продуктов, таких как клиент для Google Maps и игры. Владелец сайта, с которого происходило распространение троянца, заявил, что он не преследовал никаких криминальных целей, а производил сбор информации о своих посетителях только с целью улучшения сервиса и анализа рынка мобильных приложений.
Спустя несколько дней деятельность сайта была прекращена, вероятно, в ходе расследования, проводимого китайской полицией.
До сих пор основной мишенью китайских хакеров являлись пользователи, играющие на персональных компьютерах в онлайн-игры. Однако случай с InfoJack показал, что в Китае существует возможность для организации массовых эпидемий и мобильных вирусов.
Китай стал первой страной, пострадавшей от Windows Mobile троянца. Возможно, автор InfoJack действительно не преследовал криминальных целей, но начало было положено…
Worm.SymbOS.Yxe
Спустя год, в январе 2009, мы обнаружили новую вредоносную программу для мобильных телефонов, работающих под управлением ОС Symbian. Казалось бы, что тут может быть нового или интересного? Однако этот червь оказался весьма примечательным.
Worm.SymbOS.Yxe стал первым новым семейством Symbian-червей за долгое время. Его отличием от предшественников был способ распространения. Не через Bluetooth, не через MMS, а с помощью SMS-сообщений!
Worm.SymbOS.Yxe посылал SMS-сообщения (весьма фривольного содержания) со ссылкой на себя http://www*****.com/game по всему контакт-листу зараженного телефона. По ссылке находился обычный Symbian-инсталлятор с двумя файлами внутри: исполняемым exe-файлом и вспомогательным rsc-файлом. Если пользователь соглашался с установкой приложения, то через некоторое время червь начинал рассылку SMS-сообщений пользователям из контакт-листа зараженного телефона, генерируя таким образом вредоносный SMS-трафик.
Судя по всему, именно червь Worm.SymbOS.Yxe стал причиной множества публикаций в электронных китайских СМИ, а также многочисленных обсуждений на китайских форумах, жалоб на непонятные SMS-сообщения и т. д. В публикациях речь шла об SMS-сообщениях порнографического содержания с непонятной ссылкой внутри, несанкционированной рассылке коротких сообщений по контакт-листу и потере денег на мобильном счете в результате отправки таких SMS-сообщений..
Но этому червю удалось отличиться еще одним способом. Он создан для смартфонов под управлением ОС Symbian S60 3rd edition и подписан легальным сертификатом. Это значит, что червь без проблем сможет установиться практически на любой смартфон с ОС Symbian S60 3rd edition.
Сведения о сертификате:
Интересен тот факт, что, судя по подписи, сертификат был выдан на 10 лет. Удалось выяснить, что вредоносное приложение прошло процедуру автоматической подписи.
Trojan-SMS.Python.Flocker
Январь 2009 года был очень богат на события в сегменте мобильного вредоносного ПО. Помимо упомянутого выше червя Yxe, эксплойта Curse of Silence для смартфонов под управлением ОС Symbian, мы обнаружили несколько новых версий Trojan-SMS.Python.Flocker (ab-af).
Одна из модификаций Trojan-SMS.Python.Flocker
Что же особенного в шести новых модификациях этого семейства? До момента их появления все зарегистрированные нами вредоносные программы с поведением Trojan-SMS были созданы на постсоветской территории, а короткие сообщения отправлялись на номера, принадлежащие российским сотовым операторам.
Все новые модификации Flocker’а отправляли SMS на короткий номер 151, который не зарегистрирован в России. Более того, нам не встречались до этого трехзначные короткие номера. Текст сообщения тоже имел свои особенности: TP .
Что же мы имеем? Несколько вредоносных программ, которые отправляют SMS-сообщения на один и тот же короткий номер с достаточно похожими текстами. Возникает старый вопрос: где деньги?
Задолго до обнаружения новых версий Flocker’а был опубликован пресс-релиз одного из индонезийских сотовых операторов, в котором говорилось, что у владельцев определенных сим-карт есть возможность перевода денег со своего мобильного счета (баланса) на счет своего родственника/друга/знакомого с такой же сим-картой. Для этого необходимо отправить сообщение на короткий номер 151 со следующим текстом: TP <сумма перевода в рупиях.
Этой возможностью воспользовались мошенники, и троянец, имевший российское происхождение, был кем-то модифицирован под работу с индонезийскими мобильными операторами и распространен среди пользователей в Индонезии.
Все вышеперечисленные случаи свидетельствуют о том, что мобильные угрозы продолжают распространяться по миру, однако с важным изменением тенденции: вместо глобальных эпидемий червей мы наблюдаем локальные вспышки заражений, ориентированные на жителей одной конкретной страны или одного региона. Это полностью соответствует текущей ситуации с компьютерными вирусами.
Регионами, для которых проблема мобильных вирусов является наиболее актуальной, являются Россия, Китай, Индонезия и страны Западной Европы.
Заключение
Популярность смартфонов, все более активное их использование в рабочих целях, для доступа к интернету, для доступа к банковскому счету, для оплаты товаров и услуг — все это приведет к росту числа мошенников, которые хотели бы незаконно нажиться на этом.
Современные вредоносные программы могут делать множество вещей: сохранять и отсылать содержимое телефонной книги и другие данные, полностью блокировать аппарат, предоставлять удаленный доступ злоумышленникам, отправлять SMSи MMS и т.п. На предприятиях смартфоны в рабочих целях используют те, кто работает удаленно, кто ездит в командировки. Даже просто выведенный из строя телефон (вследствие атаки вредоносного ПО) — уже серьезная проблема. А в тех случаях, когда злоумышленник заполучил доступ к корпоративной сети (или электронной почте), возникает брешь в безопасности сети предприятия.
Что касается iPhone (4% мирового рынка мобильных телефонов и 20% американского) и Android — для этих платформ потенциальная возможность вредоносной атаки очень разная. Для iPhone заражение наиболее вероятно только в том случае, когда пользователь взломал свое устройство и устанавливает на него приложения из неофициальных источников. Android (вероятно) не будет иметь столь жесткой привязки к официальным источникам файлов, и пользователи «легальных» телефонов смогут ставить на свои устройства все что угодно.
В любом случае говорить сейчас о том, что будет с вредоносными программами на iPhone и Android, пока еще рано. На наш взгляд, для них основную опасность будут представлять уязвимости в используемом софте и возможности по доступу злоумышленников через эти уязвимости.
Крайне важным является начинающееся рыночное противостояние между нетбуками и смартбуками. Отличие первых от вторых заключается в том, что смартбуки основаны на совершенно другой архитектуре — аналогичной мобильным телефонам. По оценкам специалистов, 98% процессоров для мобильных телефонов, включая Apple iPhone, базируются на процессорах архитектуры ARM.
По замыслу создателей, смартбук должен воплотить лучшие черты нетбука и смартофона: обладать полноценной клавиатурой, сравнительно большим дисплеем, быть легким и способным к длительной автономной работе. И главный плюс — платформа изначально поддерживает мобильные сети, смартбуки изначально имеют модемы в составе процессоров. Это гарантирует легкую и прозрачную интеграцию сетевых служб и сервисов в программную оболочку.
С другой стороны, Intel пытается создать рынок мобильных устройств, основанный на собственном процессоре Atom. К концу текущего года процессоры Atom будут выпускаться в виде чипов-сборок (SoC). На практике это означает, что привычная множеству программистов x86-совместимая микропроцессорная архитектура будет встраиваться во что угодно: в авточипы, в чипы для холодильников и микроволновых печей, в пылесосы и часы, телевизоры, кофейные автоматы и так далее.
Все эти факторы и ожидаемые технологические войны могут изменить ситуацию до неузнаваемости. Смартбуки могут оказаться более привлекательным объектом для вирусных атак, чем смартфоны. В то же время, проникновение x86 процессоров в бытовые устройства может расширить потенциальную область атак до невиданных ранее масштабов.
Мобильная вирусология, часть 3