Мобильная вирусология, часть 4

• Введение
• Семейства и модификации. Статистика и изменения
• Что нового
  • Способы «монетизации» мобильных вредоносных программ
  • Технологии
• Мобильные угрозы in-the-wild
  • Symbian
    • Worm.SymbOS.Yxe
    • Trojan-SMS.SymbOS.Lopsoy
    • Trojan-Spy.SymbOS.Zbot
  • Windows Mobile
    • Trojan-SMS.WinCE.Sejweek
    • Trojan.WinCE.Terdial
  • iPhone
    • Net-Worm.IphoneOS.Ike
  • Android
    • Trojan-SMS.AndroidOS.FakePlayer
  • J2ME
    • Trojan-PSW.J2ME.Vkonpass.a
• Что дальше?

Введение

Со времени публикации статьи «Мобильная вирусология, часть 3» в мобильной вирусологии произошло несколько серьезных событий.

Во-первых, изменилось соотношение различных операционных систем для мобильных устройств. ОС Android уверенно завоевывает популярность, и на данный момент оставила позади Windows Mobile. Операционные системы iOS и Blackberry также увеличили свое присутствие на рынке, а вот Symbian продолжает терять позиции, хотя в мировом масштабе по-прежнему остается лидером.

Во-вторых, список платформ, для которых зафиксированы вредоносные программы, расширился. Теперь к ним добавились iOS (операционная система для iPhone/iPod Touch/iPad) и Android. Как и мы и предполагали, появившиеся зловреды для iOS, способны заразить только «разлоченные» (jailbroken) смартфоны.

В-третьих, вредоносные программы и атаки в целом стали более сложными.

В-четвертых, подавляющее большинство обнаруженных нами за последний год с лишним вредоносных программ так или иначе нацелены на кражу денег пользователей.

Наш обзор мы, как обычно, начнем со статистики.

Семейства и модификации. Статистика и изменения

Популярность смартфонов и рост числа новых сервисов влекут за собой рост количества вредоносных программ, с помощью которых злоумышленники пытаются нажиться на пользователях мобильных устройств.

К середине августа 2009 года нами было зафиксировано 106 семейств, 514 модификаций вредоносных программ для мобильных устройств. К концу 2010 года цифры изменились следующим образом: 153 семейства и более 1000 модификаций! То есть в 2010 году было обнаружено на 65,12% больше новых вредоносных программ для мобильных устройств, чем в 2009, а за 17 месяцев их количество практически удвоилось.

По итогам 2010 года ситуация сложилась следующим образом:

Количество семейств и модификаций по платформам

Эти данные можно представить в виде диаграммы:

Распределение модификаций детектируемых объектов по платформам

Отметим, что создание J2ME-троянцев было поставлено вирусописателями на поток: по количеству модификаций J2ME-зловреды обогнали вредоносные программы для Symbian. Напомним, что вредоносные Java-приложения являются угрозой не только для пользователей смартфонов, но и практически для каждого владельца обычного мобильного телефона. Эти вредоносные программы в большинстве своем пытаются отправлять SMS-сообщения на короткий номер.

Рост числа известных модификаций (2004-2010)

Динамика появления новых модификаций по месяцам (2004-2010)

Вредоносные программы для мобильных устройств, появившиеся в период с августа 2009 года по декабрь 2010 (по семействам):

Итого: 46 новых семейств

Число новых модификаций и новых семейств вредоносных программ для различных платформ, обнаруженных в период с августа 2009 года по декабрь 2010 включительно:

Что нового

Способы «монетизации» мобильных вредоносных программ

В мире мобильного вредоносного ПО по-прежнему доминируют программы, отсылающие SMS-сообщения на короткие платные номера. Использование SMS-троянцев остается для злоумышленников самым легким и действенным способом заработать деньги. Причина достаточно проста: любое мобильное устройство, будь то смартфон или обычный мобильный телефон, непосредственно связано с реальными деньгами пользователя — с его мобильным счетом. Именно этот «прямой доступ» злоумышленники активно эксплуатируют.

Один из таких SMS-троянцев даже взяли на вооружение владельцы порноресурсов: с зараженных Trojan-SMS.AndroidOS.FakePlayer смартфонов вредоносная программа отсылала сразу четыре SMS-сообщения на номер, используемый для оплаты доступа к порноконтенту.

Однако с 2010 года отправка платных SMS стала не единственным способом нелегальной наживы для вирусописателей, создающих мобильные зловреды для различных платформ.

В 2010 году впервые за 6 лет истории мобильного вредоносного ПО был обнаружен троянец (Trojan.WinCE.Terdial.a), который звонит на международные платные номера.

Червь для iPhone (Net-Worm.IphoneOS.Ike.b) был использован злоумышленниками для проведения целевой фишинговой атаки на пользователей одного из голландских банков. При попытке зайти на сайт банка с зараженного червем смартфона, пользователь перенаправлялся на фишинговый сайт.

Появилась вредоносная программа (Trojan-Spy.SymbOS.Zbot.a), с помощью которой злоумышленники научились обходить SMS-аутентификацию пользователей онлайн-банкинга. Этот мобильный троянец был использован в сложной атаке вместе с таким опасным зловредом, как Zbot (ZeuS).

Об этих и других вредоносных программах подробнее читайте ниже.

Технологии

За прошедшее с момента публикации предыдущего обзора время у мобильного вредоносного ПО не появилось новых технологий. Однако новые зловреды активно используют уже известные технологии в наиболее опасных и неприятных сочетаниях.

Например, вредоносные программы начали все чаще взаимодействовать с удаленными серверами злоумышленников. Теперь злоумышленники могут:

• оперативно получать краденые данные пользователей;
• обновлять параметры работы вредоносного ПО;
• объединять зараженные мобильные устройства в ботнеты.

Это означает, что атаки мобильных зловредов выходят на совершенно иной уровень.

Мобильные угрозы in-the-wild

Рассмотрим наиболее значимые вредоносные программы для различных платформ, обнаруженные в период с августа 2009 по декабрь 2010 года.

Symbian

Worm.SymbOS.Yxe

В начале второй половины 2009 года была обнаружена новая, четвертая по счету, модификация червя Worm.SymbOS.Yxe.

Напомним, что появившийся в начале 2009 года Yxe стал первой вредоносной программой для смартфонов под управлением Symbian S60 3rd edition. Эта вредоносная программа, помимо самораспространения через SMS-сообщения и сбора некоторой информации о телефоне и его владельце, имела еще одну отличительную черту: все ее модификации имели цифровую подпись Symbian и могли работать практически на всех смартфонах под управлением Symbian S60 3rd edition.

Четвертая модификация червя, Yxe.d, не только рассылала SMS-сообщения, но и стала обновлять SMS-шаблоны, связываясь с удаленным сервером. Yxe.d продемонстрировал, что мобильные вредоносные программы способны работать с удаленными серверами злоумышленников и получать от них обновления и команды, причем, к сожалению, весьма успешно. О чем это говорит? О возможности создания мобильных ботнетов!

Впрочем, первая вредоносная программа для мобильных устройств, которая принимала команды от злоумышленника (Backdoor.WinCE.Brador), появилась еще в августе 2004 года. Однако на тот момент она не представляла серьезной угрозы, так как смартфоны не могли быть подключены к интернету постоянно. Сегодня же, когда беспроводные технологии получили широкое распространение, а мобильный интернет значительно подешевел, вероятность появления вредоносных программ, которые тем или иным образом взаимодействуют с удаленным сервером злоумышленника, значительно возрастает.

После появления версии .d наступило некоторое затишье. В начале 2010 года китайские вирусописатели, ответственные за создание Worm.SymbOS.Yxe, вновь обновили вредоносную программу. Изменения функционала по сравнению с предыдущими модификациями червя оказались следующими:

— червь осуществлял попытки соединения с сайтом китайской социальной сети;
— червь был способен загружать файлы.

В SMS-сообщении, которое рассылал червь для своего распространения, содержалось предложение узнать подробности частной жизни популярной китайской актрисы Жанг Зийи. Если пользователь переходил по ссылке, используя мобильный интернет, то ему предлагалось скачать и установить файл LanPackage.sisx. Если же использовался обычный браузер, установленный на компьютере, то по ссылке открывалась страница с сообщением об «ошибке 404».

Другими словами, удаленный сервер проверял User-Agent (он содержит информацию о приложении, операционной системе, языке) и в случае использования «немобильного» интернета возвращал сообщение об ошибке.

Добавленная функция загрузки файла на момент обнаружения червя исправно срабатывала, однако файлов для загрузки на удаленном сервере злоумышленников не было.

Trojan-SMS.SymbOS.Lopsoy

До осени 2009 года Worm.SymbOS.Yxe оставался единственной в своем роде подписанной вредоносной программой для устройств под управлением Symbian S60 3rd edition. В октябре 2009 года нами был обнаружен новый SMS-троянец для смартфонов, работающих под управлением Symbian S60 3rd edition, ‑ Trojan-SMS.SymbOS.Lopsoy. И он также имел цифровую подпись Symbian.

Информация о цифровой подписи троянца

Троянец был размещен на различных файл-хостинговых ресурсах под видом разнообразных мобильных приложений и игр, в том числе и эротического содержания. Вредоносная программа, попав на смартфон пользователя:

1. использовала автозапуск;
2. прятала себя в списке процессов;
3. осуществляла поиск точки доступа в интернет для соединения с удаленным сервером злоумышленника;
4. связавшись с сервером, получала премиум-номер, на который затем отправляла SMS-сообщение, и текст самого сообщения.

URL удаленного сервера злоумышленника в теле троянца

В отличие от примитивных SMS-троянцев для платформы J2ME, Lopsoy предоставляет злоумышленнику значительно больше возможностей. Телефон, единожды зараженный этой вредоносной программой, постоянно соединяется с удаленным сервером, а злоумышленник, в свою очередь, может постоянно менять текст SMS-сообщения и номер, на который оно будет отправляться.

В итоге мы имеем еще одну подписанную вредоносную программу для Symbian S60 3rd edition, способную соединяться с удаленным сервером и получать параметры для своей работы.

Trojan-Spy.SymbOS.Zbot

В конце сентября 2010 года специалистами из компании S21Sec была обнаружена вредоносная программа, способная пересылать входящие SMS-сообщения на определенный номер. Вроде бы ничего интересного. Однако выяснилось, что этот зловред, во-первых, связан с хорошо известным Zbot (ZeuS), а во-вторых, злоумышленников интересовали не все SMS-сообщения, а лишь те, которые содержали коды аутентификации для онлайн-банковских операций. Вредоносная программа была задетектирована нами как Trojan-Spy.SymbOS.Zbot.a.

Схема атаки выглядит следующим образом:

1. С зараженного компьютера Zbot крадет данные для доступа к онлайн-банкингу.
2. Выяснив телефонный номер жертвы, злоумышленник посылает SMS-сообщение со ссылкой на вредоносную программу для смартфона.
3. Если пользователь переходит по вредоносной ссылке,ему предлагают установить приложение. Он может его установить (т.е. запустить троянца), а может отказаться от установки.
4. Злоумышленник пытается совершить операцию в онлайн-банкинге, которая требует SMS-подтверждения.
5. Банк отправляет SMS-сообщение с кодом аутентификации на телефонный номер жертвы.
6. Вредоносная программа пересылает входящее сообщение на телефонный номер злоумышленника.
7. Злоумышленник получает код аутентификации и завершает операцию в онлайн-банкинге.

Данная вредоносная программа также была подписана легальным сертификатом.

Такая сложная схема атаки свидетельствует о том, что интересы злоумышленников постоянно расширяются. До обнаружения данного зловреда SMS-аутентификация оставалась одним из надежных способов защиты при совершении банковских операций в Сети. Теперь злоумышленники научились обходить этот уровень защиты.

Windows Mobile

Сегодня операционная система Windows Mobile теряет свои позиции на рынке по нескольким причинам:

1. Microsoft выпускает новую операционную систему для смартфонов ‑ Windows Phone ‑ и останавливает работы над Windows Mobile;
2. количество новых моделей смартфонов с предустановленной Windows Mobile уменьшается;
3. ОС давно не обновлялась.

Однако снижение популярности этой ОС не сказалось на активности вирусописателей.

Trojan-SMS.WinCE.Sejweek

В конце 2009 года появился новый SMS-троянец для Windows Mobile под названием Trojan-SMS.WinCE.Sejweek. Во многом он оказался похожим на описанный выше Lopsoy, однако есть и отличие.

Во-первых, так же, как и Lospoy, Sejweek осуществляет попытки соединения с удаленным сервером. В случае успешного соединения троянец загружает XML-файл следующего вида:

Загружаемый Sejweek XML-файл

Видно, что информация между некоторыми тегами зашифрована. В коде троянца хранится следующая таблица, используемая им для расшифровки:

Таблица, используемая для расшифровки

Если расшифровать информацию в тегах и , то она примет следующий вид:

Расшифрованный XML-файл

Как видноиз содержимого тегов и , вредоносная программа рассылает с зараженного телефона платные SMS сообщения на номер 1151 каждые 11 минут. Если учесть, что при этом троянец регулярно обновляет XML-файл, то есть загружает новые данные для отправки коротких сообщений, то нетрудно понять, что он способен очень быстро опустошить баланс зараженного мобильного телефона.

Однако в рамках рассматриваемой ОС это не единственный пример «монетизированного» вредоносного ПО.

Trojan.WinCE.Terdial

В 2010 году впервые был обнаружен троянец, который звонит на платные номера. В конце марта на различных международных сайтах, посвященных бесплатному программному обеспечению для смартфонов под управлением операционной системы Windows Mobile и позволяющих это программное обеспечение загружать, появилась новая игра «3D Antiterrorist». Внутри полуторамегабайтного архива, помимо самой игры, можно найти файл с именем reg.exe, который в действительности является троянской программой Trojan.WinCE.Terdial.a. звонящей на международные платные номера.

После запуска установочного файла antiterrorist3d.cab происходила инсталляция игры в директорию Program Files, а также копирование вредоносного файла reg.exe размером 5632 байт в системную директорию под именем smart32.exe.

Более детальный анализ кода зловреда показал, что:

• вредоносная программа была создана русскоязычным вирусописателем;
• зловред использовал функцию CeRunAppAtTime для собственного запуска;
• после первого запуска троянца звонки осуществлялись на 6 различных премиум-номеров раз в месяц.

Список номеров, на которые осуществляются звонки

+882******7 — International Networks
+1767******1 — Доминиканская республика
+882*******4 — International Networks
+252*******1 — Сомали
+239******1 — Сан-Томе и Принсипи
+881********3 — Global Mobile Satellite System

Вирусописатель, ответственный за создание этого троянца, для распространения своего творения использовал достаточно популярное легальное ПО (игру Antiterrorist 3D, разработанную китайской компанией Huike). Не секрет, что многие пользователи устанавливают с разных веб-ресурсов бесплатное или взломанное ПО. Как раз на таких ресурсах злоумышленники и размещают вредоносное ПО под видом легального. Так произошло в этом случае. Так, боюсь, будет происходит во многих случаях и в дальнейшем.

iPhone

В заключении статьи «Мобильная вирусология, часть 3» мы предполагали, что для iPhone заражение вероятно только в тех случаях, когда пользователь сам взломал (jailbroken) свое устройство и устанавливает на него приложения из неофициальных источников. Наше предположение подтвердилось.

Net-Worm.IphoneOS.Ike

В начале ноября 2010 года был обнаружен первый червь для iPhone, получивший название Net-Worm.IphoneOS.Ike.a. Под угрозой заражения оказались пользователи, взломавшие свой iPhone или iPod Touch и не изменившие пароль, установленный по умолчанию SSH. Червь размножался, используя данную «особенность» смартфона. Серьезного вреда пользователям он не причинял: Ike менял заставку на смартфоне пользователя на картинку с изображением Рика Эстли (певец 80-х годов). Другой активности червь не имел.

Однако уже через пару недель появился новый червь для iPhone (Net-Worm.IphoneOS.Ike.b), который занимался кражей пользовательских данных и позволял злоумышленникам удаленно управлять зараженным смартфоном. Эта модификация также атаковала пользователей взломанных iPhone и iPod Touch, на которых не был изменен пароль, установленный по умолчанию SSH.

«Уязвимость», используемая Ike.b

Под ударом оказались пользователи голландского банка ING Direct. При попытке зайти на сайт банка с зараженного червем смартфона, зловред перенаправлял пользователя на фишинговый сайт. Если пользователь вводил на фишинговой странице свои данные, то они уходили к злоумышленникам.

Таким образом, Ike является по-настоящему «монетизированной» вредоносной программой для взломанных iPhone и iPod Touch.

Android

Платформа Android, успевшая занять немалую долю рынка, некоторое время была обделена вниманием вирусописателей. Но все изменилось в августе 2010 года, когда была обнаружена первая вредоносная программа для этой ОС. С тех пор появились не только новые модификации первого зловреда, но и другие вредоносные программы для Android, к настоящему времени объединенные в семь семейств.

Trojan-SMS.AndroidOS.FakePlayer

Как уже было сказано выше, первая in-the-wild вредоносная программа для смартфонов под управлением ОС Android ‑ Trojan-SMS.AndroidOS.FakePlayer — была обнаружена в начале августа 2010 года.

О способе распространения первой модификации этого троянца ничего конкретного, к сожалению, сказать нельзя. С точностью можно говорить лишь о том, что FakePlayer не распространялся через официальный магазин приложений Android.

Если смартфон пользователя заражался вредоносной программой, то сразу же после ее запуска троянец отправлял три SMS-сообщения на два российских коротких номера.

Вторая модификация Trojan-SMS.AndroidOS.FakePlayer появилась в начале сентября 2010 года, т.е. примерно через месяц после первой. Основной функционал зловреда практически не изменился. Обнаружение второй версии FakePlayer прояснило некоторые аспекты его распространения. Как известно, интерес части пользователей к порнографии очень часто работает на руку вирусописателям при распространении вредоносных программ. В истории с FakePlayer порнография также сыграла немаловажную роль.

Сегодня в российском сегменте интернета владельцы платных порнографических сайтов предоставляют своим посетителям возможность быстрой оплаты доступа к содержимому своих ресурсов: пользователь отправляет SMS-сообщение(я) с определенным текстом на премиум-номер и через некоторое время получает код доступа, который необходимо ввести на главной странице сайта.

Именно такое сообщение, оплачивающее доступ к порноконтенту, и отсылает Trojan-SMS.AndroidOS.FakePlayer. Но не одно, а сразу четыре. Каким же образом троянец попадает на мобильные телефоны пользователей?

Очевидно, что многие пользователи попадают на порносайты через поисковые системы. Владельцы порноресурсов, использующие Trojan-SMS.AndroidOS.FakePlayer, с помощью методов поисковой оптимизации (SEO) поднимают ссылки на свои сайты как можно выше в поисковой выдаче по популярным «порнографическим» запросам.

Если пользователь находится за своим персональным компьютером, события развиваются примерно по такому сценарию:

пользователь -> поисковая система -> «порнографический» запрос -> порнографический сайт -> отправка SMS -> получение кода доступа -> просмотр содержимого сайта.

Что же происходит, когда пользователь работает с мобильным устройством, например со смартфоном под управлением ОС Android?

Первые три звена цепочки остаются без изменений. А дальше начинается самое интересное. После нажатия на одну из «продвинутых» владельцем порносайта ссылок, представленных в результатах поискового запроса, удаленному серверу злоумышленников передается HTTP-запрос, содержащий в том числе и строчку User-Agent (содержит информацию о приложении, операционной системе, языке).

На удаленном сервере в свою очередь происходит проверка User-Agent. В том случае если пользователь пришел на сайт с помощью настольного браузера, то он увидит обычный порнографический сайт. В случае если пользователь попал на сайт с помощью мобильного браузера, работающего на ОС Android, то ему сразу же будет предложено скачать файл pornoplayer.apk. Другими словами — Trojan-SMS.AndroidOS.FakePlayer.

Последовательность событий выглядит так:

пользователь -> поисковая система -> «порнографический» запрос -> порнографический сайт -> предложение скачать pornoplayer.apk -> установка вредоносного приложения -> запуск троянца -> отправка троянцем четырех SMS-сообщений на короткие платные номера -> часть денег за отправленные SMS идет владельцу порноресурса.

Таким образом, владелец порнографического сайта обеспечивает себе дополнительный доход. С одной лишь оговоркой — этот доход нелегален.

При анализе сайтов, распространяющих FakePlayer, обнаружился один любопытный момент: злоумышленники используют geotargetting, что позволяет фильтровать посетителей и «отдавать» файл pornoplayer.apk только в том случае, если пользователь пришел с российского IP-адреса.

J2ME

С момента написания «Мобильной вирусологии, часть3» платформа J2ME стала пользоваться у вирусописателей наибольшей популярностью. Подавляющее большинство зловредов для платформы J2ME ‑ SMS-троянцы, однако существенных изменений в их функционале, способах размножения не произошло. Поэтому в рамках данной главы мы не будем останавливаться на SMS-троянцах, а рассмотрим пример вредоносной программы для платформы J2ME, нацеленной на кражу логинов и паролей пользователей к популярной российской социально сети.

Trojan-PSW.J2ME.Vkonpass.a

В мае 2010 года появилась вредоносная программа, пытающаяся украсть логин и пароль доступа к популярной в России социальной сети «ВКонтакте». Зловред был создан для платформы J2ME. Применительно к этой платформе до появления данного троянца мы сталкивались в основном с SMS-троянцами, но никак не с программами, которые пытаются украсть логин/пароль от социальной сети.

Зловред, детектируемый нами как Trojan-PSW.J2ME.Vkonpass.a, маскировался под программу для доступа к социальной сети ВКонтакте. После запуска троянца на экране мобильного устройства отображалось окно, в котором пользователю было необходимо ввести логин и пароль к социальной сети, якобы для доступа на свою страничку.

Если пользователь вводил свой логин и пароль, то вредоносная программа осуществляла попытку отправки введенных данных по SMTP-протоколу на почтовый ящик злоумышленника. В случае неудачной попытки отправки данных на экране появлялось сообщение «Ошибка связи», в случае удачной — «Ошибка 401».

Что дальше?

В ближайший год мобильные угрозы будут развиваться в следующих направлениях:

1. SMS-троянцы. Сейчас пока, к сожалению, нет никаких предпосылок для уменьшения количества SMS-троянцев. Законодательство некоторых стран по-прежнему несовершенно, и у злоумышленников есть возможность использовать короткие номера абсолютно анонимно.
2. Рост количества угроз для Android. Эта платформа обретает все большую популярность, что не может не сказаться на активности злоумышленников.
3. Рост количества обнаруженных уязвимостей в различных мобильных платформах, и, возможно, атаки с их помощью. До сегодняшнего дня не было зафиксировано ни одной крупной атаки, использующей критическую уязвимость. Одна из таких уязвимостей — уязвимость в iOS, обнаруженная 4 августа (обновление выпущено 11 августа), которая могла привести к исполнению произвольного кода в системе. Если пользователь пытался открыть специально сформированный PDF-файл, то это могло вызвать переполнение стека и выполнение произвольного кода в системе с наивысшими привилегиями. Была ли использована эта уязвимость для атаки на смартфоны? В нашем распоряжении нет таких фактов. Достоверно известно, что уязвимость была использована лишь для того, чтобы значительно упростить jailbreak смартфона.
4. Рост количества коммерческого шпионского ПО. Данный вид программного обеспечения может быть использован для мониторинга активности третьих лиц, в том числе, например, и для промышленного шпионажа и получения секретной информации (например, переписки).

Не стоит забывать и о планшетах. Именно эти устройства будут править бал в 2011 году. В 2010 году Apple выпустил iPad, в котором использовалась та же операционная система, что и в iPhone. Планируется выпуск планшетов с поддержкой Android (несколько производителей уже заявили об этом). RIM в скором времени начнет продажи своего устройства с поддержкой Blackberry.

Такие устройства могут предложить пользователям значительно больше, чем обычные смартфоны: редактирование документов, удобный веб-серфинг и просмотр фильмов, игры и т.д. Соответственно, они будут пользоваться большой популярностью у пользователей.

Но с точки зрения операционных систем все останется прежним. По сути мы будем иметь дело с оптимизированными под большие экраны iOS, AndroidOS, BlackberryOS и т.д. Соответственно, вредоносному программному обеспечению будет все равно, где работать — на смартфоне или на планшете.

И еще одно «но»: смартфон и планшет не взаимозаменяемы по одной простой причине: у планшета отсутствует функция телефона. Поэтому более чем вероятно, что пользователь, имеющий планшет, также является владельцем смартфона. Следовательно, количество потенциальных мишеней злоумышленников будет расти, что, как правило, приводит к росту числа вредоносных программ, нацеленных на них.