Мобільний вірусологія

Введення


З часу написання перших двох статей циклу "Мобільна вірусологія" пройшло майже три роки. Такий великий інтервал між публікаціями був викликаний практично повною зупинкою еволюції в світі мобільних загроз.


За перші два роки існування мобільних загроз (у 2004-2006 роках) стався їх стрімке зростання, що призвів до появи цілого спектру шкідливих поводжень для мобільних телефонів, практично ідентичного комп'ютерному: віруси, хробаки, троянські програми, в тому числі шпигуни, бекдори, рекламні програми.


Технологічна база для масованої атаки на користувачів смартфонів була створена. Однак такої атаки не відбулося. Викликано це було стрімкою зміною ситуації на ринку мобільних пристроїв. Два роки тому ситуація характеризувалася так: є абсолютний лідер – платформа Symbian, і є всі інші. Збережися такий стан справ до цих пір, ми б мали справу з масою шкідливих програм для Symbian-смартфонів. Але все змінилося. Виробники телефонів і операційних систем змогли фактично змістити Symbian (і Nokia) з її лідерських позицій. На даний момент у Nokia близько 45% ринку смартфонів.


Перший внесок у цю боротьбу був внесений Microsoft і її мобільною платформою Windows Mobile. Початок був покладений дуже вдалою версією Windows Mobile 5, яку підтримало багато великих виробників телефонів, потім була шоста версія, публікація вихідних кодів ОС. Як наслідок, зараз Windows Mobile займає близько 15% світового ринку смартфонів, а в деяких країнах світу – лідируючі позиції. Windows Mobile була ліцензована в Microsoft чотирма найбільшими виробниками телефонів (крім лідера – Nokia), і в даний момент обсяг продажів таких пристроїв може складати більше 20 млн трубок на рік.


Вельми значно посилилися позиції і компанії RIM, чиї пристрої BlackBerry на власній операційній системі дуже популярні в США. Нагадаємо, що для даної платформи до цих пір не було виявлено жодної шкідливої програми, за винятком концептуального бекдор BBproxy, створеного дослідниками вразливостей.


Але самим яскравим і помітним подією останніх років став вихід на ринок пристрої iPhone від компанії Apple. Базований на власній розробці – мобільної версії Mac OS X, телефон стрімко став одним із найбільш продаваних комунікаторів у світі. Заявлена Apple мета – продати 10 млн пристроїв до кінця 2008 року – була виконана. На даний момент продано вже більше 21 млн iPhone всіх моделей, а якщо до цього числа додати ще iPod Touch ("iPhone" без телефону), то загальна кількість проданих пристроїв складе 37 млн.


Додайте сюди вже відбувся вихід першого телефону на платформі Android, розробленої Google, з масою можливостей для створення додатків і використання сервісів Google – і ви отримаєте картину повної невизначеності в тому, яку платформу розглядати в якості "базової".


Ситуація в корені відрізняється від персональних комп'ютерів, де визначено домінує Windows. А саме популярність операційної системи є вкрай важливим чинником для вірусописьменників при виборі об'єкта атаки.


Зіткнувшись з проблемою відсутності лідера на ринку мобільних ОС і, як наслідок, з неможливістю одночасної атаки на більшість користувачів, вірусопісателямі довелося, по-перше, значно скоротити розробки в напрямку якоїсь конкретної платформи, і, по-друге, спробувати вирішити проблему "платформ" своїх творінь.


Про те, що з цього у них вийшло, ми і поговоримо нижче.


Сімейства і модифікації. Статистика та зміни


Каталог шкідливих програм для мобільних телефонів, наведений в першій частині "Мобільної вірусології", був датований 30 серпня 2006 року та налічував 5 платформ, схильних до зараження. За минулі три роки до числа платформ, атакованих мобільними вірусами, додалася всього одна – нею стала платформа S / EGOLD (SGold, по класифікації "Лабораторії Касперського"), на якій працюють телефони Siemens. Платформа є відкритою, що дозволяє користувачам встановлювати на телефон власні програми.































Платформа Число
сімейств
Число
модифікацій
Symbian 62 253
J2ME 31 182
WinCE 5 26
Python 3 45
SGold 3 4
MSIL 2 4

Ці дані можна представити у вигляді діаграми:


Розподіл модифікацій детектіруемих об'єктів по платформах


Варто визнати, що вирусописатели змогли знайти рішення проблеми вибору цільової платформи, про яку ми говорили вище. Сталося це в ході спроб реалізації "платформ". Відмовившись від створення додатків під конкретну платформу, вони звернули свою увагу на Java 2 Micro Edition.


Справа в тому, що практично всі сучасні телефони, не кажучи вже про смартфони, мають підтримку Java і дозволяють запускати java-додатки, які можуть бути завантажені з інтернету. Освоївши створення шкідливих Java-додатків, вирусописатели не тільки вирвалися за межі якоїсь однієї платформи, але і змогли значно збільшити "зону ураження" – адже під загрозою опинилися не тільки користувачі смартфонів, але і практично кожен власник звичайного мобільного телефону.


У кінці серпня 2006 року було 31 сімейство і 170 модифікацій. На середину серпня цього року ми зафіксували 106 родин, 514 модифікацій детектіруемих об'єктів для мобільних пристроїв. Таким чином, за три роки кількість детектіруемих об'єктів для мобільних пристроїв зросла на 202%. Число родин при цьому виросло на 235%.


Зростання числа відомих модифікацій (2004-2009)


Динаміка появи нових модифікацій по місяцях (2004-2009)


Детектируемая об'єкти для мобільних пристроїв, що з'явилися в період з 09.2006 по 08.2009, за домами:











































































































































































































































































































































































































































































Сімейство Дата
виявлення
Платформа Короткий опис
функціонала
Колі-
кість
модифікованого-
ють
Wesber сен.06 J2ME Розсилка SMS 1
Acallno сен.06 Symbian Крадіжка інформації 2
Flerprox окт.06 Symbian Підміна системних завантажувачів 2
Hidmenu окт.06 Symbian Приховування меню 1
Unlock.a окт.06 Symbian Зняття блокування телефону 1
Smarm янв.07 J2ME Розсилка SMS 10
Mead фев.07 Sgold Зараження файлів 2
Mrex мар.07 Symbian Підміна колірних схем 1
Viver май.07 Symbian Розсилка SMS 2
Feak май.07 Symbian Розсилка SMS з посиланням на себе в zip-архіві 1
SHT авг.07 Symbian Хакерська утиліта 1
Konopla авг.07 Sgold Cбой налаштувань, підміна тим і картинок 1
Reboot авг.07 Symbian Перезавантаження пристрої 2
Delcon авг.07 Symbian Видалення контактів 1
SMSFree окт.07 J2ME Розсилка SMS 10
Flocker окт.07 Python Розсилка SMS 44
Deladdr ноя.07 Sgold Видалення файлів з телефону (адресна книга, додатки, SMS, wap-профілі) 1
HatiHati дек.07 Symbian Поширення через карти пам'яті MMC, відправка SMS 1
Fonzi янв.08 Symbian Видалення файлів 1
Killav янв.08 Symbian Видалення антивірусів 3
Beselo янв.08 Symbian Розповсюдження через Bluetooth і MMS 2
Swapi фев.08 J2ME Розсилка SMS 44
SrvSender мар.08 Symbian Відповідає на всі вхідні повідомлення і дзвінки випадковим SMS, видалення повідомлень 1
Kiazh мар.08 Symbian Вимагання грошей, видалення всіх вхідних і вихідних SMS-повідомлень 1
InfoJack мар.08 WinCE Копіювання на змінні диски, крадіжка інформації, завантаження ПЗ без відома користувача, відключення захисту 3
Gpiares апр.08 Symbian Розсилка SMS 2
Kuku май.08 Symbian Розсилка SMS 1
SmsSpy май.08 Symbian Перевести користувальницьких повідомлень на номер, записаний в cfg-файлі 1
Forvir май.08 Symbian Висновок помилкових повідомлень про помилки в системі і телефоні, встановлення вірусу 1
Hoaxer май.08 J2ME Розсилка SMS 6
KillPhone май.08 Symbian Неможливість запуску телефону після його перезавантаження 3
Xanel май.08 J2ME Розсилка SMS 4
SMSi май.08 J2ME Розсилка SMS 15
Konov май.08 J2ME Розсилка SMS 14
Kros іюн.08 Symbian Підміна виконуваних файлів 1
Blocker іюн.08 Symbian Блокування деяких функцій ОС телефону 1
Boxer сен.08 J2ME Розсилка SMS 15
Redoc сен.08 WinCE Розсилка SMS 19
Espaw сен.08 J2ME Розсилка SMS 7
KaspAV авг.08 J2ME Підроблений антивірус 3
PMCryptic окт.08 WinCE Поліморфний вірус-компаньйон, черв'як (карта пам'яті) 1
MultiNum окт.08 Symbian Розсилка SMS 1
Razan окт.08 J2ME Висновок неправдивого повідомлення про зараження телефону 1
Onro окт.08 J2ME Розсилка SMS 3
DoctorW ноя.08 J2ME Підроблений антивірус 1
SMSSender ноя.08 J2ME Розсилка SMS 1
Sspy дек.08 Python програма-шпигун 1
Tagsa дек.08 Symbian Розсилка SMS 1
Small дек.08 J2ME Розсилка SMS 7
Noti янв.09 J2ME Мобільний контент за SMS 1
Okpon янв.09 J2ME Розсилка SMS 1
Yxe янв.09 Symbian розмноження через SMS, збір інформації 4
CoS янв.09 Symbian Хакерська утиліта для відправки спеціально сформованих SMS 2
Kinap янв.09 Symbian Підміна шрифтів, іконок, логотипів 7
Vers лют.09 Symbian Розсилка SMS 1
Yakki лют.09 Symbian Видалення шрифтів 1
Disabler лют.09 Symbian Блокування SMS, MMS, дзвінків 1
Getas лют.09 J2ME Імітація вірусу 1
Xef лют.09 J2ME Розсилка SMS 2
GameSat лют.09 J2ME Розсилка SMS 1
Rebrew лют.09 J2ME SMS-Flooder 1
Mexasa мар.09 J2ME Розсилка SMS 4
Xavava мар.09 J2ME Розсилка SMS 3
Kblock мар.09 Symbian Блокування телефону 1
Garlag мар.09 J2ME Розсилка SMS 2
Redrob мар.09 J2ME Розсилка SMS 4
Fnusob мар.09 J2ME Розсилка SMS 1
Pornidal апр.09 Symbian Дзвінки на платні номери 2
SMSRtap апр.09 Symbian моніторинг SMS, дзвінків і т.д. 3
Trojan-SMS.Agent май.09 J2ME Розсилка SMS 4
Caneo іюн.09 Symbian моніторинг SMS, дзвінків і т.д. 2
Crymss іюн.09 J2ME Розсилка SMS 1
Smypa іюн.09 Python SMS-Flooder 1
Enoriv іюл.09 Symbian Розсилка SMS 1
Smofree авг.09 J2ME Дзвінки на платний номер 1

Разом: 75 нових сімейств


З 2006 по 2009 рік відбулося потроєння числа шкідливих програм для мобільних пристроїв. Це означає, що темпи зростання, показані в період "першої стадії" (2004-2006 рр..), Збереглися.


Що нового?


Складений нами три роки тому список того, що вміють робити мобільні шкідливі програми, виглядав так:



За минулі три роки у мобільного шкідливого ПЗ з'явилося кілька нових технологій і прийомів:



Технології та прийоми


Досить велика кількість шкідливих програм для персональних комп'ютерів використовують технологію самокопірованія на змінні диски або USB-флешки. Примітивний спосіб розмноження, на жаль, виявився досить ефективним.


Мобільні вирусописатели вирішили не відставати від "модних" тенденцій і почали використовувати такий прийом у своїх шкідливих програмах. Приклад такої шкідливої програми – Worm.WinCE.InfoJack. Цей черв'як копіює себе на диск E:. У смартфонах, оснащених операційною системою Windows Mobile, ця буква позначає карту пам'яті мобільного пристрою.


Крім способу розмноження, черв'як InfoJack володіє ще кількома цікавими особливостями. По-перше, шкідлива програма поширюється в cab-інсталятор, куди, крім копії хробака, входять також різні легальні програми та ігри. Очевидно, що такий прийом використовується для маскування активності шкідливої програми. По-друге, InfoJack відключає перевірку підпису додатків (один із захисних механізмів ОС Windows Mobile). Це означає, що при спробі установки користувачем непідписаного програми (яка може виявитися шкідливим), операційна система не видасть попередження про відсутність підписі у виконуваного файлу. По-третє, при підключенні смартфона до інтернету черв'як намагається завантажити з Мережі додаткові модулі для своєї роботи. Таким чином, InfoJack містить в собі завантажувальний функціонал. Ну і на закуску у нас залишилася відсилання персональних даних користувача смартфона автору шкідливої програми.


Що ми маємо в результаті? Шкідливу програму з функціоналом розмноження, завантаження сторонніх файлів з Мережі, відключення систем захисту ОС і шпигунства за користувачем. Плюс досить хороша маскування.


Черв'як Worm.WinCE.PMCryptic.a також може служити прикладом використання копіювання на карту пам'яті. Однак його унікальність полягає в іншому: це перший поліморфний хробак і вірус-компаньйон для смартфонов! На щастя, цей китайський хробак не був виявлений "в дикій природі" і є тільки "доказом можливості існування". Однак сам факт можливості створення поліморфних шкідливих програм для смартфонів не обіцяє нічого хорошого.


Різні примітивні троянські вироби, що псують або знищують дані користувача на смартфоні, також доставили чимало проблем власникам смартфонів. Один із прикладів – Trojan.SymbOS.Delcon.a. Це троянська програма для смартфонів під управлінням ОС Symbian розміром всього лише 676 байтів! Після запуску sis-архіву відбувається перезапис файлу contacts.pdb, що зберігає всі контакти користувача, на файл з аналогічним ім'ям з зловмисних архива. Шкідливий contacts.pdb містить наступні слова:


"If you have installed this programm you are really stupid man: D
Series60 is only for professionals…(c)
by KoS. 2006 ))”

"Якщо ви встановили цю програму, ви дійсно дурні: D
Series 60 – тільки для професіоналів … (c)
KoS. 2006 ))”

До появи not-a-virus: Porn-Dialer.SymbOS.Pornidal.a, яка здійснює дзвінки на міжнародні платні номери, подібні програми були лише комп'ютерної реалією.


Програма not-a-virus: Porn-Dialer.SymbOS.Pornidal.a працює наступним чином: при запуску користувачем sis-файлу з'являється текст ліцензійної угоди, в якому говориться, що додаток буде здійснювати дзвінки на міжнародні платні номери для отримання повного доступу до сайту, що містить порнографічні матеріали. Номери, на які здійснюються дзвінки, розташовані в різних страх світу (4 країни в Європі, 4 – в Африці, 1 країна – в Океанії).


Небезпека подібного роду програм полягає в тому, що, по-перше, подібне ПЗ може бути змінено зловмисниками таким чином, що воно стане шкідливим і буде використано для отримання нелегальної прибутку. Наприклад, якщо в додатку прибрати попередження про те, що дзвінки виробляються на платні номери. А по-друге, більшість користувачів неуважно читають ліцензійну угоду, погоджуючись з ним майже автоматично. У результаті вони не знають, який функціонал додатка (в даному випадку – дзвінки на платні номери).


Одна з модифікацій Trojan-SMS.Python.Flocker


Що ж особливого в шести нових модифікаціях цього сімейства? До моменту їх появи всі зареєстровані нами шкідливі програми з поведінкою Trojan-SMS були створені на пострадянській території, а короткі повідомлення відправлялися на номери, що належать російським стільниковим операторам.


Всі нові модифікації Flocker "а відправляли SMS на короткий номер 151, який не зареєстрований в Росії. Більш того, нам не зустрічалися до цього тризначні короткі номери. Текст повідомлення теж мав свої особливості: TP <12 цифр> <4 або 5 цифр>.


Що ж ми маємо? Кілька шкідливих програм, які відправляють SMS-повідомлення на один і той же короткий номер з досить схожими текстами. Виникає старе питання: де гроші?


Задовго до виявлення нових версій Flocker "а був опублікований прес-реліз одного з індонезійських мобільних операторів, в якому говорилося, що у власників певних сім-карт є можливість перекладу грошей зі свого мобільного рахунку (балансу) на рахунок свого родича / друга / знайомого з такою ж сім-картою. Для цього необхідно відправити повідомлення на короткий номер 151 з наступним текстом: TP <телефонний номер абонента> <сума переказу в рупіях.


Цією можливістю скористалися шахраї, і троянець, що мав російське походження, був кимось модифікований під роботу з індонезійськими мобільними операторами і поширений серед користувачів в Індонезії.


Всі перераховані вище випадки свідчать про те, що мобільні загрози продовжують поширюватися по світу, проте з істотною зміною тенденції: замість глобальних епідемій черв'яків ми спостерігаємо локальні спалаху заражень, орієнтовані на жителів однієї конкретної країни або одного регіону. Це цілком відповідає поточній ситуації з комп'ютерними вірусами.


Регіонами, для яких проблема мобільних вірусів є найбільш актуальною, є Росія, Китай, Індонезія та країни Західної Європи.


Висновок


Популярність смартфонів, все більш активне їх використання в робочих цілях, для доступу до інтернету, для доступу до банківського рахунку, для оплати товарів і послуг – все це призведе до зростання числа шахраїв, які хотіли б незаконно нажитися на цьому.


Сучасні шкідливі програми можуть робити безліч речей: зберігати і відсилати вміст телефонної книги та інші дані, повністю блокувати апарат, надавати віддалений доступ зловмисникам, відправляти SMSі MMS і т.п. На підприємствах смартфони в робочих цілях використовують ті, хто працює віддалено, хто їздить у відрядження. Навіть просто виведений з ладу телефон (внаслідок атаки шкідливого ПЗ) – вже серйозна проблема. А в тих випадках, коли зловмисник дістав доступ до корпоративної мережі (або електронною поштою), виникає пролом в безпеці мережі підприємства.


Що стосується iPhone (4% світового ринку мобільних телефонів і 20% американського) і Android – для цих платформ потенційна можливість шкідливої атаки дуже різна. Для iPhone зараженню найбільш ймовірно тільки в тому випадку, коли користувач зламав свій пристрій і встановлює на нього програми з неофіційних джерел. Android (ймовірно) не буде мати такої жорсткої прив'язки до офіційних джерел файлів, і користувачі "легальних" телефонів зможуть ставити на свої пристрої все що завгодно.


У будь-якому випадку говорити зараз про те

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*