Мобільна вірусологія

Введення


З часу написання перших двох статей циклу “” минуло майже три роки. Такий великий інтервал між публікаціями був викликаний практично повною зупинкою еволюції в світі мобільних загроз.


За перші два роки існування мобільних загроз (в 2004-2006 роках) стався їх стрімке зростання, призвів до появи цілого спектру шкідливих поводжень для мобільних телефонів, практично ідентичного комп’ютерного: віруси, хробаки, троянські програми, в тому числі шпигуни, бекдори, рекламні програми.


Технологічна база для масованої атаки на користувачів смартфонів була створена. Однак такої атаки не відбулося. Викликано це було стрімкою зміною ситуації на ринку мобільних пристроїв. Два роки тому ситуація характеризувалася так: є абсолютний лідер – платформа Symbian, і є всі інші. Збережися такий стан справ досі, ми б мали справу з масою шкідливих програм для Symbian-смартфонів. Але все змінилося. Виробники телефонів і операційних систем змогли фактично змістити Symbian (і Nokia) з її лідерських позицій. На даний момент у Nokia близько 45% ринку смартфонів.


Перший внесок у цю боротьбу було внесено Microsoft і її мобільною платформою Windows Mobile. Початок був покладений дуже вдалою версією Windows Mobile 5, яку підтримало багато великих виробників телефонів, потім була шоста версія, публікація початкових кодів ОС. Як наслідок, зараз Windows Mobile займає близько 15% світового ринку смартфонів, а в деяких країнах світу – лідируючі позиції. Windows Mobile була ліцензована у Microsoft чотирма найбільшими виробниками телефонів (окрім лідера – Nokia), і в даний момент обсяг продажів таких пристроїв може складати більше 20 млн трубок на рік.


Вельми значно посилилися позиції і компанії RIM, чиї пристрої BlackBerry на власній операційній системі дуже популярні в США. Нагадаємо, що для даної платформи досі не було виявлено жодної шкідливої ​​програми, за винятком концептуального бекдор BBproxy, створеного дослідниками вразливостей.


Але самим яскравим і помітним подією останніх років став вихід на ринок пристрої iPhone від компанії Apple. Базується на власній розробці – мобільної версії Mac OS X, телефон стрімко став одним з найбільш продаваних комунікаторів в світі. Заявлена ​​Apple мета – продати 10 млн пристроїв до кінця 2008 року – була виконана. На даний момент продано вже більше 21 млн iPhone всіх моделей, а якщо до цього числа додати ще iPod Touch (“iPhone” без телефону), то загальна кількість проданих пристроїв складе 37 млн.


Додайте сюди вже відбувся вихід першого телефону на платформі Android, розробленої Google, з масою можливостей для створення додатків і використання сервісів Google – і ви отримаєте картину повної невизначеності в тому, яку платформу розглядати в якості “базової”.


Ситуація в корені відрізняється від персональних комп’ютерів, де виразно домінує Windows. А саме популярність операційної системи є вкрай важливим фактором для вірусописьменників при виборі об’єкта атаки.


Зіткнувшись з проблемою відсутності лідера на ринку мобільних ОС і, як наслідок, з неможливістю одночасної атаки на більшість користувачів, вірусописьменників довелося, по-перше, значно скоротити розробки в напрямку якоїсь конкретної платформи і, по-друге, спробувати вирішити проблему “платформ” своїх творінь.


Про те, що з цього в них вийшло, ми і поговоримо нижче.


Сімейства і модифікації. Статистика та зміни


Каталог шкідливих програм для мобільних телефонів, наведений в першій частині “Мобільного вірусології“, Був датований 30 серпня 2006 року і налічував 5 платформ, схильних до зараження. За минулі три роки до числа платформ, атакованих мобільними вірусами, додалася всього одна – нею стала платформа S / EGOLD (SGold, за класифікацією “Лабораторії Касперського”), на якій працюють телефони Siemens. Платформа є відкритою, що дозволяє користувачам встановлювати на телефон власні додатки.































Платформа Число
сімейств
Число
модифікацій
Symbian 62 253
J2ME 31 182
WinCE 5 26
Python 3 45
SGold 3 4
MSIL 2 4

Ці дані можна представити у вигляді діаграми:


Розподіл модифікацій детектіруемого об’єктів по платформах


Варто визнати, що Вірусописьменники змогли знайти вирішення проблеми вибору цільової платформи, про яку ми говорили вище. Сталося це в ході спроб реалізації “платформ”. Відмовившись від створення додатків під конкретну платформу, вони звернули свою увагу на Java 2 Micro Edition.


Справа в тому, що практично всі сучасні телефони, не кажучи вже про смартфони, мають підтримку Java і дозволяють запускати java-додатки, які можуть бути завантажені з інтернету. Освоївши створення шкідливих Java-додатків, Вірусописьменники не тільки вирвалися за межі якоїсь однієї платформи, але і змогли значно збільшити “зону ураження” – адже під загрозою опинилися не тільки користувачі смартфонів, але і практично кожен власник звичайного мобільного телефону.


В кінці серпня 2006 року було 31 сімейство і 170 модифікацій. На середину серпня цього року ми зафіксували 106 сімейств, 514 модифікацій детектіруемого об’єктів для мобільних пристроїв. Таким чином, за три роки число детектіруемого об’єктів для мобільних пристроїв зросла на 202%. Число сімейств при цьому зросла на 235%.


Зростання числа відомих модифікацій (2004-2009)


Динаміка появи нових модифікацій по місяцях (2004-2009)


Детектіруемого об’єкти для мобільних пристроїв, що з’явилися в період з 09.2006 по 08.2009, за домами:











































































































































































































































































































































































































































































Сімейство Дата
виявлення
Платформа Короткий опис
функціонала
Колі-
кість
модиф-
каций
Wesber сен.06 J2ME Розсилка SMS 1
Acallno сен.06 Symbian Крадіжка інформації 2
Flerprox окт.06 Symbian Підміна системних завантажувачів 2
Hidmenu окт.06 Symbian Приховування меню 1
Unlock.a окт.06 Symbian Зняття блокування телефону 1
Smarm янв.07 J2ME Розсилка SMS 10
Mead фев.07 Sgold Зараження файлів 2
Mrex мар.07 Symbian Підміна колірних схем 1
Viver май.07 Symbian Розсилка SMS 2
Feak май.07 Symbian Розсилка SMS з посиланням на себе в zip-архіві 1
SHT авг.07 Symbian Хакерська утиліта 1
Konopla авг.07 Sgold Збій налаштувань, підміна тим і картинок 1
Reboot авг.07 Symbian Перезавантаження пристрою 2
Delcon авг.07 Symbian Видалення контактів 1
SMSFree окт.07 J2ME Розсилка SMS 10
Flocker окт.07 Python Розсилка SMS 44
Deladdr ноя.07 Sgold Видалення файлів з телефону (адресна книга, додатки, SMS, wap-профілі) 1
HatiHati дек.07 Symbian Поширення через карти пам’яті MMC, відправка SMS 1
Fonzi янв.08 Symbian Видалення файлів 1
Killav янв.08 Symbian Видалення антивірусів 3
Beselo янв.08 Symbian Поширення через Bluetooth і MMS 2
Swapi фев.08 J2ME Розсилка SMS 44
SrvSender мар.08 Symbian Відповідає на всі вхідні повідомлення і дзвінки випадковим SMS, видалення повідомлень 1
Kiazh мар.08 Symbian Вимагання грошей, видалення всіх вхідних і вихідних SMS-повідомлень 1
InfoJack мар.08 WinCE Копіювання на змінні диски, крадіжка інформації, завантаження ПЗ без відома користувача, відключення захисту 3
Gpiares апр.08 Symbian Розсилка SMS 2
Kuku май.08 Symbian Розсилка SMS 1
SmsSpy май.08 Symbian Відсилання користувальницьких повідомлень на номер, записаний в cfg-файлі 1
Forvir май.08 Symbian Висновок помилкових повідомлень про помилки в системі та телефоні, установці вірусу 1
Hoaxer май.08 J2ME Розсилка SMS 6
KillPhone май.08 Symbian Неможливість запуску телефону після його перезавантаження 3
Xanel май.08 J2ME Розсилка SMS 4
SMSi май.08 J2ME Розсилка SMS 15
Konov май.08 J2ME Розсилка SMS 14
Kros іюн.08 Symbian Підміна виконуваних файлів 1
Blocker іюн.08 Symbian Блокування деяких функцій ОС телефону 1
Boxer сен.08 J2ME Розсилка SMS 15
Redoc сен.08 WinCE Розсилка SMS 19
Espaw сен.08 J2ME Розсилка SMS 7
KaspAV авг.08 J2ME Підроблений антивірус 3
PMCryptic окт.08 WinCE Поліморфний вірус-компаньйон, черв’як (карта пам’яті) 1
MultiNum окт.08 Symbian Розсилка SMS 1
Razan окт.08 J2ME Висновок неправдивого повідомлення про зараження телефону 1
Onro окт.08 J2ME Розсилка SMS 3
DoctorW ноя.08 J2ME Підроблений антивірус 1
SMSSender ноя.08 J2ME Розсилка SMS 1
Sspy дек.08 Python програма-шпигун 1
Tagsa дек.08 Symbian Розсилка SMS 1
Small дек.08 J2ME Розсилка SMS 7
Noti янв.09 J2ME Мобільний контент за SMS 1
Okpon янв.09 J2ME Розсилка SMS 1
Yxe янв.09 Symbian розмноження через SMS, збір інформації 4
CoS янв.09 Symbian Хакерська утиліта для відправки спеціально сформованих SMS 2
Kinap янв.09 Symbian Підміна шрифтів, іконок, логотипів 7
Vers лют.09 Symbian Розсилка SMS 1
Yakki лют.09 Symbian Видалення шрифтів 1
Disabler лют.09 Symbian Блокування SMS, MMS, дзвінків 1
Getas лют.09 J2ME Імітація вірусу 1
Xef лют.09 J2ME Розсилка SMS 2
GameSat лют.09 J2ME Розсилка SMS 1
Rebrew лют.09 J2ME SMS-Flooder 1
Mexasa мар.09 J2ME Розсилка SMS 4
Xavava мар.09 J2ME Розсилка SMS 3
Kblock мар.09 Symbian Блокування телефону 1
Garlag мар.09 J2ME Розсилка SMS 2
Redrob мар.09 J2ME Розсилка SMS 4
Fnusob мар.09 J2ME Розсилка SMS 1
Pornidal апр.09 Symbian Дзвінки на платні номери 2
SMSRtap апр.09 Symbian моніторинг SMS, дзвінків і т.д. 3
Trojan-SMS.Agent май.09 J2ME Розсилка SMS 4
Caneo іюн.09 Symbian моніторинг SMS, дзвінків і т.д. 2
Crymss іюн.09 J2ME Розсилка SMS 1
Smypa іюн.09 Python SMS-Flooder 1
Enoriv іюл.09 Symbian Розсилка SMS 1
Smofree авг.09 J2ME Дзвінки на платний номер 1

Разом: 75 нових сімейств


З 2006 по 2009 рік відбулося потроєння числа шкідливих програм для мобільних пристроїв. Це означає, що темпи зростання, показані в період “першої стадії” (2004-2006 рр..), Збереглися.


Що нового?


Складений нами три роки тому список того, що вміють робити мобільні шкідливі програми, виглядав так:



За минулі три роки у мобільного шкідливого ПЗ з’явилося кілька нових технологій і прийомів:



Технології та прийоми


Досить велика кількість шкідливих програм для персональних комп’ютерів використовують технологію самокопірованія на змінні диски або USB-флешки. Примітивний спосіб розмноження, до нещастя, виявився досить ефективним.


Мобільні Вірусописьменники вирішили не відставати від “модних” тенденцій і почали використовувати такий прийом у своїх шкідливих програмах. Приклад такої шкідливої ​​програми – Worm.WinCE.InfoJack. Цей черв’як копіює себе на диск E:. У смартфонах, оснащених операційною системою Windows Mobile, ця буква позначає карту пам’яті мобільного пристрою.


Крім способу розмноження, черв’як InfoJack володіє ще декількома цікавими особливостями. По-перше, шкідлива програма розповсюджується в cab-інсталятор, куди, крім копії хробака, входять також різні легальні програми та ігри. Очевидно, що такий прийом використовується для маскування активності шкідливої ​​програми. По-друге, InfoJack відключає перевірку підпису додатків (один із захисних механізмів ОС Windows Mobile). Це означає, що при спробі установки користувачем непідписаного додатки (яке може виявитися шкідливим), операційна система не видасть попередження про відсутність підписі у виконуваного файлу. По-третє, при підключенні смартфона до інтернету черв’як намагається завантажити з Мережі додаткові модулі для своєї роботи. Таким чином, InfoJack містить в собі завантажувальний функціонал. Ну і на закуску у нас залишилася відсилання персональних даних користувача смартфона автору шкідливої ​​програми.


Що ми маємо в підсумку? Шкідливу програму з функціоналом розмноження, завантаження сторонніх файлів з Мережі, відключення систем захисту ОС і шпигунства за користувачем. Плюс досить хороше маскування.


Черв’як Worm.WinCE.PMCryptic.a також може служити прикладом використання копіювання на карту пам’яті. Однак його унікальність полягає в іншому: це перший поліморфний хробак і вірус-компаньйон для смартфонів! На щастя, цей китайський черв’як не був виявлений “в дикій природі” і є тільки “доказом можливості існування”. Однак сам факт можливості створення поліморфних шкідливих програм для смартфонів не обіцяє нічого хорошого.


Різні примітивні троянські поробки, що псують або знищують користувача дані на смартфоні, також доставили чимало проблем власникам смартфонів. Один із прикладів – Trojan.SymbOS.Delcon.a. Це троянська програма для смартфонів під управлінням ОС Symbian розміром всього лише 676 байт! Після запуску sis-архіву відбувається перезапис файлу contacts.pdb, що зберігає всі контакти користувача, на файл з аналогічним ім’ям з шкідливого архіву. Шкідливий contacts.pdb містить наступні слова:


“If you have installed this programm you are really stupid man 😀
Series60 is only for professionals…(c)
by KoS. 2006 ))”
“Якщо ви встановили цю програму, ви дійсно дурні: D
Series 60 – тільки для професіоналів … (c)
KoS. 2006 ))”

До появи not-a-virus: Porn-Dialer.SymbOS.Pornidal.a, яка здійснює дзвінки на міжнародні платні номери, подібні програми були лише комп’ютерної реалією.


Програма not-a-virus: Porn-Dialer.SymbOS.Pornidal.a працює таким чином: при запуску користувачем sis-файлу з’являється текст ліцензійної угоди, в якому говориться, що додаток буде здійснювати дзвінки на міжнародні платні номери для отримання повного доступу до сайту, що містить порнографічні матеріали. Номери, на які здійснюються дзвінки, розташовані в різних страх світу (4 країни в Європі, 4 – в Африці, 1 країна – в Океанії).


Небезпека подібного роду програм полягає в тому, що, по-перше, подібне ПО може бути змінене зловмисниками таким чином, що воно стане шкідливим і буде використано для отримання нелегальної прибутку. Наприклад, якщо в додатку прибрати попередження про те, що дзвінки виробляються на платні номери. А по-друге, більшість користувачів неуважно читають ліцензійну угоду, погоджуючись з ним майже автоматично. У результаті вони не знають, який функціонал додатка (в даному випадку – дзвінки на платні номери).


Trojan-SMS: головна загроза


Якщо порівняти поведінку шкідливих програм останніх двох років з їх попередниками, то можна помітити, що в їх функціоналі явно переважає відправка SMS на дорогі преміум-номери без відома господарів телефонів. Якщо три роки тому така функція була тільки у двох сімейств шкідливих програм, то зараз нею можуть похвалитися вже 32 сімейства! Відправкою SMS займалися близько 35% всіх виявлених варіантів шкідливих програм для мобільних пристроїв. Це означає, що Trojan-SMS є лідируючим шкідливим поведінкою в сучасному мобільному світі. Причини такої ситуації були описані в аналітичному звіті про розвиток загроз в першому півріччі 2008 року.


Функціонал


Основна платформа існування Trojan-SMS – це Java 2 Micro Edition. SMS-троянці, написані для J2ME, небезпечні тим, що вони є кроссплатформенной програмами. Якщо в телефоні (саме в телефоні, не обов’язково в смартфоні) є вбудована Java-машина, то на такому пристрої Trojan-SMS.J2ME зможе функціонувати без всяких проблем.


Абсолютна більшість J2ME-троянців мають наступну структуру: jar-архів, в якому є декілька class-файлів, один з яких і здійснює відправлення платного SMS-повідомлення на короткий номер. Решта class-файли служать лише для маскування. Всередині архіву може бути кілька картинок (в більшості своїй – еротичного змісту), а також manifest-файл, який у деяких випадках також використовується шкідливою програмою для відправки повідомлень.


Відразу після запуску Trojan-SMS.J2ME здійснює спробу відправити SMS з певним текстом на короткий номер. Java-машина в цьому випадку видає користувачеві попередження про те, що програма намагається відправити SMS. Це може викликати підозри у людини, і він не дозволить відправку повідомлення. Деякі Вірусописьменники, зрозумівши це, почали більш ретельно маскувати шкідливі дії своїх творінь, іноді досить оригінальними способами.


Так, після запуску користувачем Trojan-SMS.J2ME.Swapi.g на дисплеї телефону з’являється вітання з пропозицією подивитися картинку порнографічного змісту. Для цього потрібно встигнути натиснути на кнопку “ТАК”, поки звучить короткий музичний сигнал. (В jar-архіві програми зберігається і png-файл з картинкою, і midi-мелодія.) Намагаючись встигнути натиснути кнопку вчасно, користувач не здогадується, що кожне натискання (неважливо, вчасно чи ні) призводить до відправки SMS-повідомлення на короткий номер і до списання певної суми з його рахунку.


Ось текст з одного із сайтів, де зловмисники пропонують свої послуги зі створення подібних шкідливих програм – зрозуміло, за гроші: “Дуже прибуткова програмка, у вигляді фотоальбому. При запуску з’являється красива картинка, потім вона зникає, і з’являється текст “Для продовження перегляду Вам повинно бути 18 років. Вам є 18 років?”. Якщо користувач натисне “Так”, то він відішле SMS на короткий номер … “.


Програми сімейства Trojan-SMS.Python.Flocker, написані для іншої платформи (Python), за структурою та завданням практично нічим не відрізняються від J2ME-троянців. У sis-архіві є основною скрипт, написаний на мові Python, який здійснює відправлення SMS на короткий преміум-номер, а також додаткові файли, службовці для маскування основної діяльності шкідливої ​​програми.


Між різними модифікаціями Flocker “а не виявлялося практично ніяких відмінностей (в основному вони відрізнялися лише коротким номером, на який відправлялися SMS-повідомлення). Така ідентичність говорила про те, що вихідні тексти скрипта, який використовується в даному сімействі шкідливих програм, можливо, лежать в загальному доступі. Ця гіпотеза підтвердилася. На одному з форумів в загальний доступ був викладений текст скрипта на мові Python, фрагменти якого були ідентичні скриптам з шкідливих програм, уже відомих нам. Цікавий також той факт, що той скрипт, який можна було скачати, здатний заражати інші скрипти, що зберігаються на телефоні і написані на мові Python.


Поширення


У Росії використання різноманітних Trojan-SMS було поставлено вірусопісателямі на потік. Найпопулярніший (з числа небагатьох) спосіб поширення таких шкідливих програм – через WAP-портали, на яких відвідувачеві пропонують завантажити різні мелодії, картинки, ігри та програми для мобільного телефону. Абсолютна більшість троянських програм маскується або під додатки, які можуть відправляти безкоштовні SMS або надавати можливість використання безкоштовного мобільного інтернету, або під додатка еротичного або порнографічного характеру.


Виникає питання: чому саме WAP-сайти? А тому, що Росія входить в четвірку країн-лідерів, де найбільш активно користуються послугами мобільного інтернету. І багато користувачів відвідують WAP-обмінники для завантаження на телефон різного мобільного контенту.


Більшість сайтів, на яких розміщувалися шкідливі програми, надають користувачам можливість викладати свої файли. Простота реєстрації або її відсутність і в більшості випадків безкоштовний доступ до подібних ресурсів дозволяють зловмисникам поширювати свої примітивні вироби без всяких перешкод. Вірусописьменники потрібно лише дати файлу як можна більш помітне для потенційних жертв ім’я (free_gprs, sms_besplatno, super_porno і так далі), написати привабливий коментар і чекати, поки хто-небудь з відвідувачів вирішить “безкоштовно відправити SMS” або “подивитися еротичні картинки”.


Після розміщення шкідливого софту зловмиснику потрібно створити йому хорошу рекламу. Тут на допомогу приходять масові розсилки в ICQ або спам на різних форумах. Чому саме ICQ? Нагадаємо, що цей сервіс миттєвого обміну повідомленнями популярний в Росії і країнах СНД. Багато користувачів, які хочуть мати постійну можливість спілкування, використовують мобільні клієнти ICQ. Для зловмисника такі люди – потенційні жертви.


Фінансова схема


Саме SMS стали практично єдиним (поки) способом нелегальної наживи для мобільних вірусотворців. Ще в середині 2007 року, розслідуючи інцидент з появою першого SMS-троянця для Symbian – Viver, ми детально досліджували пов’язану з ним фінансову схему. У загальних рисах вона залишається актуальною до цього часу і використовується всіма Trojan-SMS.


Для того щоб отримати нелегальний дохід, зловмисникові необхідно взяти в оренду префікс на тому чи іншому короткому номері. Багато Вірусописьменники замість того, щоб самостійно орендувати префікс на короткому номері, беруть участь у так званих партнерських програмах. Реєструючись в партнерській мережі, зловмисник отримує в своє користування не весь префікс цілком, а поєднання “префікс + ID партнера “.


У цьому випадку гроші, які зникли з рахунків господарів заражених мобільних пристроїв, діляться між учасниками партнерської програми.


SMS-шахрайство


Мобільні шкідливі програми – не єдине джерело загроз для телефонів. До нещастя, SMS-шахрайство стає все більш популярним серед кібепреступніков. Причому загроза вже давно набула міжнародного характер.


Так, у 2007 році було опубліковано повідомлення департаменту телекомунікацій Індії, в якому говорилося про стурбованість розвитком SMS-фішингу в країні і розгляді питання про заборону для операторів обробки SMS-повідомлень, відправлених за кордону через веб-шлюзи. В шахрайських повідомленнях, що поширювалися в Індії, говорилося про необхідність передзвонити на певний номер і “підтвердити” деякі необхідні деталі транзакцій. При дзвінку користувач потрапляв на автовідповідач, запитувач реквізити та іншу конфіденційну інформацію. Природно, автовідповідач належав шахраям.


Подібні схеми популярні не тільки в Індії, але і в багатьох інших країнах.


Варто відзначити важливий факт: оператори стільникового зв’язку приділяють увагу даній проблемі. Вони досить активно інформують користувачів, публікуючи інформацію про подібних атаках, приклади фішингових повідомлень, а також поради про те, як треба чинити в разі їх отримання.


У Росії зловмисники використовують трохи інші схеми. Розглянемо їх більш докладно.


Варіант 1.


Зловмисник формує SMS-повідомлення приблизно такого змісту:

“Привіт. У мене проблеми, всього розповісти не можу. Поклади грошей на цей номер або на +79 xx-xxx-xx-xx, гроші поверну трохи пізніше”.

Відзначимо, що подібні повідомлення не мають ні звернення, ні підпису, і кожен одержувач може прийняти їх на свій рахунок.


Природно, при дзвінку на обидва номери користувач почує щось подібне до “Абонент тимчасово недоступний”. Після чого людина може подумати: “Може бути, і справді з кимось із моїх знайомих / друзів / родичів щось трапилося? “і перевести гроші на мобільний телефон зловмисника.


Варіант 2.


В іншій схемі використовуються платні SMS на короткі номери. Тексти шахрайських повідомлень носять досить різноманітний характер.
Наприклад:

“Привіт. Відправ SMS з текстом *** на номер 3649, отримаєш бонус 150 рублів на свій рахунок! SMS безкоштовне, я перевірив, у мене працює”. Або: “Здрастуйте! Ваш номер виграв! Для отримання призу відправте SMS з текстом *** на номер 1171. Вартість SMS: 3 рублі “.

Основні риси подібної атаки наступні:



  1. Зловмисники використовують найбільш дорогі короткі номери.

  2. Більшість повідомлень пропонують користувачам небудь моментальний “бонус” або “виграш”.

  3. Повідомлення не мають ні звернення, ні підпису.

Варто відзначити також той важливий факт, що подібні повідомлення розсилаються не тільки користувачам мобільних телефонів, але і користувачам ICQ, крім того, такі послання часто зустрічається і в звичайній електронною поштою, а також у повідомленнях, які розповсюджуються в соціальних мережах.


Уразливості


На самому початку 2009 року була виявлена ​​нова уразливість в смартфонах під управлінням наступних версій операційної системи Symbian:



  1. S60 2nd edition, Feature Pack 2;

  2. S60 2nd edition, Feature Pack 3;

  3. S60 3rd edition;

  4. S60 3rd edition, Feature Pack 1.

Що ж це за уразливість, і як вона експлуатується? Якщо на телефон під керуванням однієї з перерахованих вище операційних систем відправити сформоване спеціальним чином SMS-повідомлення, то атакується телефон перестане приймати вхідні SMS / MMS повідомлення, так само як і відсилати їх. Варто відзначити той факт, що таке шкідливе повідомлення не буде відображатися в списку входять. Жодних видимих ​​слідів експлойта теж немає. Саме тому він отримав назву “Curse of Silence” (“Прокляття тиші”).


Служба коротких повідомлень перестає функціонувати, але в іншому телефон продовжує працювати нормально, і пройде якийсь час, перш ніж користувач виявить, що щось не так з його смартфоном. На жаль, ні видалення попередніх вхідних і вихідних повідомлень, ні перезавантаження телефону не можуть вирішити проблему неможливості отримання / відправлення коротких повідомлень. Допоможе лише hard-reset смартфона.


Мобільні загрози in-the-wild


У попередніх частинах “Мобільної вірусології” ми наводили статистику по розповсюдженню Bluetooth-і MMS-черв’яків у різних країнах світу. Cabir і ComWar були найбільш поширеними мобільними погрозами, кожна з яких була виявлена ​​більш ніж у 30 країнах світу. Найбільш гучним інцидентом стало зараження одним з варіантів Comwar більше 115 тисяч користувачів в Іспанії навесні 2007 року.


Однак підвищена увага мобільних операторів до появились черв’якам і впровадження засобів антивірусної перевірки MMS-трафіку, дозволили зупинити поширення цих черв’яків. Іншими причинами зникнення локальних епідемій стала поява і поширення антивірусних продуктів для телефонів, включаючи їх допродажное предустановку, нові засоби захисту, реалізовані в операційних системах (запуск тільки підписаних додатків) і поступове зникнення моделей телефонів, на яких Cabir і ComWar могли функціонувати.


Втім, за останні три роки з’явився як мінімум ще один мобільний хробак, який зміг поширитися в ряді країн Європи.


Worm.SymbOS.Beselo


В кінці грудня 2007 року в антивірусні бази потрапив черговий клон ComWar – варіант. Y. Його поява в січні 2008 в мобільному трафіку одного з великих європейських мобільних операторів змусило більш детально поглянути на новий зразок.


Аналіз, проведений фінською компанією F-Secure, показав, що насправді це зовсім нове сімейство, яке не має спільних коренів із створеним три роки тому в Росії ComWar.


Принцип дії червя, класифікованого як Worm.SymbOS.Beselo.a (трохи пізніше був виявлений ще один варіант – Beselo.b), дуже схожий з ComWar і є класичним для черв’яків такого типу. Поширення відбувається через розсилку інфікованих SIS-файлів по MMS і через Bluetooth. Після запуску на атакуемом пристрої хробак починає розсилати себе по адресній книзі смартфона, а також на всі доступні пристрої в радіусі дії Bluetooth.


На щастя, поширення Beselo вдалося досить швидко зупинити, і з тих пір мобільні черв’яки в Європі в “дикій природі” виявлені не були.


Але тут до справи підключилася Азія, на чолі з батьківщиною більшості сучасних комп’ютерних вірусів – Китаєм.


Worm.WinCE.InfoJack


На початку того ж 2008 року стали надходити повідомлення про зараження користувачів невідомою програмою, функционировавшей на Windows Mobile. Цією програмою виявився троянець InfoJack.a, про який ми вже згадували вище.


Поширення шкідливої ​​програми відбувалося з одного з китайських сайтів, яка розміщує різний софт (легальний). Троянець був доданий до складу дистрибутивів мобільних продуктів, таких як клієнт для Google Maps та ігри. Власник сайту, з якого відбувалося розповсюдження троянця, заявив, що він не переслідував ніяких кримінальних цілей, а виробляв збір інформації про своїх відвідувачів лише з метою покращення сервісу та аналізу ринку мобільних додатків.


Через кілька днів діяльність сайту була припинена, ймовірно, в ході розслідування, проведеного китайською поліцією.


До цих пір основною мішенню китайських хакерів були користувачі, які грають на персональних комп’ютерах в онлайн-ігри. Однак випадок з InfoJack показав, що в Китаї існує можливість для організації масових епідемій і мобільних вірусів.


Китай став першою країною, що постраждала від Windows Mobile троянця. Можливо, автор InfoJack дійсно не переслідував кримінальних цілей, але початок був покладений …


Worm.SymbOS.Yxe


Через рік, у січні 2009, ми знайшли нову шкідливу програму для мобільних телефонів, що працюють під управлінням ОС Symbian. Здавалося б, що тут може бути нового чи цікавого? Однак цей черв’як виявився вельми примітним.


Worm.SymbOS.Yxe став першим новим сімейством Symbian-хробаків за довгий час. Його відмінністю від попередників був спосіб розповсюдження. Не через Bluetooth, не через MMS, а за допомогою SMS-повідомлень!


Worm.SymbOS.Yxe посилав SMS-повідомлення (вельми фривольного змісту) з посиланням на себе http://www ***** .com / game по всьому контакт-листу зараженого телефону. За посиланням знаходився звичайний Symbian-інсталятор з двома файлами всередині: виконуваним exe-файлом і допоміжним rsc-файлом. Якщо користувач погоджувався з встановленням програми, то через деякий час хробак починав розсилку SMS-повідомлень користувачам з контакт-листа зараженого телефону, генеруючи таким чином шкідливий SMS-трафік.


Судячи з усього, саме черв’як Worm.SymbOS.Yxe став причиною безлічі публікацій в електронних китайських ЗМІ, а також численних обговорень на китайських форумах, скарг на незрозумілі SMS-повідомлення і т. д. У публікаціях йшлося про SMS-повідомленнях порнографічного змісту з незрозумілою посиланням всередині, несанкціонованої розсилки коротких повідомлень по контакт-листу і втрати грошей на мобільному рахунку в результаті відправки таких SMS-повідомлень ..


Але цьому черв’якові вдалося відзначитися ще одним способом. Він створений для смартфонів під управлінням ОС Symbian S60 3rd edition і підписаний легальним сертифікатом. Це означає, що хробак без проблем зможе встановитися практично на будь-який смартфон з ОС Symbian S60 3rd edition.


Відомості про сертифікат:


Цікавий той факт, що, судячи з підпису, сертифікат був виданий на 10 років. Вдалося з’ясувати, що шкідливий додаток пройшло процедуру автоматичної підпису.


Trojan-SMS.Python.Flocker


Січня 2009 року був дуже багатий на події у сегменті мобільного шкідливого ПЗ. Крім згаданого вище хробака Yxe, експлойта Curse of Silence для смартфонів під управлінням ОС Symbian, ми виявили кілька нових версій Trojan-SMS.Python.Flocker (ab-af).


Одна з модифікацій Trojan-SMS.Python.Flocker


Що ж особливого в шести нових модифікаціях цього сімейства? До моменту їхньої появи всі зареєстровані нами шкідливі програми з поведінкою Trojan-SMS були створені на пострадянській території, а короткі повідомлення відправлялися на номери, які належать російським стільниковим операторам.


Всі нові модифікації Flocker “а відправляли SMS на короткий номер 151, який не зареєстрований в Росії. Більш того, нам не зустрічалися до цього тризначні короткі номери. Текст повідомлення теж мав свої особливості: TP <12 цифр> <4 або 5 цифр>.


Що ж ми маємо? Кілька шкідливих програм, які відправляють SMS-повідомлення на один і той же короткий номер з досить схожими текстами. Виникає старе питання: де гроші?


Задовго до виявлення нових версій Flocker “а був опублікований прес-реліз одного з індонезійських мобільних операторів, в якому говорилося, що у власників певних сім-карт є можливість перекладу грошей зі свого мобільного рахунку (балансу) на рахунок свого родича / друга / знайомого з такою ж сім-картою. Для цього необхідно відправити повідомлення на короткий номер 151 з наступним текстом: TP <телефонний номер абонента> <сума переказу в рупіях.


Цією можливістю скористалися шахраї, і троянець, який мав російське походження, був кимось модифікований під роботу з індонезійськими мобільними операторами і поширений серед користувачів в Індонезії.


Всі вищеперелічені випадки свідчать про те, що мобільні загрози продовжують поширюватися по світу, проте з істотною зміною тенденції: замість глобальних епідемій черв’яків ми спостерігаємо локальні спалаху заражень, орієнтовані на жителів однієї конкретної країни або одного регіону. Це повністю відповідає поточній ситуації з комп’ютерними вірусами.


Регіонами, для яких проблема мобільних вірусів є найбільш актуальною, є Росія, Китай, Індонезія і країни Західної Європи.


Висновок


Популярність смартфонів, все більш активне їх використання в робочих цілях, для доступу до інтернету, для доступу до банківського рахунку, для оплати товарів і послуг – все це призведе до зростання числа шахраїв, які хотіли б незаконно нажитися на цьому.


Сучасні шкідливі програми можуть робити безліч речей: зберігати і надсилати вміст телефонної книги та інші дані, повністю блокувати апарат, надавати віддалений доступ зловмисникам, відправляти SMSі MMS і т.п. На підприємствах смартфони в робочих цілях використовують ті, хто працює віддалено, хто їздить у відрядження. Навіть просто виведений з ладу телефон (внаслідок атаки шкідливого ПО) – вже серйозна проблема. А в тих випадках, коли зловмисник дістав доступ до корпоративної мережі (або електронною поштою), виникає пролом в безпеці мережі підприємства.


Що стосується iPhone (4% світового ринку мобільних телефонів і 20% американського) і Android – для цих платформ потенційна можливість шкідливої ​​атаки дуже різна. Для iPhone зараження найймовірніше тільки в тому випадку, коли користувач зламав свій пристрій і встановлює на нього додатки з неофіційних джерел. Android (ймовірно) не буде мати такої жорсткої прив’язки до офіційних джерел файлів, і користувачі “легальних” телефонів зможуть ставити на свої пристрої все що завгодно.


У будь-якому випадку говорити зараз про те

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*