Мобільні віруси: детальний аналіз Лабораторії Касперського

Не так давно ми публікували докладний "розбір польотів", присвячений темі мобільних вірусів. На відміну від аналітиків лабораторії Касперського, представники інших антивірусних компаній поставилися до цього питання з неабиякою часткою скептицизму. Було навіть висловлено думку, що тема вірусів для мобільних пристроїв піднімається виключно з прагнення заздалегідь "застовпити" новий привабливий ринок для антивірусних продуктів.

Дійсно, мобільних телефонів в обігу на порядок більше, ніж комп'ютерів, і процентне відношення смартфонів постійно зростає. Антивірусний продукт для смартфона не обов'язково повинен бути дорогим, шукана прибуток може бути отримана за рахунок масового продажу. Зрозуміло, за умови наявності попиту на подібні засоби захисту. Аналітик "Лабораторії Касперського" Олександр Гостєв не сумнівається в тому, що захищатися вже є від чого. Із задоволенням публікуємо частина звіту за III квартал, присвячену вірусам для мобільних пристроїв. З повним текстом звіту можна ознайомитися на сайті Лабораторії Касперського .

Проблема мобільних вірусів завжди була і залишається однією з найбільш цікавих як для "Лабораторії Касперського", так і для мене особисто. Читачі, які стежать за нашими публікаціями, звернули увагу, що останнім часом з цієї теми нами було випущено кілька матеріалів. Це і розділ про мобільні віруси в нашому піврічному звіті, і стаття "Введення в мобільну вірусологію" у двох частинах. У цих матеріалах були повністю розкриті і розглянуті всі існуючі види і класи мобільних шкідливих програм. Поза полем зору залишилася тільки частина подій третього кварталу 2006 року, і саме про них і піде мова нижче. Мобільних вірусів, які заслуговують на окрему увагу і виділяються із загальної маси примітивних skuller-подібних троянців, було виявлено три штуки. Розглянемо їх у порядку появи.

Comwar v3.0: можливість зараження файлів

У серпні в руки антивірусних компаній потрапив черговий зразок найпоширенішого MMS-хробака Comwar. При його детальному аналізі з'ясувалося, що черв'як містить в собі такі текстові рядки:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright © 2005-2006 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Відмінність від попередніх варіантів полягала не тільки в номері версії - "3.0", а й у черговий технологічної новинки, застосованої російським автором Comwar. У цьому варіанті він вперше застосував можливість зараження файлів. Хробак шукає на телефоні інші sis-файли і дописує себе в них. Таким чином, він отримує ще один спосіб поширення, крім традиційних MMS і Bluetooth.

У Comwar реалізовані практично всі можливі на сьогоднішній день шляху проникнення і розповсюдження для мобільних вірусів. Всі, крім одного. І цей шлях був показаний в кінці серпня іншим хробаком - Mobler.a.

Mobler.a: під ударом знову комп'ютер?

Цей черв'як став першим кросплатформним зловредів, здатним функціонувати на операційних системах Symbian і Windows. А функція розповсюдження полягає в копіюванні себе з комп'ютера на телефон і назад.

Будучи запущеним на персональному комп'ютері, він створює на диску E: \ (як правило, саме як диск E: \ монтуються підключаються до комп'ютера мобільні пристрої) свій sis-файл. Цей файл містить в собі декілька файлів-пустушок і перезаписує ними ряд системних програм телефону. Також у файлі міститься Win32-компонента хробака, який копіюється на знімну карту пам'яті телефону і доповнюється файлом autorun.inf. Якщо такий заражений телефон підключити до комп'ютера і спробувати з цього комп'ютера звернутися до знімній карті пам'яті телефону, відбудеться автозапуск хробака і зараження комп'ютера.

Поки це всього лише концептуальна розробка невідомого автора, але в теорії подібний спосіб розповсюдження мобільних вірусів може стати одним з найбільш використовуваних. Можливо навіть, що він надасть набагато більший вплив на мобільний вірусологію, ніж можливість розповсюдження через MMS, так як під ударом може опинитися не тільки телефон, але і комп'ютер з настільки жаданими для зловмисника даними. Швидше за все, варто розглядати Mobler.a не як новий спосіб проникнення в телефон, а саме як черговий вектор атаки на персональні комп'ютери користувачів.

Acallno - sms-шпигун

Світ мобільних вірусів, за великим рахунком, перебуває зараз у стані застою. Практично всі можливі технології, види і класи шкідливих програм для Symbian-смартфонів уже реалізовані. Від справді масового розповсюдження подібних вірусів нас рятує поки що низька (у порівнянні з комп'ютерами) поширеність смартфонів і відсутність явної "комерційної" вигоди від зараження телефону. Інформація, яку містить телефон, - не надто цікавий об'єкт для шахраїв: адресна книга, список скоєних дзвінків, тексти та "адреси" прийнятих \ відправлених SMS. Але саме на збір інформації про SMS і націлений ще один цікавий представник мобільного світу - троянець Acallno. Це комерційна розробка якоїсь фірми, яка призначена для шпигунства за користувачем конкретного телефону. Acallno налаштовується на конкретний телефон за його IMEI-коду (International Mobile Equipment Identity) і не буде працювати на іншому телефоні при простому копіюванні його файлів. Він приховує свою присутність в системі, і це, укупі з функцією шпигунства, змушує нас ставитися до нього як до шкідливої програми. Троянець (ми класифікуємо його саме так, хоч він і продається цілком легально) дублює всі прийняті і відправлені SMS з телефону, на який він завантажений, на спеціально налаштований номер.

Wesber: крадіжка грошей з мобільного рахунку

Крім того, що можна красти тексти і "адреси" SMS, за допомогою SMS можна красти і реальні гроші - з мобільного рахунку абонента. І ця можливість повною мірою реалізована в черговому J2ME-троянця Wesber. Виявлений в самому початку вересня фахівцями нашої компанії, Wesber є другим відомим нам троянським додатком, здатним функціонувати не тільки на смартфонах, але і практично на будь-яких сучасних мобільних телефонах завдяки тому, що він написаний для платформи Java (J2ME).

Як і його попередник, троянець RedBrowser, Wesber.a займається тим, що відсилає на платний premium-номер кілька SMS. За кожну з них з мобільного рахунку абонента списується сума в 2.99 долара США. До недавнього часу процедура функціонування подібних premium-номерів у російських мобільних операторів була вкрай проста, і вийти на слід зловмисника, якби подібні троянці стали масовими, було б досить проблематично. В даний час мобільні оператори, стурбовані зростанням числа випадків SMS-шахрайства, стали вживати заходів протидії, зокрема, посилювати правила реєстрації подібних premium-номерів . На цьому розповідь про мобільні віруси третього кварталу 2006 року можна було б і закінчити, але є ще одна тема. Вона безпосередньо не пов'язана з мобільними телефонами, однак, безсумнівно, відноситься до проблеми безпеки бездротових пристроїв і мереж.

WiFi-черв'яки - майже реальність

У серпні компанія Intel оголосила про наявність серйозної вразливості в процесорах Intel Centrino, а саме в частині функцій роботи з бездротовими мережами Wi-Fi. Подробиці уразливості, природно, детально не афішувалися, проте було відомо, що мова йде про "Execute arbitrary code on the target system with kernel-level privileges". Моментально було випущено відповідне виправлення для проблемних ноутбуків, але нас у цій історії цікавить те, що раніше могло здаватися тільки теоретичними міркуваннями, а зараз ледь не стало реальністю. Я говорю про WiFi-хробаків.

Сценаріїв роботи такого черв'яка може бути декілька, і всім їм краще залишатися неозвученими, щоб не підштовхнути вірусотворців до реалізації якого-небудь з них. Проте в даному випадку все досить очевидно. При наявності подібної уразливості в Intel Centrino існує певна ймовірність появи черв'яка, який буде перебиратися з ноутбука на ноутбук в радіусі дії його WiFi-адаптера. Принцип роботи досить простий - досить згадати класичних мережевих черв'яків Lovesan, Sasser або Slammer. Черв'як виявляє уразливий ноутбук і посилає на нього спеціальний пакет-експлоїт уразливості. У результаті атакований комп'ютер надасть черв'якові можливість для передачі на нього свого тіла і виконання чергового циклу зараження-розповсюдження. Єдину складність може представляти тільки пошук жертви для атаки, оскільки перебір по MAC-адресу представляється вельми нетривіальним завданням, а варіант з вибором по IP-адресою тут не пройде. Втім, своїх "сусідів" по точці доступу черв'як може атакувати саме по IP-адресами. І не варто забувати про те, що безліч ноутбуків мають включений за умовчанням режим пошуку WiFi-точок.

Підкреслюю, що це тільки один з можливих сценаріїв роботи WiFi-хробаків. Наявність вразливостей в бездротових адаптерах поки ще рідкість, але хто знає, що нас чекає в майбутньому? Нещодавно в саму можливість існування вірусів для мобільних телефонів багато хто не вірив ...

Сергій Потресов ( sergey.potresov @ ua-mobile.com )
Опубліковано - 28 листопада 2006

Є, що додати?! Пишіть ... eldar@ua-mobile.com

Новини: