Мобильные вирусы: детальный анализ Лаборатории Касперского

Не так давно мы публиковали подробный "разбор полетов", посвященный теме мобильных вирусов. В отличие от аналитиков лаборатории Касперского, представители других антивирусных компаний отнеслись к этому вопросу с изрядной долей скептицизма. Было даже высказано мнение, что тема вирусов для мобильных устройств поднимается исключительно из стремления заранее "застолбить" новый привлекательный рынок для антивирусных продуктов.

Действительно, мобильных телефонов в обращении на порядок больше, чем компьютеров, и процентное отношение смартфонов постоянно растет. Антивирусный продукт для смартфона не обязательно должен быть дорогим, искомая прибыль может быть получена за счет массовых продаж. Разумеется, при условии наличия спроса на подобные средства защиты. Аналитик "Лаборатории Касперского" Александр Гостев не сомневается в том, что защищаться уже есть от чего. С удовольствием публикуем часть отчета за III квартал, посвященную вирусам для мобильных устройств. С полным текстом отчета можно ознакомиться на сайте Лаборатории Касперского.

Проблема мобильных вирусов всегда была и остается одной из наиболее интересных как для "Лаборатории Касперского", так и для меня лично.  Читатели, которые следят за нашими публикациями, обратили внимание, что в последнее время по этой теме нами было выпущено несколько материалов. Это и раздел о мобильных вирусах в нашем полугодовом отчете, и статья "Введение в мобильную вирусологию" в двух частях. В этих материалах были полностью раскрыты и рассмотрены все существующие виды и классы мобильных вредоносных программ. Вне поля зрения осталась только часть событий третьего квартала 2006 года, и именно о них и пойдет речь ниже.  Мобильных вирусов, заслуживающих отдельного внимания и выделяющихся из общей массы примитивных skuller-подобных троянцев, было обнаружено три штуки. Рассмотрим их в порядке появления.

Comwar v3.0: возможность заражения файлов

В августе в руки антивирусных компаний попал очередной образец самого распространенного MMS-червя Comwar. При его детальном анализе выяснилось, что червь содержит в себе следующие текстовые строки:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright © 2005-2006 by e10d0r CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Отличие от предыдущих вариантов заключалось не только в номере версии – "3.0", но и в очередной технологической новинке, примененной русским автором Comwar. В этом варианте он впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них.  Таким образом, он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.

В Comwar реализованы практически все возможные на сегодняшний день пути проникновения и распространения для мобильных вирусов. Все, кроме одного. И этот путь был показан в конце августа другим червем – Mobler.a.

Mobler.a: под ударом опять компьютер?

Этот червь стал первым кроссплатформенным зловредом, способным функционировать на операционных системах Symbian и Windows. А функция распространения заключается в копировании себя с компьютера на телефон и обратно.

Будучи запущенным на персональном компьютере, он создает на диске E:\ (как правило, именно как диск E:\ монтируются подключаемые к компьютеру мобильные устройства) свой sis-файл. Этот файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится Win32-компонента червя, который копируется на съемную карту памяти телефона и дополняется файлом autorun.inf. Если такой зараженный телефон подключить к компьютеру и попытаться с этого компьютера обратиться к съемной карте памяти телефона, произойдет автозапуск червя и заражение компьютера.

Пока это всего лишь концептуальная разработка неизвестного автора, но в теории подобный способ распространения мобильных вирусов может стать одним из наиболее используемых. Возможно даже, что он окажет гораздо большее влияние на мобильную вирусологию, чем возможность распространения через MMS, так как под ударом может оказаться не только телефон, но и компьютер со столь вожделенными для злоумышленника данными. Скорее всего, стоит рассматривать Mobler.a не как новый способ проникновения в телефон, а именно как очередной вектор атаки на персональные компьютеры пользователей.

Acallno – sms-шпион

Мир мобильных вирусов, по большому счету, находится сейчас в состоянии застоя. Практически все возможные технологии, виды и классы вредоносных программ для Symbian-смартфонов уже реализованы. От действительно массового распространения подобных вирусов нас спасает пока еще низкая (по сравнению с компьютерами) распространенность смартфонов и отсутствие явной "коммерческой" выгоды от заражения телефона. Информация, которую содержит телефон, – не слишком интересный объект для мошенников: адресная книга, список совершенных звонков, тексты и "адреса" принятых\отправленных SMS. Но именно на сбор информации об SMS и нацелен еще один интересный представитель мобильного мира – троянец Acallno.  Это коммерческая разработка некоей фирмы, которая предназначена для шпионажа за пользователем конкретного телефона. Acallno настраивается на конкретный телефон по его IMEI-коду (International Mobile Equipment Identity) и не будет работать на другом телефоне при простом копировании его файлов.  Он скрывает свое присутствие в системе, и это, вкупе с функцией шпионажа, заставляет нас относиться к нему как к вредоносной программе. Троянец (мы классифицируем его именно так, хоть он и продается вполне легально) дублирует все принятые и отправленные SMS с телефона, на который он загружен, на специально настроенный номер.

Wesber: кража денег с мобильного счета

Кроме того, что можно красть тексты и "адреса" SMS, при помощи SMS можно красть и реальные деньги – с мобильного счета абонента. И эта возможность в полной мере реализована в очередном J2ME-троянце Wesber. Обнаруженный в самом начале сентября специалистами нашей компании, Wesber является вторым известным нам троянским приложением, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах благодаря тому, что он написан для платформы Java (J2ME).

Как и его предшественник, троянец RedBrowser, Wesber.a занимается тем, что отсылает на платный premium-номер несколько SMS. За каждую из них с мобильного счета абонента списывается сумма в 2.99 доллара США. До недавнего времени процедура функционирования подобных premium-номеров у российских мобильных операторов была крайне проста, и выйти на след злоумышленника, если бы подобные троянцы стали массовыми, было бы довольно проблематично. В настоящее время мобильные операторы, обеспокоенные ростом числа случаев SMS-мошенничества, стали принимать меры противодействия, в частности, ужесточать правила регистрации подобных premium-номеров.  На этом рассказ о мобильных вирусах третьего квартала 2006 года можно было бы и закончить, но есть еще одна тема. Она напрямую не связана с мобильными телефонами, однако, несомненно, относится к проблеме безопасности беспроводных устройств и сетей.

WiFi-черви – почти реальность

В августе компания Intel объявила о наличии серьезной уязвимости в процессорах Intel Centrino, а именно в части функций работы с беспроводными сетями Wi-Fi. Подробности уязвимости, естественно, детально не афишировались, однако было известно, что речь идет об "Execute arbitrary code on the target system with kernel-level privileges".  Моментально было выпущено соответствующее исправление для проблемных ноутбуков, но нас в этой истории интересует то, что раньше могло казаться только теоретическими рассуждениями, а сейчас едва не стало реальностью.  Я говорю о WiFi-червях.

Сценариев работы такого червя может быть несколько, и всем им лучше оставаться неозвученными, чтобы не подтолкнуть вирусописателей к реализации какого-нибудь из них. Однако в данном случае все достаточно очевидно. При наличии подобной уязвимости в Intel Centrino существует определенная вероятность появления червя, который будет перебираться с ноутбука на ноутбук в радиусе действия его WiFi-адаптера. Принцип работы весьма прост – достаточно вспомнить классических сетевых червей Lovesan, Sasser или Slammer. Червь обнаруживает уязвимый ноутбук и посылает на него специальный пакет-эксплоит уязвимости. В результате атакованный компьютер предоставит червю возможность для передачи на него своего тела и выполнения очередного цикла заражения-распространения. Единственную сложность может представлять только поиск жертвы для атаки, поскольку перебор по MAC-адресу представляется весьма нетривиальной задачей, а вариант с выбором по IP-адресу здесь не пройдет. Впрочем, своих "соседей" по точке доступа червь может атаковать именно по IP-адресам. И не стоит забывать о том, что множество ноутбуков имеют включенный по умолчанию режим поиска WiFi-точек.

Подчеркиваю, что это только один из возможных сценариев работы WiFi-червей. Наличие уязвимостей в беспроводных адаптерах пока еще редкость, но кто знает, что нас ждет в будущем? Недавно в саму возможность существования вирусов для мобильных телефонов многие не верили…

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано — 28 ноября 2006 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

19.11.2018 Samsung признал проблемы в мобильном подразделении

19.11.2018 Google снабдит поисковую выдачу комментариями пользователей

19.11.2018 Яндекс презентовал новые продукты

Hit

19.11.2018 Видео на канале: ОБЗОР | BQ Twin Pro - 4 ГБ ОЗУ за 10к

19.11.2018 Huawei предлагает ремонт смартфонов с доставкой

19.11.2018 Смартфон OPPO A7 представлен официально

19.11.2018 Фото и предполагаемые характеристики новых смартфонов Moto G7 и Moto G7 Plus

19.11.2018 У Google на подходе облегчённая версия Pixel 3 на Snapdragon 670

16.11.2018 Корейский LG Q9 он же LG G7 Fit для мирового рынка?

16.11.2018 Apple займется разработкой модемов самостоятельно

Hit

16.11.2018 Видео на канале: ВПЕЧАТЛЕНИЯ | Xiaomi Mi 8 Pro с прозрачной крышкой!

16.11.2018 ZTE представит первый коммерческий 5G-смартфон в первой половине 2019 года

16.11.2018 Следующая выставка E3 2019 пройдёт без участия Sony

16.11.2018 PayPal: 26% онлайн-покупателей из России готовы к шопингу с мобильных устройств

16.11.2018 В России стартуют продажи Samsung Galaxy A9 (2018)

16.11.2018 HMD Global собирается представить в начале декабря новую модель смартфона Nokia

15.11.2018 Snapdragon 8150 превзошел на AnTuTu Apple A12 Bionic и Kirin 980

15.11.2018 Tele2 бесплатно предлагает владельцам новых iPhone год безлимитного интернета

15.11.2018 Samsung представила Galaxy S9 в новой градиентной раскраске «Polaris Blue»

15.11.2018 Названа дата анонса Oppo A7

15.11.2018 Samsung Galaxy Note FE вероятно получит Android Pie с интерфейсом One UI

15.11.2018 «Коммерсантъ»: Перед хакерами бессильны все модели банкоматов

15.11.2018 Sharp выпустила смартфон AQUOS R2 compact с двумя вырезами в экране

15.11.2018 Радиохолдинги решили создать единый плеер для вещания в Интернете

14.11.2018 Samsung внедрит адаптивное хранилище, но только вместе с Android Pie

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.