Опасная мобильность

Тема мобильных вирусов не относится к захватывающе-увлекательным. Однако писать об этом приходится и читать настоятельно рекомендуется. Если, конечно, вы не собираетесь подкармливать «чужого дядю» с баланса своего лицевого счета.

Всего пару лет назад само понятие «мобильные вирусы» почти никем всерьез не воспринималось. Да, существовали отдельные поделки, которые условно можно было считать вирусами, но распространенность их была ничтожна, и выглядело все это как сравнительно безобидные изыски развлекающихся программистов. Даже бытовало мнение, что мобильные угрозы придумали разработчики антивирусных решений для продвижения своей продукции. Первым опытам в области написания «мобильных зловредов» недоставало главного драйвера: финансовой заинтересованности разработчиков. Сейчас вся эта мобильная нечисть прекрасно научилась «зарабатывать» деньги для своих создателей через все тот же мобильный контент. Который уже давно стал основным средством и промежуточным звеном большинства криминальных операций в «мобильном пространстве».

От мобильного мошенничества страдают не только пользователи. Техническое несовершенство биллинговых систем позволяет мошенникам «выдаивать» по несколько тысяч рублей с каждой приобретаемой специально для этого SIM-карты. Половина этих денег оказывается прямым убытком оператора, до 30% - «бонусом» мошенников. Хотя фродовые потери пользователей несоизмеримо выше. Можно возмущаться почти бездеятельностью операторов и контент-провайдеров, но дело это бессмысленное, доходы намного превышают потери. Значит, уповать на «доброго дядю» нам с вами не приходится, остается только самим о себе позаботиться. А для этого нужно не только периодически включать интеллект, но и представлять себе, в какие моменты это следует делать.

Длинный и нудноватый документ под названием «Kaspersky Security Bulletin 2008. Развитие угроз в первом полугодии 2008 года» подготовлен «Лабораторией Касперского» и опубликован в начале сентября, исследование ориентировано скорее на профессионалов. Весьма рекомендуется к прочтению, но нас с вами больше интересует его «мобильная» главка, которую привожу ниже практически без изменений и сокращений. Это не реклама разработчиков антивирусных решений, перед нами материал из категории «это должен знать каждый». Читайте, проникайтесь цифрами статистики и примеряйте к себе описанные схемы распространения этой дряни. Ибо, как в очередной раз выясняется, попаданию в большинство неприятностей мы себе сами помогаем своими же «шаловливыми ручонками».

Сергей Голованов, Александр Гостев, Денис Масленников

«Мобильные» угрозы: начало коммерциализации

Первое полугодие 2008 года выдалось интересным с точки зрения мобильных угроз, а точнее, одного из их видов: троянских программ, скрытно отправляющих платные SMS на короткие премиум-номера.

В данном контексте стоит отметить:

  1. Рост числа вредоносных программ поведения Trojan-SMS.
  2. Кроссплатформенность мобильных троянцев: под угрозой находятся любые телефоны, поддерживающие Java-приложения или имеющие интерпретатор языка Python.
  3. Рост числа WAP-сайтов, на которых размещены такие троянские программы.
  4. Появление в ICQ спам-рассылок, рекламирующих WAP-сайты и вредоносные программы, размещенные на них.
  5. Разнообразные методы социальной инженерии, используемые при распространении и маскировке вредоносных программ.
  6. Фиксированное количество коротких номеров, которые используют мошенники.

Об этих и других тенденциях более подробно будет рассказано ниже.

Начнем с роста числа вредоносных программ поведения Trojan-SMS. За первое полугодие 2008 года таких программ было обнаружено больше, чем за все время их существования. Напомним, что первая вредоносная программа этого поведения была задетектирована нами 27 февраля 2006 года (Trojan-SMS.J2ME.RedBrowser.a).

На графике - число новых Trojan-SMS, обнаруженных аналитиками «Лаборатории Касперского» (по месяцам 2008 г.)

В целом за шесть месяцев 2008 года было обнаружено на 422% больше новых Trojan-SMS, чем во втором полугодии 2007 года. В настоящий момент насчитывается 9 семейств для платформы J2ME, 3 – для Symbian и 1 для Python. Что же представляют собой такие троянцы? Сами по себе данные вредоносные программы - достаточно примитивные поделки.

Если говорить о J2ME-троянцах, то абсолютное большинство их имеют следующую структуру: jar-архив, в котором есть несколько class-файлов. Один из этих файлов и осуществляет отправку платного SMS-сообщения на короткий номер (естественно, не спрашивая разрешения владельца телефона об отправке и не уведомляя его о стоимости такого сообщения). Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем – эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.

Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), практически ничем не отличаются от J2ME-троянцев: примитивность самой программы и ее задача остаются такими же. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные скрипты, служащие для маскировки основной деятельности вредоносной программы.

Trojan-SMS опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем. Что касается Trojan-SMS.Python, то здесь идет речь о кроссплатформенности в сегменте смартфонов на базе OS Symbian. Если в телефоне (с любой версией ОС) имеется интерпретатор Python’а, то Trojan-SMS.Python сможет функционировать на любой из таких моделей.

Самый популярный (из числа немногих) способ распространения таких вредоносных программ – через различные WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируются либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного Интернета, либо под приложения эротического или порнографического характера.

Иногда вирусописатели придумывают довольно оригинальные способы маскировки вредоносных действий программы. Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.

Практически все сайты, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации (буквально пара кликов) и бесплатный доступ к таким сервисам позволяют вирусописателям распространять свои примитивные поделки безо всяких проблем. Злоумышленнику остается лишь дать файлу как можно более привлекательное для потенциальных жертв имя (free_gprs_internet, otpravka_sms_besplatno, golaya_devushka и так далее), написать такой же завлекательный комментарий и ждать, когда кто-то из пользователей решит «бесплатно отправить смс» или «посмотреть эротические картинки».

После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди – потенциальные жертвы.

Таким образом, складывается интересная цепочка:

  • Создание вредоносной программы
  • Ее размещение на WAP-сайте с привлекательным названием и комментарием
  • Проведение спам-рассылки, которая может затронуть пользователей  мобильных клиентов ICQ.

Теперь нам остается рассмотреть лишь один вопрос, который касается коротких номеров, используемых мобильными троянцами. Среди всех вредоносных программ, которые были обнаружены «Лабораторией Касперского», наиболее популярными оказались три коротких номера: 1171, 1161, 3649. Причем эти номера используются не только злоумышленниками, но и различными легальными компаниями, предоставляющими разного рода услуги. Получатель платежа за SMS определяется префиксом, с которым сообщение отправлено. В различных Trojan-SMS эти префиксы меняются, но иногда встречаются и повторения.

Популярность такого вида киберпреступности обусловлена исключительной простотой SMS-платежей.

Известно, что сотовые операторы сдают короткие номера в аренду. Частному лицу арендовать такой номер слишком дорого. Но существуют контент-провайдеры, которые такие короткие номера сдают в субаренду, добавляя к ним определенный префикс. Таким образом один и тот же короткий номер, но с разными префиксами могут использовать несколько арендаторов.

Например, короткий номер 1171 принадлежит одному из таких провайдеров, но если на номер 1171 будет отправлено сообщение, начинающееся на «S1», то система провайдера переведет часть стоимости такой SMS на счет субарендатора «S1». Сотовый оператор забирает себе от 45% до 49% от стоимости отправленной на короткий номер SMS, около 10% получает арендующий этот номер провайдер. Остальные деньги отправляются субарендатору — в данном случае «мобильному» мошеннику.

Подведем итоги: первое полугодие 2008 года характеризуется первым в истории вредоносного ПО значимым ростом вредоносных программ для мобильных телефонов, которые отправляют платные SMS-сообщения на короткие премиум-номера без ведома владельцев телефонов. Очевидно, что все эти программы создавались с одной целью: обманным путем получить деньги пользователей. Простота создания и распространения таких приложений может привести к дальнейшему росту вредоносных программ поведения Trojan-SMS во втором полугодии 2008 года. Будем следить за развитием ситуации.

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано - 26 сентября 2008 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

16.11.2018 Корейский LG Q9 он же LG G7 Fit для мирового рынка?

16.11.2018 Apple займется разработкой модемов самостоятельно

Hit

16.11.2018 Видео на канале: ВПЕЧАТЛЕНИЯ | Xiaomi Mi 8 Pro с прозрачной крышкой!

16.11.2018 ZTE представит первый коммерческий 5G-смартфон в первой половине 2019 года

16.11.2018 Следующая выставка E3 2019 пройдёт без участия Sony

16.11.2018 PayPal: 26% онлайн-покупателей из России готовы к шопингу с мобильных устройств

16.11.2018 В России стартуют продажи Samsung Galaxy A9 (2018)

16.11.2018 HMD Global собирается представить в начале декабря новую модель смартфона Nokia

15.11.2018 Snapdragon 8150 превзошел на AnTuTu Apple A12 Bionic и Kirin 980

15.11.2018 Tele2 бесплатно предлагает владельцам новых iPhone год безлимитного интернета

15.11.2018 Samsung представила Galaxy S9 в новой градиентной раскраске «Polaris Blue»

15.11.2018 Названа дата анонса Oppo A7

15.11.2018 Samsung Galaxy Note FE вероятно получит Android Pie с интерфейсом One UI

15.11.2018 «Коммерсантъ»: Перед хакерами бессильны все модели банкоматов

15.11.2018 Sharp выпустила смартфон AQUOS R2 compact с двумя вырезами в экране

15.11.2018 Радиохолдинги решили создать единый плеер для вещания в Интернете

14.11.2018 Samsung внедрит адаптивное хранилище, но только вместе с Android Pie

14.11.2018 Будущий флагман Meizu получит чипсет Snapdragon 8150

14.11.2018 Рынок смартфонов Китая рухнул

14.11.2018 Huawei озвучила планы на 2019 год

14.11.2018 HMD Global представила новый бюджетный телефон Nokia 106

14.11.2018 Xiaomi Mi 8 Pro с прозрачной задней панелью из стекла выходит в России

14.11.2018 Ведомости: «Яндекс» покажет свой смартфон в понедельник

14.11.2018 ONYX BOOX Euclid – 9,7" букридер на базе новой аппаратной платформы

14.11.2018 Samsung анонсировала свой новый мобильный процессор для флагманских смартфонов – Exynos 9820

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.