podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Опасная мобильность

Тема мобильных вирусов не относится к захватывающе-увлекательным. Однако писать об этом приходится и читать настоятельно рекомендуется. Если, конечно, вы не собираетесь подкармливать «чужого дядю» с баланса своего лицевого счета.

Всего пару лет назад само понятие «мобильные вирусы» почти никем всерьез не воспринималось. Да, существовали отдельные поделки, которые условно можно было считать вирусами, но распространенность их была ничтожна, и выглядело все это как сравнительно безобидные изыски развлекающихся программистов. Даже бытовало мнение, что мобильные угрозы придумали разработчики антивирусных решений для продвижения своей продукции. Первым опытам в области написания «мобильных зловредов» недоставало главного драйвера: финансовой заинтересованности разработчиков. Сейчас вся эта мобильная нечисть прекрасно научилась «зарабатывать» деньги для своих создателей через все тот же мобильный контент. Который уже давно стал основным средством и промежуточным звеном большинства криминальных операций в «мобильном пространстве».

От мобильного мошенничества страдают не только пользователи. Техническое несовершенство биллинговых систем позволяет мошенникам «выдаивать» по несколько тысяч рублей с каждой приобретаемой специально для этого SIM-карты. Половина этих денег оказывается прямым убытком оператора, до 30% - «бонусом» мошенников. Хотя фродовые потери пользователей несоизмеримо выше. Можно возмущаться почти бездеятельностью операторов и контент-провайдеров, но дело это бессмысленное, доходы намного превышают потери. Значит, уповать на «доброго дядю» нам с вами не приходится, остается только самим о себе позаботиться. А для этого нужно не только периодически включать интеллект, но и представлять себе, в какие моменты это следует делать.

Длинный и нудноватый документ под названием «Kaspersky Security Bulletin 2008. Развитие угроз в первом полугодии 2008 года» подготовлен «Лабораторией Касперского» и опубликован в начале сентября, исследование ориентировано скорее на профессионалов. Весьма рекомендуется к прочтению, но нас с вами больше интересует его «мобильная» главка, которую привожу ниже практически без изменений и сокращений. Это не реклама разработчиков антивирусных решений, перед нами материал из категории «это должен знать каждый». Читайте, проникайтесь цифрами статистики и примеряйте к себе описанные схемы распространения этой дряни. Ибо, как в очередной раз выясняется, попаданию в большинство неприятностей мы себе сами помогаем своими же «шаловливыми ручонками».

Сергей Голованов, Александр Гостев, Денис Масленников

«Мобильные» угрозы: начало коммерциализации

Первое полугодие 2008 года выдалось интересным с точки зрения мобильных угроз, а точнее, одного из их видов: троянских программ, скрытно отправляющих платные SMS на короткие премиум-номера.

В данном контексте стоит отметить:

  1. Рост числа вредоносных программ поведения Trojan-SMS.
  2. Кроссплатформенность мобильных троянцев: под угрозой находятся любые телефоны, поддерживающие Java-приложения или имеющие интерпретатор языка Python.
  3. Рост числа WAP-сайтов, на которых размещены такие троянские программы.
  4. Появление в ICQ спам-рассылок, рекламирующих WAP-сайты и вредоносные программы, размещенные на них.
  5. Разнообразные методы социальной инженерии, используемые при распространении и маскировке вредоносных программ.
  6. Фиксированное количество коротких номеров, которые используют мошенники.

Об этих и других тенденциях более подробно будет рассказано ниже.

Начнем с роста числа вредоносных программ поведения Trojan-SMS. За первое полугодие 2008 года таких программ было обнаружено больше, чем за все время их существования. Напомним, что первая вредоносная программа этого поведения была задетектирована нами 27 февраля 2006 года (Trojan-SMS.J2ME.RedBrowser.a).

На графике - число новых Trojan-SMS, обнаруженных аналитиками «Лаборатории Касперского» (по месяцам 2008 г.)

В целом за шесть месяцев 2008 года было обнаружено на 422% больше новых Trojan-SMS, чем во втором полугодии 2007 года. В настоящий момент насчитывается 9 семейств для платформы J2ME, 3 – для Symbian и 1 для Python. Что же представляют собой такие троянцы? Сами по себе данные вредоносные программы - достаточно примитивные поделки.

Если говорить о J2ME-троянцах, то абсолютное большинство их имеют следующую структуру: jar-архив, в котором есть несколько class-файлов. Один из этих файлов и осуществляет отправку платного SMS-сообщения на короткий номер (естественно, не спрашивая разрешения владельца телефона об отправке и не уведомляя его о стоимости такого сообщения). Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем – эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.

Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), практически ничем не отличаются от J2ME-троянцев: примитивность самой программы и ее задача остаются такими же. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные скрипты, служащие для маскировки основной деятельности вредоносной программы.

Trojan-SMS опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем. Что касается Trojan-SMS.Python, то здесь идет речь о кроссплатформенности в сегменте смартфонов на базе OS Symbian. Если в телефоне (с любой версией ОС) имеется интерпретатор Python’а, то Trojan-SMS.Python сможет функционировать на любой из таких моделей.

Самый популярный (из числа немногих) способ распространения таких вредоносных программ – через различные WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируются либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного Интернета, либо под приложения эротического или порнографического характера.

Иногда вирусописатели придумывают довольно оригинальные способы маскировки вредоносных действий программы. Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.

Практически все сайты, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации (буквально пара кликов) и бесплатный доступ к таким сервисам позволяют вирусописателям распространять свои примитивные поделки безо всяких проблем. Злоумышленнику остается лишь дать файлу как можно более привлекательное для потенциальных жертв имя (free_gprs_internet, otpravka_sms_besplatno, golaya_devushka и так далее), написать такой же завлекательный комментарий и ждать, когда кто-то из пользователей решит «бесплатно отправить смс» или «посмотреть эротические картинки».

После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди – потенциальные жертвы.

Таким образом, складывается интересная цепочка:

  • Создание вредоносной программы
  • Ее размещение на WAP-сайте с привлекательным названием и комментарием
  • Проведение спам-рассылки, которая может затронуть пользователей  мобильных клиентов ICQ.

Теперь нам остается рассмотреть лишь один вопрос, который касается коротких номеров, используемых мобильными троянцами. Среди всех вредоносных программ, которые были обнаружены «Лабораторией Касперского», наиболее популярными оказались три коротких номера: 1171, 1161, 3649. Причем эти номера используются не только злоумышленниками, но и различными легальными компаниями, предоставляющими разного рода услуги. Получатель платежа за SMS определяется префиксом, с которым сообщение отправлено. В различных Trojan-SMS эти префиксы меняются, но иногда встречаются и повторения.

Популярность такого вида киберпреступности обусловлена исключительной простотой SMS-платежей.

Известно, что сотовые операторы сдают короткие номера в аренду. Частному лицу арендовать такой номер слишком дорого. Но существуют контент-провайдеры, которые такие короткие номера сдают в субаренду, добавляя к ним определенный префикс. Таким образом один и тот же короткий номер, но с разными префиксами могут использовать несколько арендаторов.

Например, короткий номер 1171 принадлежит одному из таких провайдеров, но если на номер 1171 будет отправлено сообщение, начинающееся на «S1», то система провайдера переведет часть стоимости такой SMS на счет субарендатора «S1». Сотовый оператор забирает себе от 45% до 49% от стоимости отправленной на короткий номер SMS, около 10% получает арендующий этот номер провайдер. Остальные деньги отправляются субарендатору — в данном случае «мобильному» мошеннику.

Подведем итоги: первое полугодие 2008 года характеризуется первым в истории вредоносного ПО значимым ростом вредоносных программ для мобильных телефонов, которые отправляют платные SMS-сообщения на короткие премиум-номера без ведома владельцев телефонов. Очевидно, что все эти программы создавались с одной целью: обманным путем получить деньги пользователей. Простота создания и распространения таких приложений может привести к дальнейшему росту вредоносных программ поведения Trojan-SMS во втором полугодии 2008 года. Будем следить за развитием ситуации.

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано - 26 сентября 2008 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:
Hit

23.05.2017 Видео на канале: Знакомство с HTC U 11

Hit

23.05.2017 Видео на канале: Обзор Archos Diamond 2 Plus

23.05.2017 МТС представила финансовые и операционные результаты Группы за первый квартал 2017 года

23.05.2017 Российские ученые разработают первый электрокар на солнечных батареях

23.05.2017 «Мегафон» предложил абонентам три варианта компенсации за сбой

23.05.2017 В России появится система контроля за беспилотниками

Hit

23.05.2017 Видео на канале: Сравнение Samsung Galaxy S8 и S8 Plus

Hit

23.05.2017 Видео на канале: Обзор Xiaomi Mi6

23.05.2017 Состоялся анонс MEIZU M5c – самого доступного смартфона MEIZU

23.05.2017 LG X venture – противоударный смартфон с аккумулятором повышенной емкости

23.05.2017 В России стартовали продажи Moto G5, а для украинцев доступен Moto G5 Plus

22.05.2017 Android Pay пришел в Россию!

22.05.2017 Сенаторы предлагают ужесточить ответственность за незаконное распространение SIM карт

22.05.2017 «Яндекс» запустил тестирование голосового помощника «Алиса»

22.05.2017 Итальянцы разработали для смартфонов чехол-кофемашину

Hit

22.05.2017 Видео на канале: Обзор Honor 8 Pro

22.05.2017 AliExpress с 1 июня снизит комиссию для российских партнеров по привлечению трафика до 6%

22.05.2017 Yota выплатит до 20 миллионов рублей компенсаций из-за сбоя на сетях Мегафона

22.05.2017 В сети «всплыли» официальные изображения Meizu M5c

Hit

21.05.2017 Представлено эскизное изображение безрамочного BLUBOO S1

Hit

19.05.2017 Видео на канале: Сравнение Apple iPhone 7 Plus и Samsung Galaxy S8 Plus

Hit

19.05.2017 Видео на канале: Обзор HTC U Ultra

19.05.2017 1С предложит пользователям мобильных устройств SIM карты с электронной подписью

19.05.2017 LG V30 будет поддерживать технологию виртуальной реальности Google Daydream

19.05.2017 Telegram запустил онлайн-платежи

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.