Мобильные вирусы: детальный анализ Лаборатории Касперского

Не так давно мы публиковали подробный "разбор полетов", посвященный теме мобильных вирусов. В отличие от аналитиков лаборатории Касперского, представители других антивирусных компаний отнеслись к этому вопросу с изрядной долей скептицизма. Было даже высказано мнение, что тема вирусов для мобильных устройств поднимается исключительно из стремления заранее "застолбить" новый привлекательный рынок для антивирусных продуктов.

Действительно, мобильных телефонов в обращении на порядок больше, чем компьютеров, и процентное отношение смартфонов постоянно растет. Антивирусный продукт для смартфона не обязательно должен быть дорогим, искомая прибыль может быть получена за счет массовых продаж. Разумеется, при условии наличия спроса на подобные средства защиты. Аналитик "Лаборатории Касперского" Александр Гостев не сомневается в том, что защищаться уже есть от чего. С удовольствием публикуем часть отчета за III квартал, посвященную вирусам для мобильных устройств. С полным текстом отчета можно ознакомиться на сайте Лаборатории Касперского.

Проблема мобильных вирусов всегда была и остается одной из наиболее интересных как для "Лаборатории Касперского", так и для меня лично.  Читатели, которые следят за нашими публикациями, обратили внимание, что в последнее время по этой теме нами было выпущено несколько материалов. Это и раздел о мобильных вирусах в нашем полугодовом отчете, и статья "Введение в мобильную вирусологию" в двух частях. В этих материалах были полностью раскрыты и рассмотрены все существующие виды и классы мобильных вредоносных программ. Вне поля зрения осталась только часть событий третьего квартала 2006 года, и именно о них и пойдет речь ниже.  Мобильных вирусов, заслуживающих отдельного внимания и выделяющихся из общей массы примитивных skuller-подобных троянцев, было обнаружено три штуки. Рассмотрим их в порядке появления.

Comwar v3.0: возможность заражения файлов

В августе в руки антивирусных компаний попал очередной образец самого распространенного MMS-червя Comwar. При его детальном анализе выяснилось, что червь содержит в себе следующие текстовые строки:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright © 2005-2006 by e10d0r CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Отличие от предыдущих вариантов заключалось не только в номере версии – "3.0", но и в очередной технологической новинке, примененной русским автором Comwar. В этом варианте он впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них.  Таким образом, он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.

В Comwar реализованы практически все возможные на сегодняшний день пути проникновения и распространения для мобильных вирусов. Все, кроме одного. И этот путь был показан в конце августа другим червем – Mobler.a.

Mobler.a: под ударом опять компьютер?

Этот червь стал первым кроссплатформенным зловредом, способным функционировать на операционных системах Symbian и Windows. А функция распространения заключается в копировании себя с компьютера на телефон и обратно.

Будучи запущенным на персональном компьютере, он создает на диске E:\ (как правило, именно как диск E:\ монтируются подключаемые к компьютеру мобильные устройства) свой sis-файл. Этот файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится Win32-компонента червя, который копируется на съемную карту памяти телефона и дополняется файлом autorun.inf. Если такой зараженный телефон подключить к компьютеру и попытаться с этого компьютера обратиться к съемной карте памяти телефона, произойдет автозапуск червя и заражение компьютера.

Пока это всего лишь концептуальная разработка неизвестного автора, но в теории подобный способ распространения мобильных вирусов может стать одним из наиболее используемых. Возможно даже, что он окажет гораздо большее влияние на мобильную вирусологию, чем возможность распространения через MMS, так как под ударом может оказаться не только телефон, но и компьютер со столь вожделенными для злоумышленника данными. Скорее всего, стоит рассматривать Mobler.a не как новый способ проникновения в телефон, а именно как очередной вектор атаки на персональные компьютеры пользователей.

Acallno – sms-шпион

Мир мобильных вирусов, по большому счету, находится сейчас в состоянии застоя. Практически все возможные технологии, виды и классы вредоносных программ для Symbian-смартфонов уже реализованы. От действительно массового распространения подобных вирусов нас спасает пока еще низкая (по сравнению с компьютерами) распространенность смартфонов и отсутствие явной "коммерческой" выгоды от заражения телефона. Информация, которую содержит телефон, – не слишком интересный объект для мошенников: адресная книга, список совершенных звонков, тексты и "адреса" принятых\отправленных SMS. Но именно на сбор информации об SMS и нацелен еще один интересный представитель мобильного мира – троянец Acallno.  Это коммерческая разработка некоей фирмы, которая предназначена для шпионажа за пользователем конкретного телефона. Acallno настраивается на конкретный телефон по его IMEI-коду (International Mobile Equipment Identity) и не будет работать на другом телефоне при простом копировании его файлов.  Он скрывает свое присутствие в системе, и это, вкупе с функцией шпионажа, заставляет нас относиться к нему как к вредоносной программе. Троянец (мы классифицируем его именно так, хоть он и продается вполне легально) дублирует все принятые и отправленные SMS с телефона, на который он загружен, на специально настроенный номер.

Wesber: кража денег с мобильного счета

Кроме того, что можно красть тексты и "адреса" SMS, при помощи SMS можно красть и реальные деньги – с мобильного счета абонента. И эта возможность в полной мере реализована в очередном J2ME-троянце Wesber. Обнаруженный в самом начале сентября специалистами нашей компании, Wesber является вторым известным нам троянским приложением, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах благодаря тому, что он написан для платформы Java (J2ME).

Как и его предшественник, троянец RedBrowser, Wesber.a занимается тем, что отсылает на платный premium-номер несколько SMS. За каждую из них с мобильного счета абонента списывается сумма в 2.99 доллара США. До недавнего времени процедура функционирования подобных premium-номеров у российских мобильных операторов была крайне проста, и выйти на след злоумышленника, если бы подобные троянцы стали массовыми, было бы довольно проблематично. В настоящее время мобильные операторы, обеспокоенные ростом числа случаев SMS-мошенничества, стали принимать меры противодействия, в частности, ужесточать правила регистрации подобных premium-номеров.  На этом рассказ о мобильных вирусах третьего квартала 2006 года можно было бы и закончить, но есть еще одна тема. Она напрямую не связана с мобильными телефонами, однако, несомненно, относится к проблеме безопасности беспроводных устройств и сетей.

WiFi-черви – почти реальность

В августе компания Intel объявила о наличии серьезной уязвимости в процессорах Intel Centrino, а именно в части функций работы с беспроводными сетями Wi-Fi. Подробности уязвимости, естественно, детально не афишировались, однако было известно, что речь идет об "Execute arbitrary code on the target system with kernel-level privileges".  Моментально было выпущено соответствующее исправление для проблемных ноутбуков, но нас в этой истории интересует то, что раньше могло казаться только теоретическими рассуждениями, а сейчас едва не стало реальностью.  Я говорю о WiFi-червях.

Сценариев работы такого червя может быть несколько, и всем им лучше оставаться неозвученными, чтобы не подтолкнуть вирусописателей к реализации какого-нибудь из них. Однако в данном случае все достаточно очевидно. При наличии подобной уязвимости в Intel Centrino существует определенная вероятность появления червя, который будет перебираться с ноутбука на ноутбук в радиусе действия его WiFi-адаптера. Принцип работы весьма прост – достаточно вспомнить классических сетевых червей Lovesan, Sasser или Slammer. Червь обнаруживает уязвимый ноутбук и посылает на него специальный пакет-эксплоит уязвимости. В результате атакованный компьютер предоставит червю возможность для передачи на него своего тела и выполнения очередного цикла заражения-распространения. Единственную сложность может представлять только поиск жертвы для атаки, поскольку перебор по MAC-адресу представляется весьма нетривиальной задачей, а вариант с выбором по IP-адресу здесь не пройдет. Впрочем, своих "соседей" по точке доступа червь может атаковать именно по IP-адресам. И не стоит забывать о том, что множество ноутбуков имеют включенный по умолчанию режим поиска WiFi-точек.

Подчеркиваю, что это только один из возможных сценариев работы WiFi-червей. Наличие уязвимостей в беспроводных адаптерах пока еще редкость, но кто знает, что нас ждет в будущем? Недавно в саму возможность существования вирусов для мобильных телефонов многие не верили…

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано — 28 ноября 2006 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:
Hit

20.03.2019 Видео на канале: МЫСЛИ | О самолетах Boeing

Hit

20.03.2019 Видео на канале: ОБЗОР | Honor 10 lite

20.03.2019 Google Европе позволит менять браузер и поисковую систему на Android

20.03.2019 Apple выпустила новые беспроводные наушники AirPods

20.03.2019 Флагманом Motorola станет модель Z4 с чипсетом Snapdragon 855

20.03.2019 Xiaomi в 2018 году росла во всех сегментах

20.03.2019 Motorola One Vision - смартфон с Android One на чипсете Exynos

20.03.2019 Xperia 4 заменит линейку Compact от Sony

20.03.2019 Opera встроила в Android-браузер безлимитный VPN

20.03.2019 VIVO представила очередную партию смартфонов с выдвижной фронтальной камерой – X27 и X27 Pro

20.03.2019 Яндекс и Hyundai вместе займутся разработкой беспилотных автомобилей

20.03.2019 У Google появился свой Стадий – для стриминга игр

Hit

19.03.2019 Видео на канале: МЫСЛИ | Общество потребления

Hit

19.03.2019 Видео на канале: СРАВНЕНИЕ Samsung Galaxy S10+ vs S10e

19.03.2019 Apple обновила линейку компьютеров iMac

19.03.2019 Неофициальные подробности о Google Pixel 3A

19.03.2019 ZTE сообщила основные характеристики для смартфона Nubia Red Magic 3

19.03.2019 Опубликованы изображения для прессы смартфона Samsung Galaxy A40

19.03.2019 Elari SmartBeat – беспроводная колонка с голосовым помощником Алисой от Яндекс

19.03.2019 Huawei официально представила очередной смартфон – Honor 10i

19.03.2019 Xiaomi выпустила новый игровой смартфон – Black Shark 2

19.03.2019 NVIDIA представила миниатюрный, но производительный компьютер на NVIDIA CUDA-X – Jetson Nano за $99

19.03.2019 Redmi 7 – смартфон на Snapdragon 632 за 104$

Hit

18.03.2019 Видео на канале: МЫСЛИ | О компании AKG

Hit

18.03.2019 Видео на канале: ОБЗОР | Samsung Galaxy Watch Active

Подписка
 
© Mobile-review.com, 2002-2019. All rights reserved.