Угрозы для мобильных устройств: Welcome to the future

Угрозы для мобильных устройств: Welcome to the future

Александр Гостев
ведущий вирусный аналитик Лаборатории Касперского

Лаборатория Касперского представила отчет о мобильных угрозах за первый квартал 2006 г.

ПРОБЛЕМА антивирусной безопасности для мобильных устройств с каждым месяцем становится все актуальней. Слабый ручеек троянских программ для Symbian-телефонов, наблюдавшийся в последние годы, к концу 2005-го превратился уже в уверенный поток. В настоящий момент мы еженедельно добавляем в наши антивирусные базы до 10 новых троянцев, атакующих смартфоны.Весьма значительную их часть составляют троянцы из Азиатского региона, в частности из Южной Кореи. Эта страна сейчас фактически является лидером по "производству" вирусов для мобильных телефонов.

Мобильники под угрозой

Мобильные технологии не стоят на месте, и вместе с их развитием развиваются и вирусы. Февраль 2006 г. оказался "щедрым" - появились сразу две новинки. К обнаружению первой из них самым непосредственным образом оказалась причастна Лаборатория Касперского. Один из наших пользователей обратил внимание на то, что на целом ряде российских сайтов пользователей мобильных телефонов активно рекламируется и распространяется некая программа RedBrowser. По уверениям ее авторов, данная программа позволяет пользоваться доступом в Интернет на Wap-сайты без использования Интернет-соединения. Подобный функционал якобы реализован путем отправки и приема SMS, в которых и будет содержаться контент интересующего сайта.

Пользователь загрузил себе данную программу и протестировал ее на своем телефоне. Выяснилось, что SMS она действительно отправляет. Только никакой "бесплатной работы в Интернете без доступа в Интернет" там и близко не было. Отсылаемые SMS отправлялись на платные premium-номера и стоили 5-6 долларов США каждое.

Получив данную программу, мы тщательно проанализировали ее код, и эти выводы были нами полностью подтверждены. Троянец был реализован в виде JAR-файла и предназначался для работы в операционной системе J2ME, которой оснащено подавляющее большинство обычных мобильных телефонов (не только смартфонов).

Возможность заражения вредоносными программами практически любых существующих мобильных телефонов, еще недавно казавшаяся невозможной, стала правдой. Троянец, очевидно, уже какое-то время функционировал "в дикой природе", и имелись пострадавшие от него. Троянец получил название Trojan-SMS.J2ME.Red-Browser.a (а чуть позднее мы обнаружили его новый вариант).

Само появление троянских программ для J2ME представляет собой не менее серьезное событие, чем появление первого червя для смартфонов в июне 2004 г. Пока еще трудно оценить все потенциальные угрозы, однако тот факт, что доля обычных телефонов на порядок превосходит долю смартфонов, а возможность преступного использования зараженного телефона уже реализована злоумышленниками, заставляет нас начать исследования в области создания антивирусной защиты и для этого класса устройств.

Не исключено, что в самом ближайшем времени появятся аналогичные троянцы (посылающие SMS на платные номера) для платформы Symbian.

Антивирусный детектив

Доля смартфонов и КПК на платформе Windows Mobile стремительно растет. До сих пор нам были известны всего две вредоносные программы для Windows Mobile/Pocket PC -это вирус Duts и бэкдор Brador. В феврале 2006 г. поступило пополнение. Правда, история эта весьма загадочна и вызывает несколько серьезных вопросов. Об этом и поговорим.

Началось все с того, что некая организация, именующая себя MARA (Mobile Antivirus Researchers Association), распространила пресс-релиз, где говорилось, что ею от анонимного автора был получен некий новый концептуальный вирус, способный не только функционировать на персональных компьютерах под управлением Windows, но и заражать мобильные телефоны с Windows Mobile. Поскольку вирусы для WM - большая редкость, а в данном случае речь еще шла о полнофункциональном крос-сплатформенном вирусе, это сообщение MARA привлекло повышенное внимание как средств массовой информации, так и антивирусных компаний.

Разумеется, практически все антивирусные компании обратились к MARA с просьбой о предоставлении экземпляра данного вируса для анализа и добавления его в свои антивирусные базы. Однако на все подобные запросы был получен один и тот же ответ. Заключался он в предложении вступить в MARA, поскольку по ее правилам обмен образцами вирусов возможен только между членами ассоциации.

Подобное поведение оказалось неожиданным. В антивирусной индустрии с самого момента ее появления существует определенная этика поведения, заключающаяся в том числе и в регулярном обмене образцами новых вирусов. Это не обуславливается никакими формальными требованиями по вступлению кого-либо в какую-либо организацию. Тем более в случаях, когда речь идет о концептуальных вирусах, которые могут стать поворотной вехой в развитии вирусологии. Напротив, антивирусные компании стремятся к подобному обмену, чтобы защитить максимально возможное число пользователей независимо от того, услугами какого антивирусного вендора те пользуются. Мы конкурируем друг с другом только в области маркетинга и предоставляемых сервисов.

Разумеется, антивирусные компании с негодованием отвергли предложение о вступлении в эту малоизвестную организацию, не желая ради одного вируса создавать ей рекламу и повышать ее значимость. Одновременно возник ряд вопросов относительно текущего состава членов ассоциации. Выяснилось, что в нее входили примерно десять человек, большинство которых были совершенно неизвестны в области антивирусной индустрии и не имели контактных адресов. Самым известным членом ассоциации является доктор Cyrus Peikari, автор нескольких книг по безопасности и генеральный директор небольшой компании AirScanner, разрабатывающей антивирусные решения для мобильных телефонов. Peikari стал широко известен несколько лет назад, после того как опубликовал исходные коды вируса Win-CE.Duts, сопроводив их статьей-анализом, а фактически руководством по написанию вирусов для Windows Mobile. Что самое печальное, статья эта была написана им в соавторстве с членом группы 29A, известным, как Ratter. Собственно, именно Ratter и был автором вируса Duts, и он же и представил исходные коды вируса Peikari.

Сам факт соавторства, сотрудничества с вирусописателем абсолютно недопустим с точки зрения антивирусной индустрии. Репутация самого Peikari и компании AirScanner была значительно подмочена.

В этой истории с появлением кроссплатформенного вируса (Crossover, по версии MARA) вопросы возникали один за другим. Непонятное требование присоединения к MARA для получения сэмпла, доказанная связь сотрудничества члена ассоциации с вирусописателями (известными созданием вирусов именно для Win-СЕ)... Непонятно было и то, почему вирус был послан (анонимным автором) именно одному из членов MARA (также не названному), а не в какую-нибудь известную антивирусную компанию, как это всегда происходило ранее с концептуальными вирусами.

Контакты с MARA решено было прекратить. 8 марта 2006 г. Cyrus Peikari опубликовал детальный анализ кода вируса Crossover с примерами кода, фактически выпустив еще одно руководство по написанию вирусов для Windows Mobile. В соавторах на этот раз никто не значился. Одновременно с сайта MARA пропал список членов ассоциации.

Так или иначе, но в конечном счете (автору статьи неизвестно как) ведущие антивирусные компании раздобыли образец этого вируса. Он получил название Cxover.

Вирус при своем запуске проверяет операционную систему и, будучи запущенным на персональном компьютере, ищет доступные через Active-Sync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или КПК), вирус затем пытается проделать обратную процедуру - скопировать себя на персональный компьютер. Кроме того, он может удалять пользовательские файлы на мобильном устройстве.

Ну что же. Теоретическая возможность существования вирусов, способных функционировать одновременно на персональных компьютерах и мобильных телефонах, подтверждена на практике. Исходные коды опубликованы, все рассказано. Welcome to the future.