Home → Analizy → Zagrożenia → Kaspersky Security Bulletin → Kaspersky Security Bulletin 2006: Mobilne szkodliwe oprogramowanie
W 2006 roku miało miejsce kilka istotnych zdarzeń dotyczących mobilnych szkodliwych programów. Zdarzenia te wyznaczą trendy w ewolucji tego typu programów w kolejnych kilku latach.
W 2005 roku analitycy z firmy Kaspersky Lab prognozowali, że w przyszłości nastąpi stały napływ szkodliwych programów podobnych do tych, które już znamy. Rzadko natomiast będą pojawiały się programy innowacyjne pod względem technicznym. Dodatkowym bodźcem dla twórców wirusów będą korzyści finansowe, jakie szkodliwi użytkownicy będą mogli uzyskać w wyniku rozpowszechnienia się wykorzystywania telefonów komórkowych w celu dokonywania płatności elektronicznych. Przewidywano jednak, że globalna epidemia mobilnych szkodliwych programów nie będzie stanowić rzeczywistego zagrożenia jeszcze przez kilka lat.
Przed 2006 rokiem statystyki dotyczące mobilnego szkodliwego oprogramowania (zgodnie z klasyfikacją Kaspersky Lab) wyglądały następująco:
Na początku 2006 roku nastąpił znaczny wzrost liczby szkodliwych programów dla urządzeń mobilnych. Tylko od lutego do kwietnia pojawiły się 43 warianty różnych wirusów mobilnych. W okresie swojej największej aktywności twórcy wirusów wypuszczali prawie dziesięć nowych wariantów tygodniowo. Co ciekawe, najbardziej płodni okazali się hakerzy z Azji. Ogólnie, ich programy wyróżniały się pod względem atakowanych platform oraz wkroczeniem na stosunkowo mało znane pole technologii mobilnych.
Wydawało się, że tak szybkie tempo ewolucji utrzyma się przez jakiś czas, stwarzając niebezpieczeństwo, że mobilne wirusy będą powstawać masowo, a ich liczba zbliży się do ilości niektórych wirusów komputerowych. Jednak w drugiej połowie 2006 roku niemal nie pojawiły się żadne nowe próbki zarówno znanych, jak i nowych rodzin.
Spadkowy trend utrzymywał się do końca 2006 roku. W każdym miesiącu pojawiało się od dwóch do siedmiu nowych wariantów starych szkodliwych programów. Jednocześnie poważne zmniejszyła się liczba aktywnych twórców wirusów mobilnych. Obecnie większość nowych mobilnych szkodliwych programów wychodzi "spod ręki" jednej albo dwóch osób. To wyjaśnia, dlaczego nowe warianty zasadniczo nie zawierają innowacji technicznych, w rezultacie zaliczane są do trojanów prymitywnych.
Poniżej: dane statystyczne dotyczące mobilnych szkodliwych programów pod koniec 2006 r.:
Nastała era komercyjnych trojanów i programów spyware dla Symbiana. Pierwszy w pełni funkcjonalny program spyware został wykryty w kwietniu. Jego twórcy sprzedawali go na swojej stronie internetowej za 50 dolarów. Po zainstalowaniu Flexispy przejmował pełną kontrolę nad smartfonem i wysyłał cyberprzestępcom informacje o wykonywanych rozmowach telefonicznych i wysyłanych SMS-ach. We wrześniu 2006 roku na scenie pojawił się drugi, podobny program dla Symbiana: Acallno. Program ten przechwytywał wszystkie wiadomości tekstowe wysyłane i otrzymywane na zainfekowanym telefonie i przesyłał je pod wyznaczony numer.
Twórcy wirusów zademonstrowali tylko jeden z wielu sposobów okradania z pieniędzy użytkowników telefonów komórkowych. Technologię tę opracowali jako pierwsi nieznani rosyjscy hakerzy; w lutym i we wrześniu wykorzystali funkcję numerów o podwyższonej opłacie w celu kradzieży pieniędzy. W lutym rozprzestrzenili trojana RedBrowser ukrywającego się pod postacią narzędzia, które można wykorzystać do uzyskania dostępu do Internetu za pośrednictwem SMS-a. W rzeczywistości program ten wysyłał SMS na numery o podwyższonej opłacie. W rezultacie, każdy SMS kosztował abonenta 5 dolarów. We wrześniu 2006 roku pojawił się Wesber - trojan o podobnej funkcjonalności.
Wcześniej wirusy mobilne różniły się od komputerowych wykorzystywaniem specyficznych sposobów rozprzestrzeniania się - poprzez Bluetooth lub MMS. Jednak funkcjonalność zintegrowanej z WinCE platformy programistycznej .NET pozwoliła twórcom wirusów na wykorzystywanie innego, bardziej tradycyjnego wektora infekcji: poczty elektronicznej. Robak Letum zachowuje się dokładnie tak samo jak tysiące typowych robaków pocztowych dla komputerów PC. Jak tylko przedostanie się do telefonu, wysyła swoje kopie na wszystkie adresy e-mail znajdujące się na liście kontaktów zainfekowanego telefonu. Ponadto, robaka Letum można zaklasyfikować jako wirusa wieloplatformowego, ponieważ szkodnik ten może działać na komputerach z platformą programistyczną .NET.
Wirus Cxover jest pierwszym wieloplatformowym złośliwym programem dla telefonów komórkowych. Po uruchomieniu wirus ten sprawdza, który system operacyjny jest zainstalowany, a po uruchomieniu na komputerze PC szuka dostępu do urządzeń przenośnych poprzez ActiveSync. Następnie szkodnik kopiuje się do urządzenia mobilnego przy użyciu ActiveSync. Jak tylko znajdzie się w telefonie (lub urządzeniu PDA), wirus próbuje wykonać odwrotną procedurę, tj. kopiuje się na komputer PC. Może również usuwać pliki użytkownika w urządzeniu mobilnym.
Robak Mobler działa w trochę inny sposób. Po uruchomieniu na komputerze PC robak tworzy na dysku E: plik SIS. Plik ten zawiera kilka pustych plików, które są wykorzystywane do nadpisywania wielu aplikacji systemowych w telefonie. Plik zawiera również samego robaka, który kopiuje się następnie do karty pamięci telefonu i dodaje plik o nazwie autorun.inf.
Gdy użytkownik podłączy telefon zainfekowany Moblerem do komputera i będzie próbował uzyskać dostęp do karty pamięci telefonu, robak automatycznie uruchomi się i zainfekuje komputer. Mobler jest typowym przykładem wirusa wieloplatformowego, który może działać na całkowicie różnych systemach operacyjnych jak Windows i Symbian.
Przed 2006 rokiem dwiema najczęściej atakowanymi platformami mobilnymi był Symbian i WinCE, które stanowią również główne platformy smartfonów. Niemiłym zaskoczeniem było pojawienie się w lutym 2006 r. trojana RedBrowser. Po raz pierwszy zostały zainfekowane standardowe telefony komórkowe (nie smartfony). RedBrowser atakował telefony, które do działania niektórych aplikacji wykorzystywały platformę J2ME.
Chociaż do niedawna wydawało się to nierealne, możliwość zainfekowania niemal każdego rodzaju telefonu komórkowego stała się rzeczywistością. Pojawienie się trojana dla platformy J2ME jest równie niepokojące co pojawienie się pierwszego robaka dla smartfonów w czerwcu 2004 roku. Nadal trudno jest ocenić potencjalne zagrożenia. Faktem jest jednak, że liczba standardowych telefonów komórkowych nadal przewyższa liczbę smartfonów, a szkodliwi użytkownicy opracowali już sposób zainfekowania standardowego telefonu i wykorzystania go do celów przestępczych. To oznacza, że ochrona antywirusowa takich urządzeń staje się istotnym zagadnieniem.
Wiosną wykryto pierwszego backdoora typu "proof of concept" dla urządzeń BlackBerry. Jednak szkodnik ten został napisany w języku Java i dlatego nie można go zaklasyfikować jako złośliwego kodu dla nowej platformy.
Spośród trzynastu nowych rodzin mobilnych szkodliwych programów wykrytych przez firmę Kaspersky Lab w 2006 roku siedem zawierało innowacje techniczne, z których dwa zostały stworzone dla nowych platform.
Innowacja | Rodzina | Miesiąc | System operacyjny | Funkcjonalność |
+ | Trojan-SMS.J2ME.RedBrowser | luty 2006 | J2ME | Wysyłanie wiadomości SMS |
+ | Worm.MSIL.Cxover | marzec 2006 | Windows Mobile / .NET | Usuwanie plików, kopiowanie się do innych urządzeń |
- | Worm.SymbOS.StealWar | marzec 2006 | Symbian | Kradzież danych, rozprzestrzenianie poprzez BlueTooth oraz MMS-y |
+ | Email-Worm.MSIL.Letum | marzec 2006 | Windows Mobile / .NET | Rozprzestrzenianie poprzez pocztę elektroniczną |
+ | Trojan-Spy.SymbOS.Flexispy | kwiecień 2006 | Symbian | Kradzież danych |
- | Trojan.SymbOS.Rommwar | kwiecień 2006 | Symbian | Podmienianie aplikacji systemowych |
- | Trojan.SymbOS.Arifat | kwiecień 2006 | Symbian | — |
- | Trojan.SymbOS.Romride | czerwiec 2006 | Symbian | Podmienianie aplikacji systemowych |
+ | Worm.SymbOS.Mobler.a | sierpień 2006 | Symbian | Usuwanie plików antywirusowych, podmienianie aplikacji systemowych, rozprzestrzenianie poprzez karty pamięci |
+ | Trojan-SMS.J2ME.Wesber | wrzesień 2006 | J2ME | Wysyłanie wiadomości SMS |
+ | Trojan-Spy.SymbOS.Acallno | wrzesień 2006 | Symbian | Kradzież danych |
- | Trojan.SymboS.Flerprox | październik 2006 | Symbian | Podmienianie systemowych plików rozruchowych |
- | not-a-virus:Tool.SymbOS.Hidmenu | październik 2006 | Symbian | Aplikacja |
Głównymi zagrożeniami dla mobilnych użytkowników są obecnie robaki Cabir i ComWar, które zostały już wykryte w około 30 krajach na całym świecie. Ich celem nie jest kradzież pieniędzy i nie powodują bezpośrednich strat finansowych (mimo że ComWar rozprzestrzenia się poprzez wiadomości MMS, za które obciążany jest użytkownik). Ich autorzy nie znaleźli jeszcze sposobu na czerpanie bezpośrednich korzyści ze swoich tworów. Trojany wysyłające wiadomości tekstowe na numery o podwyższonej opłacie to tak naprawdę dopiero pierwsze próby. Większość cyberprzestępców nie jest zainteresowanych danymi przechowywanymi w telefonach przenośnych i przynajmniej na razie wciąż łatwiej jest ukraść dane z komputera PC niż z telefonu komórkowego.
W przypadku mobilnych wirusów mamy obecnie do czynienia z ciszą przed burzą. Na ataki narażone są wszystkie popularne platformy mobilne. Zakres zachowań i funkcji znanych robaków, trojanów i wirusów osiągnął już poziom zbliżony do wirusów komputerowych.
Obecnie autorzy wirusów mobilnych tworzą niewielką liczbę prostych trojanów. Jak zauważono wcześniej, aktywnych na tym polu jest kilkoro dzieciaków skryptowych, co może wywołać kolejną falę nowych wariantów znanych już rodzin (podobną do tej, jakiej byliśmy świadkami w grudniu 2005 r. i wiosną 2006 r.). Jednak ewolucja mobilnych szkodliwych programów będzie nadal zależała od liczby smartfonów na rynku oraz możliwości nielegalnego uzyskania korzyści z wykorzystaniem zainfekowanych telefonów komórkowych.
Co przyniesie 2007 rok? Zagrożenia dla mobilnych użytkowników prawdopodobnie nie zwiększą się w znacznym stopniu. Pod względem ewolucji mobilne wirusy nadal znajdują się na wstępnym etapie "linii montażowej" i prawdopodobnie nie zmieni się to przez kilka następnych lat.
Zagrożenia dla mobilnych użytkowników będą prawdopodobnie rosły proporcjonalnie do popularności smartfonów. Na pewno liczba tych urządzeń zwiększy się z czasem do setek milionów na całym świecie. Dodawanie kolejnych nowych funkcji spowoduje, że więcej osób będzie używało smartfony w taki sam sposób jak korzysta obecnie z komputerów osobistych. Nieuchronnie przyciągnie to uwagę cyberprzestępców i spowoduje wzrost liczby trojanów dla telefonów komórkowych.
Źródło:![]() |
Analizy
Blog