Угрозы для мобильных устройств: welcome to the future

Александр Гостев

 

«Лаборатория Касперского» представила отчет о мобильных угрозах за I квартал текущего года.

Проблема антивирусной безопасности для мобильных устройств с каждым месяцем становится все более актуальной. Слабый ручеек троянских программ для Symbian-телефонов, наблюдавшийся в предыдущие годы, к концу 2005-го превратился уже в заметный поток. В настоящее время мы еженедельно добавляем в свои антивирусные базы до 10 новых троянцев, атакующих смартфоны. Весьма значительную их часть составляют троянцы из Азиатского региона, в частности из Южной Кореи. Эта страна сейчас фактически является лидером по производству вирусов для мобильных телефонов.

Однако мобильные технологии не стоят на месте, и параллельно с их развитием развиваются и вирусы.

Февраль текущего года оказался поистине ударным — сразу две новинки. К обнаружению первой из них самым непосредственным образом оказалась причастна «Лаборатория Касперского». Один из наших пользователей обратил внимание на то, что на целом ряде российских сайтов для владельцев мобильных телефонов активно рекламируется и распространяется некая программа RedBrowser. По уверениям ее авторов, данная программа позволяет получить доступ в Интернет на wap-сайты без использования Интернет-соединения. Подобный функционал якобы реализован путем отправки и приема SMS, в которых и будет содержаться контент интересующего сайта.

Пользователь загрузил себе данную программу и протестировал ее на своем телефоне. Выяснилось, что SMS она действительно отправляет. Однако никакой «бесплатной работы в Интернете без доступа в Интернет» там и близко не было. Отсылаемые SMS отправлялись на платные premium-номера и стоили по 5-6 долл. каждая.

Получив данную программу, мы тщательно проанализировали ее код. Троянец был реализован в виде JAR-файла и предназначался для работы в операционной системе J2ME, которой оснащено подавляющее большинство обычных мобильных телефонов (не только смартфонов).

Возможность заражения вредоносными программами мобильных телефонов, еще недавно казавшаяся невероятной, оказалась абсолютно реальной. Троянец, очевидно, уже какое-то время функционировал в «дикой природе» и нанес определенный урон. Троянец этот получил название Trojan-SMS.J2ME.RedBrowser.a (а чуть позднее мы обнаружили его новый вариант).

Само появление троянских программ для J2ME представляет собой не менее серьезное событие, чем появление первого червя для смартфонов в июне 2004 года. Пока что трудно оценить все потенциальные угрозы, однако тот факт, что количество обычных телефонов на порядок превосходит количество смартфонов, а возможность преступного использования зараженного телефона уже реализована злоумышленниками, заставляет нас начать исследования в области создания антивирусной защиты и для этого класса устройств.

Не исключено, что в ближайшее время появятся аналогичные троянцы (посылающие sms на платные номера) для платформы Symbian.

Доля смартфонов и КПК на платформе Windows Mobile стремительно растет. До сих пор нам было известно всего две вредоносные программы для Windows Mobile/Pocket PC — это вирус Duts и бэкдор Brador. В феврале текущего года поступило пополнение. Правда, история эта весьма загадочна и вызывает несколько серьезных вопросов. Стоит рассказать ее во всех подробностях.

Началось все с того, что некая организация, именующая себя MARA (Mobile Antivirus Researchers Association), распространила пресс-релиз, где говорилось, что ею от анонимного автора был получен некий новый концептуальный вирус, способный не только функционировать на персональных компьютерах под управлением Windows, но и заражать мобильные телефоны с Windows Mobile. Поскольку вирусы для WM — большая редкость, а в данном случае речь к тому же шла о полнофункциональном кроссплатформенном вирусе, то это сообщение MARA привлекло повышенное внимание как средств массовой информации, так и антивирусных компаний.

Разумеется, практически все антивирусные компании обратились к MARA с просьбой о предоставлении экземпляра данного вируса для анализа и включения его в свои антивирусные базы. Однако на все подобные запросы был получен один и тот же ответ, который заключался в предложении вступить в MARA, поскольку по ее правилам обмен образцами вирусов возможен только между членами ассоциации.

Подобное поведение было очень странным. В антивирусной индустрии с момента ее появления существует определенная этика поведения, заключающаяся в том числе и в регулярном обмене образцами новых вирусов. Это не обусловливается никакими формальными требованиями по вступлению кого-либо в ту или иную организацию, тем более в случаях, когда речь идет о концептуальных вирусах, которые могут стать поворотной вехой в развитии «вирусологии». Напротив, антивирусные компании стремятся к подобному обмену, чтобы защитить максимально возможное число пользователей независимо от того, услугами какого антивирусного вендора те пользуются. Мы конкурируем друг с другом только в области маркетинга и предоставляемых сервисов.

Разумеется, антивирусные компании с негодованием отвергли предложение о вступлении в эту малоизвестную организацию, не желая ради одного вируса создавать ей рекламу и повышать ее значимость. Одновременно возник ряд вопросов относительно текущего состава членов ассоциации. Выяснилось, что в нее входило примерно десять человек, большинство из которых совершенно неизвестны в антивирусной индустрии и не имеют контактных адресов. Самым известным членом ассоциации является доктор Сайрус Пейкари (Cyrus Peikari), автор нескольких книг по безопасности и генеральный директор небольшой компании AirScanner, разрабатывающей антивирусные решения для мобильных телефонов. Г-н Пейкари прославился несколько лет назад, когда опубликовал исходные коды вируса WinCE.Duts, сопроводив их статьей-анализом, а фактически — руководством по написанию вирусов для Windows Mobile. Что самое печальное, статья эта была написана им в соавторстве с членом группы 29A, известным как Ratter. Собственно, именно Ratter был автором вируса Duts, и он же представил исходные коды вируса Пейкари.

Сам факт соавторства, сотрудничества с вирусописателем абсолютно недопустим для представителей антивирусной индустрии. Таким образом, репутация самого Пейкари и компании AirScanner была серьезно подмочена.

В этой истории с появлением кроссплатформенного вируса (Crossover — по версии MARA) вопросы возникали один за другим: непонятное требование по присоединению к MARA для получения сэмпла, доказанная связь сотрудничества члена ассоциации с вирусописателями (известными созданием вирусов именно для WinCE)… Непонятно было и то, почему вирус был послан (анонимным автором) именно одному из членов MARA (также неназванному), а не в какую-нибудь известную антивирусную компанию, как это всегда происходило прежде с концептуальными вирусами.

Контакты с MARA решено было прекратить, а 8 марта этого года Сайрус Пейкари опубликовал детальный анализ кода вируса Crossover с примерами кода, фактически выпустив еще одно руководство по написанию вирусов для Windows Mobile. В соавторах на этот раз не значился никто. Одновременно с сайта MARA пропал список членов ассоциации.

Так или иначе, но в конечном счете (автору статьи неизвестно, каким образом) ведущие антивирусные компании раздобыли образец этого вируса. Он получил название Cxover.

Данный вирус при своем запуске проверяет операционную систему и, будучи запущенным на персональном компьютере, ищет доступные через ActiveSync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или КПК), вирус пытается проделать обратную процедуру — скопировать себя на персональный компьютер. Кроме того, он может удалять пользовательские файлы на мобильном устройстве.

Ну что ж, теоретическая возможность существования вирусов, способных функционировать одновременно на персональных компьютерах и мобильных телефонах, подтверждена на практике. Исходные коды опубликованы, всё рассказано — welcome to the future.

КомпьютерПресс 5'2006