podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

AddThis Social Bookmark Button
Версия для печати

Мобильные вирусы: детальный анализ Лаборатории Касперского

Не так давно мы публиковали подробный "разбор полетов", посвященный теме мобильных вирусов. В отличие от аналитиков лаборатории Касперского, представители других антивирусных компаний отнеслись к этому вопросу с изрядной долей скептицизма. Было даже высказано мнение, что тема вирусов для мобильных устройств поднимается исключительно из стремления заранее "застолбить" новый привлекательный рынок для антивирусных продуктов.

Действительно, мобильных телефонов в обращении на порядок больше, чем компьютеров, и процентное отношение смартфонов постоянно растет. Антивирусный продукт для смартфона не обязательно должен быть дорогим, искомая прибыль может быть получена за счет массовых продаж. Разумеется, при условии наличия спроса на подобные средства защиты. Аналитик "Лаборатории Касперского" Александр Гостев не сомневается в том, что защищаться уже есть от чего. С удовольствием публикуем часть отчета за III квартал, посвященную вирусам для мобильных устройств. С полным текстом отчета можно ознакомиться на сайте Лаборатории Касперского.

Проблема мобильных вирусов всегда была и остается одной из наиболее интересных как для "Лаборатории Касперского", так и для меня лично.  Читатели, которые следят за нашими публикациями, обратили внимание, что в последнее время по этой теме нами было выпущено несколько материалов. Это и раздел о мобильных вирусах в нашем полугодовом отчете, и статья "Введение в мобильную вирусологию" в двух частях. В этих материалах были полностью раскрыты и рассмотрены все существующие виды и классы мобильных вредоносных программ. Вне поля зрения осталась только часть событий третьего квартала 2006 года, и именно о них и пойдет речь ниже.  Мобильных вирусов, заслуживающих отдельного внимания и выделяющихся из общей массы примитивных skuller-подобных троянцев, было обнаружено три штуки. Рассмотрим их в порядке появления.

Comwar v3.0: возможность заражения файлов

В августе в руки антивирусных компаний попал очередной образец самого распространенного MMS-червя Comwar. При его детальном анализе выяснилось, что червь содержит в себе следующие текстовые строки:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright © 2005-2006 by e10d0r CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Отличие от предыдущих вариантов заключалось не только в номере версии – "3.0", но и в очередной технологической новинке, примененной русским автором Comwar. В этом варианте он впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них.  Таким образом, он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.

В Comwar реализованы практически все возможные на сегодняшний день пути проникновения и распространения для мобильных вирусов. Все, кроме одного. И этот путь был показан в конце августа другим червем – Mobler.a.

Mobler.a: под ударом опять компьютер?

Этот червь стал первым кроссплатформенным зловредом, способным функционировать на операционных системах Symbian и Windows. А функция распространения заключается в копировании себя с компьютера на телефон и обратно.

Будучи запущенным на персональном компьютере, он создает на диске E:\ (как правило, именно как диск E:\ монтируются подключаемые к компьютеру мобильные устройства) свой sis-файл. Этот файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится Win32-компонента червя, который копируется на съемную карту памяти телефона и дополняется файлом autorun.inf. Если такой зараженный телефон подключить к компьютеру и попытаться с этого компьютера обратиться к съемной карте памяти телефона, произойдет автозапуск червя и заражение компьютера.

Пока это всего лишь концептуальная разработка неизвестного автора, но в теории подобный способ распространения мобильных вирусов может стать одним из наиболее используемых. Возможно даже, что он окажет гораздо большее влияние на мобильную вирусологию, чем возможность распространения через MMS, так как под ударом может оказаться не только телефон, но и компьютер со столь вожделенными для злоумышленника данными. Скорее всего, стоит рассматривать Mobler.a не как новый способ проникновения в телефон, а именно как очередной вектор атаки на персональные компьютеры пользователей.

Acallno – sms-шпион

Мир мобильных вирусов, по большому счету, находится сейчас в состоянии застоя. Практически все возможные технологии, виды и классы вредоносных программ для Symbian-смартфонов уже реализованы. От действительно массового распространения подобных вирусов нас спасает пока еще низкая (по сравнению с компьютерами) распространенность смартфонов и отсутствие явной "коммерческой" выгоды от заражения телефона. Информация, которую содержит телефон, – не слишком интересный объект для мошенников: адресная книга, список совершенных звонков, тексты и "адреса" принятых\отправленных SMS. Но именно на сбор информации об SMS и нацелен еще один интересный представитель мобильного мира – троянец Acallno.  Это коммерческая разработка некоей фирмы, которая предназначена для шпионажа за пользователем конкретного телефона. Acallno настраивается на конкретный телефон по его IMEI-коду (International Mobile Equipment Identity) и не будет работать на другом телефоне при простом копировании его файлов.  Он скрывает свое присутствие в системе, и это, вкупе с функцией шпионажа, заставляет нас относиться к нему как к вредоносной программе. Троянец (мы классифицируем его именно так, хоть он и продается вполне легально) дублирует все принятые и отправленные SMS с телефона, на который он загружен, на специально настроенный номер.

Wesber: кража денег с мобильного счета

Кроме того, что можно красть тексты и "адреса" SMS, при помощи SMS можно красть и реальные деньги – с мобильного счета абонента. И эта возможность в полной мере реализована в очередном J2ME-троянце Wesber. Обнаруженный в самом начале сентября специалистами нашей компании, Wesber является вторым известным нам троянским приложением, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах благодаря тому, что он написан для платформы Java (J2ME).

Как и его предшественник, троянец RedBrowser, Wesber.a занимается тем, что отсылает на платный premium-номер несколько SMS. За каждую из них с мобильного счета абонента списывается сумма в 2.99 доллара США. До недавнего времени процедура функционирования подобных premium-номеров у российских мобильных операторов была крайне проста, и выйти на след злоумышленника, если бы подобные троянцы стали массовыми, было бы довольно проблематично. В настоящее время мобильные операторы, обеспокоенные ростом числа случаев SMS-мошенничества, стали принимать меры противодействия, в частности, ужесточать правила регистрации подобных premium-номеров.  На этом рассказ о мобильных вирусах третьего квартала 2006 года можно было бы и закончить, но есть еще одна тема. Она напрямую не связана с мобильными телефонами, однако, несомненно, относится к проблеме безопасности беспроводных устройств и сетей.

WiFi-черви – почти реальность

В августе компания Intel объявила о наличии серьезной уязвимости в процессорах Intel Centrino, а именно в части функций работы с беспроводными сетями Wi-Fi. Подробности уязвимости, естественно, детально не афишировались, однако было известно, что речь идет об "Execute arbitrary code on the target system with kernel-level privileges".  Моментально было выпущено соответствующее исправление для проблемных ноутбуков, но нас в этой истории интересует то, что раньше могло казаться только теоретическими рассуждениями, а сейчас едва не стало реальностью.  Я говорю о WiFi-червях.

Сценариев работы такого червя может быть несколько, и всем им лучше оставаться неозвученными, чтобы не подтолкнуть вирусописателей к реализации какого-нибудь из них. Однако в данном случае все достаточно очевидно. При наличии подобной уязвимости в Intel Centrino существует определенная вероятность появления червя, который будет перебираться с ноутбука на ноутбук в радиусе действия его WiFi-адаптера. Принцип работы весьма прост – достаточно вспомнить классических сетевых червей Lovesan, Sasser или Slammer. Червь обнаруживает уязвимый ноутбук и посылает на него специальный пакет-эксплоит уязвимости. В результате атакованный компьютер предоставит червю возможность для передачи на него своего тела и выполнения очередного цикла заражения-распространения. Единственную сложность может представлять только поиск жертвы для атаки, поскольку перебор по MAC-адресу представляется весьма нетривиальной задачей, а вариант с выбором по IP-адресу здесь не пройдет. Впрочем, своих "соседей" по точке доступа червь может атаковать именно по IP-адресам. И не стоит забывать о том, что множество ноутбуков имеют включенный по умолчанию режим поиска WiFi-точек.

Подчеркиваю, что это только один из возможных сценариев работы WiFi-червей. Наличие уязвимостей в беспроводных адаптерах пока еще редкость, но кто знает, что нас ждет в будущем? Недавно в саму возможность существования вирусов для мобильных телефонов многие не верили…

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано — 28 ноября 2006 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

24.03.2017 ZTE потерпела убытки в 4 квартале из-за штрафа в США

24.03.2017 Цены и варианты Xaiomi Mi 6 и Mi 6 Plus попали в сеть

24.03.2017 В сервисе Google Авиабилеты для России теперь можно планировать поездки и на поезде

24.03.2017 Samsung продемонстрировал концепты умных часов на базе Gear S3

24.03.2017 Meizu M621C-S прошел сертификацию TENAA

24.03.2017 EZVIZ представила на российском рынке полнофункциональную систему «умный дом»

24.03.2017 Флагман Nokia получит сдвоенную камеру с оптикой Carl Zeiss

Hit

24.03.2017 Видео на канале: Обзор смартфона 4Good R407

24.03.2017 В России представлены игровые ноутбуки Lenovo Legion Y520 и Legion Y720

24.03.2017 Google избавит Hangouts от поддержки SMS

24.03.2017 Panasonic сделает крупного испанского разработчика автомобильных систем своей дочерней компанией

23.03.2017 Fossil представила более 300 моделей умных часов

23.03.2017 Le XiubaleR получит Helio X20 и Android 7.1.2

23.03.2017 LG Pay будет запущен в Корее в июне

23.03.2017 Casio представила версию смарт-часов Pro Trek WSD F20 с сапфировым стеклом

23.03.2017 Два смартфона Meizu с быстрой зарядкой зарегистрированы в Китае

23.03.2017 Красный iPhone оказался аномально популярным в Китае

23.03.2017 Яндекс увидел угрозу для своих «Денег» в СП Сбербанка и Alibaba

23.03.2017 Apple запустила вебсайт «Бизнес» в России

Hit

23.03.2017 Видео на канале: Обзор Huawei P10

23.03.2017 «Связной» и «Евросеть» могут объединить

23.03.2017 Panasonic представил для тайваньского рынка новый смартфон – ELUGA PURE

23.03.2017 В Карты Google возвращается возможность делиться с друзьями своим местоположением

22.03.2017 ZTE представила обновление линейки Nubia в Китае

22.03.2017 Huawei представит смартфон линейки Honor 5 апреля

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.