Опасная мобильность

Тема мобильных вирусов не относится к захватывающе-увлекательным. Однако писать об этом приходится и читать настоятельно рекомендуется. Если, конечно, вы не собираетесь подкармливать «чужого дядю» с баланса своего лицевого счета.

Всего пару лет назад само понятие «мобильные вирусы» почти никем всерьез не воспринималось. Да, существовали отдельные поделки, которые условно можно было считать вирусами, но распространенность их была ничтожна, и выглядело все это как сравнительно безобидные изыски развлекающихся программистов. Даже бытовало мнение, что мобильные угрозы придумали разработчики антивирусных решений для продвижения своей продукции. Первым опытам в области написания «мобильных зловредов» недоставало главного драйвера: финансовой заинтересованности разработчиков. Сейчас вся эта мобильная нечисть прекрасно научилась «зарабатывать» деньги для своих создателей через все тот же мобильный контент. Который уже давно стал основным средством и промежуточным звеном большинства криминальных операций в «мобильном пространстве».

От мобильного мошенничества страдают не только пользователи. Техническое несовершенство биллинговых систем позволяет мошенникам «выдаивать» по несколько тысяч рублей с каждой приобретаемой специально для этого SIM-карты. Половина этих денег оказывается прямым убытком оператора, до 30% - «бонусом» мошенников. Хотя фродовые потери пользователей несоизмеримо выше. Можно возмущаться почти бездеятельностью операторов и контент-провайдеров, но дело это бессмысленное, доходы намного превышают потери. Значит, уповать на «доброго дядю» нам с вами не приходится, остается только самим о себе позаботиться. А для этого нужно не только периодически включать интеллект, но и представлять себе, в какие моменты это следует делать.

Длинный и нудноватый документ под названием «Kaspersky Security Bulletin 2008. Развитие угроз в первом полугодии 2008 года» подготовлен «Лабораторией Касперского» и опубликован в начале сентября, исследование ориентировано скорее на профессионалов. Весьма рекомендуется к прочтению, но нас с вами больше интересует его «мобильная» главка, которую привожу ниже практически без изменений и сокращений. Это не реклама разработчиков антивирусных решений, перед нами материал из категории «это должен знать каждый». Читайте, проникайтесь цифрами статистики и примеряйте к себе описанные схемы распространения этой дряни. Ибо, как в очередной раз выясняется, попаданию в большинство неприятностей мы себе сами помогаем своими же «шаловливыми ручонками».

Сергей Голованов, Александр Гостев, Денис Масленников

«Мобильные» угрозы: начало коммерциализации

Первое полугодие 2008 года выдалось интересным с точки зрения мобильных угроз, а точнее, одного из их видов: троянских программ, скрытно отправляющих платные SMS на короткие премиум-номера.

В данном контексте стоит отметить:

  1. Рост числа вредоносных программ поведения Trojan-SMS.
  2. Кроссплатформенность мобильных троянцев: под угрозой находятся любые телефоны, поддерживающие Java-приложения или имеющие интерпретатор языка Python.
  3. Рост числа WAP-сайтов, на которых размещены такие троянские программы.
  4. Появление в ICQ спам-рассылок, рекламирующих WAP-сайты и вредоносные программы, размещенные на них.
  5. Разнообразные методы социальной инженерии, используемые при распространении и маскировке вредоносных программ.
  6. Фиксированное количество коротких номеров, которые используют мошенники.

Об этих и других тенденциях более подробно будет рассказано ниже.

Начнем с роста числа вредоносных программ поведения Trojan-SMS. За первое полугодие 2008 года таких программ было обнаружено больше, чем за все время их существования. Напомним, что первая вредоносная программа этого поведения была задетектирована нами 27 февраля 2006 года (Trojan-SMS.J2ME.RedBrowser.a).

На графике - число новых Trojan-SMS, обнаруженных аналитиками «Лаборатории Касперского» (по месяцам 2008 г.)

В целом за шесть месяцев 2008 года было обнаружено на 422% больше новых Trojan-SMS, чем во втором полугодии 2007 года. В настоящий момент насчитывается 9 семейств для платформы J2ME, 3 – для Symbian и 1 для Python. Что же представляют собой такие троянцы? Сами по себе данные вредоносные программы - достаточно примитивные поделки.

Если говорить о J2ME-троянцах, то абсолютное большинство их имеют следующую структуру: jar-архив, в котором есть несколько class-файлов. Один из этих файлов и осуществляет отправку платного SMS-сообщения на короткий номер (естественно, не спрашивая разрешения владельца телефона об отправке и не уведомляя его о стоимости такого сообщения). Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем – эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.

Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), практически ничем не отличаются от J2ME-троянцев: примитивность самой программы и ее задача остаются такими же. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные скрипты, служащие для маскировки основной деятельности вредоносной программы.

Trojan-SMS опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем. Что касается Trojan-SMS.Python, то здесь идет речь о кроссплатформенности в сегменте смартфонов на базе OS Symbian. Если в телефоне (с любой версией ОС) имеется интерпретатор Python’а, то Trojan-SMS.Python сможет функционировать на любой из таких моделей.

Самый популярный (из числа немногих) способ распространения таких вредоносных программ – через различные WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируются либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного Интернета, либо под приложения эротического или порнографического характера.

Иногда вирусописатели придумывают довольно оригинальные способы маскировки вредоносных действий программы. Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.

Практически все сайты, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации (буквально пара кликов) и бесплатный доступ к таким сервисам позволяют вирусописателям распространять свои примитивные поделки безо всяких проблем. Злоумышленнику остается лишь дать файлу как можно более привлекательное для потенциальных жертв имя (free_gprs_internet, otpravka_sms_besplatno, golaya_devushka и так далее), написать такой же завлекательный комментарий и ждать, когда кто-то из пользователей решит «бесплатно отправить смс» или «посмотреть эротические картинки».

После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди – потенциальные жертвы.

Таким образом, складывается интересная цепочка:

  • Создание вредоносной программы
  • Ее размещение на WAP-сайте с привлекательным названием и комментарием
  • Проведение спам-рассылки, которая может затронуть пользователей  мобильных клиентов ICQ.

Теперь нам остается рассмотреть лишь один вопрос, который касается коротких номеров, используемых мобильными троянцами. Среди всех вредоносных программ, которые были обнаружены «Лабораторией Касперского», наиболее популярными оказались три коротких номера: 1171, 1161, 3649. Причем эти номера используются не только злоумышленниками, но и различными легальными компаниями, предоставляющими разного рода услуги. Получатель платежа за SMS определяется префиксом, с которым сообщение отправлено. В различных Trojan-SMS эти префиксы меняются, но иногда встречаются и повторения.

Популярность такого вида киберпреступности обусловлена исключительной простотой SMS-платежей.

Известно, что сотовые операторы сдают короткие номера в аренду. Частному лицу арендовать такой номер слишком дорого. Но существуют контент-провайдеры, которые такие короткие номера сдают в субаренду, добавляя к ним определенный префикс. Таким образом один и тот же короткий номер, но с разными префиксами могут использовать несколько арендаторов.

Например, короткий номер 1171 принадлежит одному из таких провайдеров, но если на номер 1171 будет отправлено сообщение, начинающееся на «S1», то система провайдера переведет часть стоимости такой SMS на счет субарендатора «S1». Сотовый оператор забирает себе от 45% до 49% от стоимости отправленной на короткий номер SMS, около 10% получает арендующий этот номер провайдер. Остальные деньги отправляются субарендатору — в данном случае «мобильному» мошеннику.

Подведем итоги: первое полугодие 2008 года характеризуется первым в истории вредоносного ПО значимым ростом вредоносных программ для мобильных телефонов, которые отправляют платные SMS-сообщения на короткие премиум-номера без ведома владельцев телефонов. Очевидно, что все эти программы создавались с одной целью: обманным путем получить деньги пользователей. Простота создания и распространения таких приложений может привести к дальнейшему росту вредоносных программ поведения Trojan-SMS во втором полугодии 2008 года. Будем следить за развитием ситуации.

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано - 26 сентября 2008 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

06.05.2021 Twitter запускает в работу защиту от публикаций оскорблений

06.05.2021 Роскомнадзор собирается повторно выписать штраф Twitter, Google и Facebook

06.05.2021 Промо-ролик смартфона Samsung Galaxy A82 5G появился в сети, выход уже скоро

06.05.2021 Смартфон среднего класса OPPO K9 5G вышел в Китае

06.05.2021 Oppo презентовала фитнес-трекер Band Vitality Edition и TWS-наушники Enco Air

06.05.2021 Объём поставок Chromebook вырос в первом квартале почти в три раза

06.05.2021 Honor представит серию ноутбуков MagicBook X 7 мая

06.05.2021 Ноутбуки Lenovo получат режим Echo Show от Amazon

06.05.2021 Смартфон Sony Xperia PRO поступает на полки европейских магазинов – всего за 2500 евро

06.05.2021 Google добавила в Android планшеты развлекательный режим

06.05.2021 Китай намерен стать лидером по производству электромобилей

06.05.2021 Xiaomi вышла на первое место на российском рынке смартфонов

05.05.2021 Состоялся официальный анонс смартфона Galaxy Quantum 2 от Samsung

05.05.2021 За последнюю неделю у Россиян резко вырос интерес к Яндекс.Картам

05.05.2021 В Госдуме предлагают отказаться от SWIFT

05.05.2021 Мировые поставки смартфонов в 2021 году достигнут 1,53 миллиарда

05.05.2021 Samsung Galaxy Tab A7 Lite: свежие подробности о планшете

05.05.2021 Оболочка MIUI 13 выйдет в июне, но ее получат не все популярные смартфоны Xiaomi

05.05.2021 Xiaomi Mi 11 представят в России 13 мая

05.05.2021 TikTok стало самым загружаемым приложением в мире в апреле 2021 года

05.05.2021 MediaTek возглавит рынок чипов в 2021 году

05.05.2021 Рынок TWS-наушников вырастет в 2021 году на 33%

04.05.2021 Абоненты МТC могут оплачивать услуги связи в push-уведомлениях с помощью Apple Pay

Hit

04.05.2021 Видео на канале: Первый взгляд на OPPO Band, записанный на Oppo Find X3 Pro

04.05.2021 ФАС одобрила операторам совместное развитие в России 5G сетей

Подписка
 
© Mobile-review.com, 2002-2021. All rights reserved.