Автор статьи долгое время относился к проблеме существования мобильных вирусов с изрядной долей скепсиса, – до тех пор, пока в его руки не попал обычный мобильник среднего класса, зараженный неизвестным вирусом…
Nokia 6085 был заражен со смартфона через Bluetooth (вредоносная программа была скопирована под видом игры). Работа телефона отличалась крайней нестабильностью. При попытке удаления вируса через меню мобильник глухо зависал.
Вылечить телефон удалось, подключив его к ПК и удалив зараженный файл с помощью файлового менеджера Диспетчера файлов Nokia PC Suite. Ни один антивирус – со свежайшими базами! – идентифицировать зловреда не смог…
Немного терминологии
Во-первых, определимся с вирусной терминологией: мобильными вирусами будем называть вирусы для мобильных телефонов (как простых, так и продвинуто-навороченных).
Во-вторых, определимся с аппаратной терминологией. Все мобильные телефоны можно разделить на 2 типа:
1) телефоны, использующие операционную систему (продвинуто-навороченные – смартфоны, коммуникаторы);
2) телефоны, работающие под управлением прошивки.
Основные операционные системы для продвинуто-навороченных мобильников: Symbian (на текущий момент занимает доминирующее положение на рынке) и Windows Mobile.
Прошивка – это программа, управляющая работой телефона, но «вшитая» в сам телефон. Каждый из производителей мобильников создает свои прошивки для конкретных моделей (предопределяя тем самым функциональность телефона).
Операционная система разрешает загрузку и запуск программ в телефон, а в прошивке такая возможность появилась только с появлением J2ME.
Что такое J2ME
J2ME – Java 2 Micro Edition – это версия популярного языка программирования Java (созданного Sun Microsystems), предназначенная для выполнения приложений, написанных на языке Java, на устройствах бытовой электроники, например, мобильных телефонах, персональных органайзерах, цифровых телевизионных ресиверах и т. п.
Основой J2ME является так называемая виртуальная машина Java, способная исполнять байт-код языка Java (т.е. это среда для исполнения приложений).
Виртуальная машина Java, адаптированная специально для телефонов, настолько компактна по размеру, и, что самое главное, считается безопасной, что практически все производители телефонов стараются в своих прошивках обеспечить поддержку J2ME.
История возникновения мобильных вирусов
Разговоры о скором появлении вирусов для мобильных телефонов начались в конце 90-х гг. XX в. (тогда на рынке появились смартфоны).
В июне 2000 г. в Испании появилась программа, которую можно считать первым вирусом для мобильных телефонов. Зловред получил имя Timofonica (приставка «timo» в переводе на русский язык обозначает «мошенничество», «надувательство»), что по звучанию очень напоминало название крупнейшего пиренейского телекоммуникационного гиганта Telefonica.
Вирус посылал с зараженных ПК SMS-сообщения на телефоны местного оператора MoviStar, предоставляющего услуги в стандарте GSM. Эти сообщения содержали всего одну строку на испанском языке: «Информация для вас: Telefonica вас надувает!».
Российских пользователей мобильников Timofonica не затронула. Если быть точным, назвать Timofonica мобильным вирусом нельзя, ведь он базировался на ПК и распространялся по электронной почте. Больше никакого действия на мобильные телефоны он не оказывал.
В августе 2000 г. всполошились абоненты японского оператора NTT DoCoMo. Причина крылась в странном поведении их мобильников, оснащенных поддержкой сервиса i-mode (быстрый доступ к развлекательным ресурсам Глобальной сети). В момент, когда происходило одно из типичных online-голосований при помощи wap-сервиса, при ответе на один из вопросов, трубки всех владельцев, участвующих в викторине, начали звонить на местный телефон полиции, что привело к существенной перегрузке сети.
Всего было зарегистрировано более 400 пустых звонков. В ходе расследования случившегося инцидента выяснилось, что во все телефоны абонентов NTT DoCoMo, поддерживающие i-mode, оператором был вшит «баг», разрешающий несанкционированный доступ к аппарату. Выяснить, для чего были совершены звонки именно на номер полиции, так и не удалось. Случай со временем был забыт…
В конце 2003 г. в интервью одному интернет-журналу Евгений Касперский заявил: «Нет вирусов для мобильников и вряд ли появятся. Обычным мобильным телефонам вредоносные программы никогда не угрожали и вряд ли будут угрожать в будущем. Java – хорошо защищенная среда, совершенно бесперспективная с точки зрения вирусописателей. Мелкие огрехи оперативно латаются, и поводов для беспокойства нет.
То, что мы ошибочно именуем «телефонными вирусами», на самом деле представляет собой последствия некорректной обработки определенных команд. Действительно, можно вспомнить прославившегося «убийцу Сименсов», от которого пострадал не один десяток пользователей трубок 35-й серии: при попытке открыть SMS-сообщение с одним хитро оформленным словом телефон безнадежно зависал (слово знаю, но не скажу!).
Спасала только перестановка SIM-карты в любой другой аппарат, позволяющий стереть сообщение без его открывания. Со смартфонами ситуация неоднозначна. Для широкого распространения вредоносного кода требуется большая популярность определенной смартфонной ОС и одновременно наличие дыр в ее защите.
Пока намного опаснее загрузка на смартфон зараженного файла, который впоследствии может быть перенесен на рабочий компьютер в обход антивирусных мониторов и брандмауэров. Однако в будущем адаптированная под смартфоны зараза вполне может появиться – почему бы и нет? Появится болезнь – появится и лекарство…».
14 июня 2004 г. на адрес электронной почты Лаборатории Касперского пришло письмо от известного коллекционера компьютерных вирусов, тесно связанного с некоторыми авторами вирусов, испанца VirusBuster. Письмо содержало файл с именем caribe.sis. Быстрый анализ файла показал, что файл является приложением для операционной системы Symbian и одновременно архивом-инсталлятором, содержащим в себе другие файлы.
За несколько часов аналитики смогли разобраться, что это за файл: это был червь для мобильных телефонов, рассылающий себя через Bluetooth. Выводы полностью подтвердились на следующий день, когда аналитики протестировали работоспособность червя на телефоне Nokia N-Gage, оснащенном операционной системой Symbian.
Червь был создан человеком, известным под псевдонимом Vallez. Он проживает во Франции и в тот момент входил в состав вирусописательской группы 29A. Эта группа ставила своей целью создание новых, концептуальных вирусов для нестандартных операционных систем и приложений. Ее участники как бы демонстрировали антивирусным компаниям и другим вирусописателям, что существуют новые направления атаки.
В этот раз целью было создание вредоносной программы для смартфонов. Для размножения червя также был выбран нестандартный способ. Черви обычно распространяются по электронной почте, и логично было бы ожидать от Cabir такого же пути рассылки себя. Тем более, что одной из основных функций смартфонов является возможность работы с Интернетом и электронной почтой. Однако автор червя избрал другой способ – протокол Bluetooth. Это стало вторым ключевым моментом идеи.
Вирус Cabir сразу после попадания на чей-либо смартфон начинает постоянно сканировать эфир с целью поиска все новых и новых жертв. Помимо банального самовоспроизведения никакой опасности для смартфонов Cabir не несет, кроме увеличения быстроты разряда батареи, вследствие активного использования технологии Bluetooth.
При обнаружении потенциального «клиента» зараженное устройство отправляет ему файл caribe.sis объемом 15 кбайт. Для жертвы это выглядит так: на экране появляется предложение принять некое письмо, и, если пользователь дает согласие, на его телефон пересылается файл с вирусом, после чего система спрашивает разрешения инсталлировать программу под названием Caribe. Если и на этот вопрос следует утвердительный ответ, червь устанавливается в систему, для верности копируя себя сразу в несколько директорий.
Так было положено начало мобильному вирусописательству.
Одними из первых обратили внимание на проблему мобильных вирусов финская компания F-Secure и Лаборатория Касперского.
По разным подсчетам, на текущий момент известно около 500 мобильных вирусов. Называются и другие цифры: несколько тысяч. Разночтения в количестве и названиях мобильных вирусов определяются разными подходами к классификации у разных антивирусных компаний.
Несмотря на сравнительное изобилие мобильных вирусов действительно опасных среди них пока немного.
Основные виды мобильных вирусов:
• черви, распространяющиеся через специфические протоколы и сервисы;
• трояны-вандалы, использующие ошибки ОС для установки в систему;
• трояны, ориентированные на нанесение финансового ущерба пользователю.
Наиболее опасны черви. Черви – это самораспространяющиеся вирусы, они способны вызвать очень быстрое заражение большого количества систем, нарушив работоспособность мобильной сети или превратив ее в подконтрольную злоумышленнику распределенную сеть («зомби»-сеть).
Краткий список «мобильных» вирусов:
• Cabir – передается по Bluetooth. Рассылает свои копии на все доступные Bluetooth-соединения, из-за чего «смарт» может «тормозить».
• Cardtrap – троян. Устанавливает на карту памяти телефона различные троянские программы для Win32-систем.
• Comwar – червь. Распространяется в виде MMS, стал самым распространенным вредоносным кодом в MMS-трафике.
• Flexispy – первый полнофункциональный шпион, который его создатели продавали на своем сайте за 50$: устанавливает тотальный контроль над смартфоном и отсылает злоумышленнику информацию о совершенных звонках и отправленных SMS.
• Cxover – первый кроссплатформенный вирус. При своем запуске проверяет, что это за операционная система. Запущенный на ПК ищет доступные через ActiveSync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или КПК), вирус затем пытается проделать обратную процедуру – скопировать себя на ПК. Кроме этого, он может удалять пользовательские файлы на мобильном устройстве.
• Mobler.a – кроссплатформенный червь, способный функционировать на операционных системах Symbian и Windows. Копирует себя с телефона на ПК и обратно.
• WinCE4.Duts. Поражает карманные компьютеры на базе Windows CE. Особой опасности не представляет. Считается, что его создание было просто доказательством возможности существования вирусов для PDA.
• Trojan-SMS.J2ME.RedBrowser – троян, может заражать практически все существующие модели мобильных телефонов (включая обычные мобильники!).
• Wesber – троян. Может при помощи SMS красть деньги с мобильного счета абонента. Является вторым трояном, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах благодаря тому, что он написан для платформы Java (J2ME).
• Worm.SymbOS.StealWar – шпион Pbstealer и червь Comwar. Автор StealWar объединил их в одном модуле, и получился червь, имеющий черты обоих своих «родителей» (ворующий данные адресной книги и рассылающий себя через MMS).
• Metal Gear Solid – маскируется под установочный файл игры, после активации ищет и отключает антивирусные программы, после чего становится проблематичным вылечить телефон.
• Commwarrior – MMS-червь. Распространяется через MMS и Bluetooth. Рассылает MMS-сообщения без ведома владельца. Быстро «сажает» аккумулятор.
• Skulls. Заменяет все стандартные иконки в меню на стилизованное изображение черепа с костями. Открыть приложения посредством иконок становится невозможным. Распространяется в виде Extreme theme.sis.
• icons v.1.00. Меняет родные иконки на «битые».
• Ozicom. После установки меняются иконки, все надписи под ними на иврите.
• Doomboot-A – маскируется под игру DOOM 2.
• Lasco – внедряет свой код во все sis-файлы, установленные на «смарте». Его создатели взяли за основу Cabir и добавили к нему функцию заражения файлов. Пока считается коллекционным вирусом (т.е. широко не распространен и не причиняет особого вреда).
Проблемы защиты от мобильных вирусов
Появление в феврале 2006 г. трояна RedBrowser стало неприятным сюрпризом. Впервые объектом заражения стали обычные мобильники, и, считавшаяся безопасной платформа J2ME, уже не может считаться таковой.
Ныне под угрозой оказались не только смартфоны, но и обычные телефоны, использующие приложения, написанные на языке JAVA, и имеющие доступ в Интернет. «Под эти параметры подпадают 90% новых моделей мобильников, – считает ведущий вирусный аналитик Лаборатории Касперского Александр Гостев. – В перспективе это может привести даже к серьезным сбоям в работе сотовых операторов.
Если такие вирусы получат большое распространение, работа любой компании, предоставляющей услуги мобильной связи, может быть парализована в течение 15 минут».
Главная проблема в том, что при прямом подключении телефона к Интернету использовать средства защиты нельзя. И если на смартфоны можно установить антивирусные программы, то оперативная память обычных мобильных телефонов этого не позволяет.
Весьма способствует распространению мобильных вирусов широкое применение Bluetooth и MMS (при несоблюдении элементарных правил безопасности).
В США был случай, когда мобильные телефоны Nokia 6600 с включенным Bluetooth, выставленные в витрине магазина калифорнийского города Санта-Моника, заразились вирусом Cabir от мобильников проходящих мимо людей.
Антивирусы
Антивирусные компании уже начали выпускать версии своих программ для защиты смартфонов: Symantec Client Security для смартфонов Nokia, Kaspersky Security для PDA, Kaspersky Anti-Virus для Symbian OS, KAV Mobile («Лаборатория Касперского»), WinMobile, Trend Micro Mobile Security (Trend Micro), выпустили свои версии BitDefender и ESET, McAfee выпустила полнофункциональное решение для операторов и абонентов.
Причины распространения мобильных вирусов:
• уязвимости программного обеспечения;
• низкий уровень «мобильной» грамотности;
• отношение владельцев мобильных телефонов к мобильным вирусам, как к проблеме будущего;
• любопытство (а что будет, если я запущу этот файл/игру/программу?);
• несоблюдение элементарных правил безопасности.
Пути проникновения вируса в телефон:
• с другого телефона через Bluetooth-соединение;
• посредством MMS-сообщения;
• с ПК (соединение через Bluetooth, USB, WiFi, инфракрасное…);
• через web- или wap-сайты.
Симптомы заражения
1. Появление – после копирования и установки каких-либо файлов (как правило, «игр») – всевозможных «глюков» и «багов». Например: беспричинно «зависает» телефон, не запускаются какие-либо приложения, невозможно открыть папку Принятые файлы.
2. Появление неизвестных подозрительных файлов и иконок.
3. Мобильник самопроизвольно отправляет SMS и MMS, быстро опустошая счет владельца.
4. Блокируются какие-либо функции телефона.
Деструктивные действия мобильных вирусов (одно из неписаных правил гласит, что вирус, получая управление, может делать в системе всё то, что может делать пользователь!):
• незаметная для пользователя массовая рассылка SMS и MMS;
• несанкционированные звонки на платные номера;
• быстрое опустошение счета абонента (в результате звонков на платные номера и массовой рассылки SMS и MMS);
• уничтожение данных пользователя (телефонная книга, файлы и т.д.);
• похищение конфиденциальной информации (пароли, номера счетов и т.д.);
• блокировка функций телефона (SMS, игры, камера и т.д.) или аппарат в целом;
• быстрая разрядка аккумулятора;
• рассылка (от имени владельца телефона) зараженных файлов всеми возможными способами (e-mail, WiFi, Bluetooth и т.д.);
• при синхронизации телефона с компьютером – пересылка на ПК деструктивного кода;
• возможность удаленного управления аппаратом;
Как удалить зараженные файлы
Как правило, непосредственно с мобильника (обычного, не «смарта») удалить зараженные файлы не удается. Для удаления зараженных файлов нужно подключить мобильник к ПК и воспользоваться каким-либо файловым менеджером, например, для телефонов Nokia – файловым менеджером, входящим в состав Nokia PC Suite. После удаления зараженных файлов перезагрузите мобильник (выключите и снова включите).
Если удаление зараженных файлов не помогает, придется «перепрошить» телефон, обратившись в сервисный центр.
Как защищаться от мобильных вирусов
1. Если у вас «продвинутый» мобильник, пользуйтесь антивирусами.
2. Соблюдайте осторожность при установке всевозможных приложений (особенно часто мобильные вирусы «молотят» под игры!). Если есть возможность, перед копированием/установкой чего-либо на мобильник, проверьте то, что вы собираетесь копировать/устанавливать, на стационарном ПК антивирусным монитором со свежими базами.
3. Не устанавливайте на мобильник незнакомый «контент» неизвестного происхождения.
4. Не разрешайте запуск незнакомых программ.
5. Не держите Bluetooth постоянно включенным, включайте его только в случае необходимости (а если уж приходится держать Bluetooth постоянно включенным, используйте режим Скрытый).
6. Если вам пересылают по Bluetooth какой-то подозрительный файл, вы всегда можете отклонить его прием!
7. Не загружайте файлы из Интернета сразу на мобильник. Закачайте их сначала на ПК, проверьте антивирусом, а уж затем устанавливайте в мобильник.
Резюме
1. Мобильные вирусы существуют! Это уже не миф, а реальная угроза!
2. До недавнего времени считалось, что мобильные вирусы, если и угрожают, то только продвинуто-навороченным мобильникам, владельцам обычных мобильников бояться нечего. Увы, это уже не соответствует действительности!.. А т.к. доля обычных телефонов как минимум на порядок превосходит долю смартфонов, есть повод задуматься!
3. Поскольку уже созданы кроссплатформенные мобильные вирусы, приверженность какой-то одной ОС не гарантирует защиту от вирусов.
4. Первоначально существовавшая грань между мобильными и компьютерными вирусами стерта. Теперь эти устройства могут взаимно заражать друг друга.
5. Компьютерным вирусам для широкого распространения потребовалось более 20 лет. Мобильные вирусы прошли этот путь всего лишь за 2 года (очевидно, что мобильные вирусописатели активно используют опыт создания и распространения компьютерных вирусов).
6. В мире насчитывается около 5 млрд. абонентов сотовой связи. Многие буквально не расстаются со своими мобильниками. На мобильниках хранится конфиденциальная информация. Нетрудно представить масштабы последствий в случае возникновения эпидемий мобильных вирусов.
7. Как относиться к проблеме мобильных вирусов? Не нужно ее преувеличивать, паниковать. Но не стоит и отмахиваться от нее, считая, что проблема искусственно раздувается антивирусными компаниями и жадными до сенсаций СМИ.
Предупрежден, значит, вооружен. Бди!
Валерий Сидоров
«Троян» для Android записывает телефонные разговоры пользователей
(2 августа 2011)
Вредоносная программа, ориентированная на работу в среде Android, способна записывать телефонные разговоры пользователей, о чём говорится в исследовании по безопасности компании CA Technologies. Функциональность нового «трояна», по словам исследователей, ушла далеко вперёд от его аналогов, способных на сбор относительно доступной текстовой информации, такой как номера телефонов и продолжительность разговоров.
Сотрудник CA Technologies Динеш Венкатесан (Dinesh Venkatesan) использовал для проведения анализа функционирования программы эмулятор ОС. Оказывается, «троян» имитирует обыкновенный диалог приложений из Android Market, а после согласия на инсталляцию якобы невинного приложения спокойно устанавливается и добавляет файл конфигурации удалённого сервера.
При совершении пользователем каждого телефонного звонка, программа записывает разговор в AMR-файл и сохраняет его на карте памяти. По всей видимости, файлы удалённого сервера позволяют злоумышленникам получать доступ к записям.
«Как уже широко признано, этот год является годом мобильных вирусов; мы советуем пользователям смартфонов быть более логичными и придерживаться основных принципов безопасности при сёрфинге и установке любых приложений», — заключил Венкатесан.
Комментариев нет:
Дорогие читатели!
Мы уважаем ваше мнение, но оставляем за собой право на удаление комментариев в следующих случаях:
- комментарии, содержащие ненормативную лексику
- оскорбительные комментарии в адрес читателей
- ссылки на аналогичные проекту ресурсы или рекламу
- любые комментарии связанные с работой сайта