Любое затишье всегда заканчивается грозой — закон природы. Но и закон рынка тоже: мобильные вирусы, пребывавшие несколько лет в коматозном состоянии, таки опомнились и пошли «на вы».
Многообразие платформ для мобильных устройств было выгодно пользователям не только с точки зрения богатого выбора — «вирусоделы» несколько растерялись в таком широком ассортименте и от нечего делать сфокусировали свое внимание на создании вредоносного программного обеспечения для обычных персональных компьютеров.
Но когда они распробовали кросс-платформенное решение J2ME, ситуация в корне изменилась…
PUSH MY BUTTON!
За последнее время число вирусов для мобильных устройств действительно серьезно увеличилось. Если в конце августа 2006 года существовало всего 31 семейство и 170 модификаций, то к середине августа этого года в «Лаборатории Касперского» зафиксировали уже 106 семейств и 514 модификаций детектируемых объектов. Таким образом, за три года число «мобильных» вирусов (и это только детектируемых — так сказать, верхушка айсберга) выросло на 202%, а число семейств — на 235%.
Резкое увеличение количества «заразы» обусловлено тем, что «вирусописатели» смогли решить проблему выбора целевой платформы: отказавшись от попыток создания приложений под конкретную платформу, они обратили свое внимание на универсальную Java 2 Micro Edition. И тут такие перспективы! Ведь практически все современные телефоны, не говоря уж о смартфонах, позволяют запускать Java-приложения, в том числе и загружаемые через интернет. Освоив вирусную Java-среду, разработчики не просто вырвались за пределы какой-то одной платформы: они значительно увеличили «зону поражения» — теперь «заразиться» может и простейший мобильный телефон.
Правда, на практике пока все же больше достается владельцам смартфонов, причем большинство программ нацелено не на уничтожение информации, как это чаще бывает с компьютерными вирусами, а на обыкновенное воровство: почти все вирусы из 75 новых семейств занимаются отправкой платных SMS-сообщений на короткие номера.
Для организации подобной махинации требуется небольшая подготовка: «вирусописателю» нужно подключиться к системе SMS-биллинга для частных лиц (обычно подключение оформляется на подставных лиц или по украденным паспортам), запустить сайт с какой-либо услугой, которую можно оплатить через SMS. По сути все: если преступники будут работать аккуратно, они смогут получить свои деньги (уже наличными, через системы электронных платежей) и растаять в киберпространстве раньше, чем на них обратит внимание служба безопасности мобильного оператора.
Как отмечается в исследовании «Лаборатории Касперского», абсолютное большинство J2ME-троянцев представляют собой JAR-архивы, содержащие несколько class-файлов. Один из них и отправляет платные SMS-сообщения, все остальные нужны только для маскировки — чаще всего это просто картинки (в большинстве случаев эротического содержания). Также в архиве хранится manifest-файл, который в некоторых случаях может использоваться вредоносной программой для отправки сообщений.
Сразу после запуска такой вирус (к примеру, из семейства Trojan-SMS.J2ME) пытается отправить SMS-сообщение с определенным текстом на короткий номер. Java-машина в этом случае выдает пользователю предупреждение — можно запретить отправку сообщения и тем самым ликвидировать вирусную активность.
Но более «продвинутые» вирусы неплохо закамуфлированы: так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал (в JAR-архиве программы хранится и PNG-файл с картинкой и MIDI-мелодия). Стараясь как можно скорее нажать кнопку вовремя, пользователь и не догадывается, что каждое нажатие (неважно, вовремя или нет) — это еще одно отправленное сообщение и минус N рублей со счета.
ПРИВАТНЫЙ ТАНЕЦ
Другой распространенный вариант использования «мобильных» вирусов — кража персональных данных пользователей.
Яркий пример — червь InfoJack. Эта вредоносная программа распространяется в CAB-инсталляторе, куда, помимо копии червя, включены различные легальные приложения и игры — опять же для маскировки. Попадая на смартфон или коммуникатор, InfoJack отключает проверку подписи приложений (один из защитных механизмов ОС Windows Mobile): в дальнейшем при попытке установить неподписанное приложение, которое может оказаться вредоносным, операционная система не предупредит пользователя об отсутствии подписи у исполняемого файла. После этого червь «укореняется» в памяти и при подключении смартфона к интернету пытается загрузить дополнительные модули для своей работы.
Далее следует исполнение основной программы — вирус сортирует почту, SMS-сообщения, текстовые файлы на карте памяти, а также короткие видеоподкасты и фотографии и отправляет их своего владельцу. Правда, тотальное копирование всех пользовательских данных вряд ли кому-то понадобится — скорее речь идет об экспресс-поиске по ключевым словам. Соответственно, вирус передаст «на базу» только интересную для злоумышленника информацию: логин и пароль от почты, SMS-сообщения, PIN-коды банковских карт, файлы с расписанием встреч и т. д. А пользователь может и не заметить, что несколько мегабайт ушло «налево», на анонимный ftp-сервер, приняв их в детализации счета за обычный сеанс веб-серфинга.
И КОЕ-ЧТО НА ЗАКУСКУ
Еще один вид вирусов для мобильных устройств — старые диалеры, основная задача которых состоит в организации звонков на платную телефонную линию с прогнозом погоды, спортивными новостями или эротическими разговорами. Зараженные такими вирусами мобильные устройства могут устроить владельцу реальную долговую яму: обычно минута соединения стоит не меньше 100-500 рублей, а отследить «вирусные» звонки часто бывает невозможно — достаточно заранее прописать в настройках вирусной программы время звонка (к примеру, 2 или 3 часа ночи). Кроме того, поскольку в основном эти звонки международные, средства со счета пользователя списываются не в режиме реального времени, а с задержкой в день-два. А это значит, что вирус сможет «поболтать» за ваш счет не раз и не два, пока вредоносная программа будет обнаружена и уничтожена.
Перспективное направление «мобильных» вирусов — включение смартфонов и коммуникаторов в мобильные бот-сети для организации SMS-рассылок спама или атак типа DDoS на мобильные ресурсы. Самое интересное то, что многие пользователи даже и не поймут, что с их телефона что-то отправляется: действия вируса будут скрыты работой смартфона, который постоянно загружает из интернета информацию для виджетов. В отличие от обычных компьютеров, вербовка в бот-сеть мобильных устройств происходит гораздо медленней и требует серьезных временных и финансовых затрат со стороны «вирусоделов». Обычно вирус отправляет не более 2-3 SMS-сообщений со спамом или 3-4 запросов на DDoS-атаку в день.
Серьезное вредоносное программное обеспечение обычно разрабатывается «под заказ» с целью получения прямой финансовой выгоды
А вот разработка вирусов, направленных на нарушение работоспособности систем, у «вирусописателей» пользуется небольшим спросом — денег на этом не сделать. Обычно такие вирусы возникают как отклик на выявление уязвимости в той или иной версии операционной системы. К примеру, для «дырок» в S60 2rd/3rd Edition существует SMS-вирус — атакуемый телефон перестанет принимать входящие SMS- и MMS-сообщения, равно как и отсылать их. Кстати, эта вредоносная программа носит фатальное название — Curse of Silence («Проклятье тишины»). Содержащая ее SMS не отображается в списке входящих сообщений, да и никаких видимых следов «криминала» тоже нет.
ПРАКТИКА ЗАРАЖЕНИЯ
Согласно отчетам вирусных аналитиков, способы распространения вирусов для мобильных устройств радикально отличаются от способов, которыми пользуются для проникновения в систему компьютерные трояны и черви.
Чаще всего пользователи собственными руками гостеприимно открывают дверь вирусам, инсталлируя на телефоне зараженное приложение, благо виртуальных магазинов с играми и всевозможными утилитами хватает, а запрета на установку сторонних программ в большинстве устройств нет (кроме легальных iPhone и BlackBerry). По словам специалистов «Лаборатории Касперского» Александра Гостева и Дениса Масленникова, «способов распространения таких вредоносных программ немного и самый популярный из них — через WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируется либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного интернета, либо под приложения эротического или порнографического характера». Возникает вопрос: почему именно WAP-сайты? Все просто: потому что Россия входит в четверку стран, где наиболее активно пользуются услугами мобильного интернета, в том числе для закачки контента с WAP-обменников.
Абсолютное большинство J2ME-троянцев представляют собой JAR-архивы, содержащие несколько class-файлов
Кроме того, для распространения вредоносных программ применяется стандартная тактика рассылки SMS-спама со скрытой ссылкой на бесплатную загрузку интересного юзеру контента — мобильной версии популярной игры, эротического видео, удобной офисной утилиты. После того как пользователь установит инфицированную программу на свой смартфон или коммуникатор, от него, по большому счету, уже ничего не зависит — вирус перехватит управление мобильным устройством и примется за свое грязное дело.
ГЛАВНОЕ, ЧТОБЫ ОН БЫЛ БЕЗОПАСНЫМ
Таким образом, только закрытость архитектуры мобильных устройств временно спасает пользователей от внимания «вирусописателей» — выдохнуть пока могут владельцы легальных iPhone и BlackBerry, а также смартфонов на базе Android: для этих платформ даже потенциальная возможность вредоносной атаки очень невелика. Дело в том, что программное обеспечение, распространяемое через официальные магазины приложений, проходит антивирусную проверку. Опасность может грозить только тем пользователям, которые взламывают свои «железки» и устанавливают на них приложения из неофициальных источников.
А вот если у вас в кармане болтается телефон или смартфон под управлением Symbian и Windows Mobile, повод для беспокойства есть — существует реальная опасность заражения. Стало быть, самое время предохраняться.
По мнению некоторых аналитиков, антивирусное решение для смартфонов может быть в большей степени ориентировано на CAB-файлы
Не зря в детском мультике пелось: «Не пойте и не прыгайте, не стойте, не пляшите там, где идет строительство или подвешен груз». Золотое правило! Применительно к мобильным вирусам его можно переформулировать так: не заходите на общедоступные файлообменные WAP-порталы и не загружайте оттуда приложения сомнительного происхождения. Ведь абсолютное большинство троянских программ маскируются либо под программы, которые могут отправлять бесплатные SMS-сообщения или «гнать» бесплатный интернет-трафик, либо под контент эротического или порнографического характера.
Правила правилами, но нужно и об антивирусе подумать. А вот тут эксперты пока не пришли к консенсусу.
Часть из них считает, что пока нет особенного смысла в приобретении антивирусных пакетов для мобильных устройств («Касперский Mobile», BitDefender Mobile Security, F-Secure Mobile Anti-Virus, Norton Smartphone Security, Handy Safe для Windows Mobile Pocket PC, Trend Micro Mobile Security). Ресурсов сегодняшних смартфонов или коммуникаторов для полноценной фильтрации входящего трафика, детектирования и блокирования вредоносного кода (в частности, встроенного в MMS-сообщения) никак не хватит. А вот у интернет-провайдеров, которые предоставляют пользователям доступ в Сеть, ресурсов предостаточно. По мнению специалистов, именно на стороне провайдера (а никак не на конечном пользовательском устройстве) должна быть установлена многоуровневая система очистки почтового и веб-трафика от вредоносного программного обеспечения и нежелательной корреспонденции.
Другая часть экспертов считает, что по мере увеличения числа вирусов пользователям все же придется раскошелиться на антивирусные программы для мобильных устройств. Но только в том случае, когда подобные продукты станут «комплексным обедом» и будут включать в себя сетевой экран, систему предотвращения вторжений, контроль функций устройства и антиспам (применительно к SMS). Стандартными методами с «мобильными» угрозами, которые с каждым годом становятся все изощреннее и используют новые механизмы проникновения и заражения, справиться практически невозможно. Кроме всего прочего, «порядочный» мобильный антивирус должен работать очень быстро, потреблять минимум ресурсов оперативной памяти, а главное — не расходовать заряд батареи.
В среднем создание вирусов для смартфонов и коммуникаторов стоит гораздо дороже, чем разработка вредоносных программ для компьютеров: программисту надо отлично знать архитектуру и особенности ОС Symbian, Windows Mobile или Android. Поэтому «любительских» вирусов, особенно созданных с помощью свободно распространяемых компиляторов, почти не осталось. Оно и понятно: дешевые поделки, которые перезаписывают системные приложения поврежденными копиями, отключают автоматический запуск некоторых антивирусов, подменяют системные файлы шрифтов на неработоспособные, по большому счету не особенно докучают пользователям и, самое главное, не влияют на их финансовое благополучие. В отличие от вирусов-пиратов, ворующих деньги или личные данные. Настоящая битва с ними еще только предстоит.