Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe programy dla urządzeń przenośnych


  • Alexander Gostev
    Starszy analityk wirusów, Kaspersky Lab
  • Alisa Shevchenko
    Analityk wirusów, Kaspersky Lab
  1. Ewolucja złośliwego oprogramowania
  2. Złośliwe programy dla platform innych niż Win32
  3. Ataki internetowe
  4. Złośliwe programy dla urządzeń przenośnych
  5. Raport o spamie

Nowa dynamika mobilnych złośliwych programów

Na początku 2006 roku twórcy złośliwego kodu dla urządzeń przenośnych wykazali wzmożoną aktywność, wypuszczając szereg nowych złośliwych programów dla telefonów komórkowych. Programy te wyróżniały się różnorodnością atakowanych platform oraz kierunkiem ekspansji. Do lutego/marca liczba złośliwych programów dla urządzeń przenośnych rosła średnio o 5 - 7 nowych szkodników na tydzień, niekiedy o 10. Na początku roku istniało około 150 próbek wszystkich znanych wirusów dla Symbiana, a do lata ich liczba wzrosła do prawie 300. Trend ten zauważyły niemal wszystkie firmy antywirusowe w swoich raportach; jednak określenie dokładnej liczby złośliwych programów dla Symbiana było trudne ze względu na fakt, że różne rozwiązania antywirusowe wykrywały ten sam program w różny sposób.

W drugim kwartale 2005 roku nastąpiło zahamowanie wzrostu liczby nowych próbek. Odnosi się to zarówno do znanych rodzin, jak i do nowych złośliwych programów.


Twórcy wirusów nadal pracowali nad rozwijaniem swojej wiedzy i umiejętności. W szczególności skoncentrowali się nad zwalczaniem programów antywirusowych i badaniu możliwości infekowania komputerów PC poprzez telefony komórkowe. W tym ostatnim przypadku odnieśli sukces - trojan Cardtrap instaluje do karty pamięci telefonu szereg różnych trojanów dla komputerów PC.

Jeśli chodzi o znane wirusy, w ciągu ostatnich sześciu miesięcy Comwar (robak rozprzestrzeniający się za pośrednictwem MMS) stał się najbardziej rozpowszechnionym złośliwym programem w ruchu MMS. Natomiast Cabir wykazywał wolniejsze tempo infekcji: w zimie otrzymywaliśmy regularne raporty o infekcjach robakiem Cabir, w lipcu natomiast nie pojawiły się żadne.

Rozwój w pierwszej połowie 2006

Złośliwe programy dla Symbiana

Złośliwe programy dla Symbiana osiągnęły stadium, w którym ich tworzenie motywowane jest korzyściami finansowymi; w kwietniu pojawił się pierwszy Trojan-Spy dla Symbiana. Flexispy został sprzedany przez jego twórcę za 50 dolarów amerykańskich. Trojan obejmował pełną kontrolę nad smartfonami, wysyłał przestępcy informacje o telefonach wykonywanych przez użytkownika i wysyłanych przez niego SMS-ach.

Złośliwe programy dla Windows Mobile

Windows Mobile, obecnie druga pod względem popularności platforma dla smartfonów, również przyciągnęła uwagę twórców złośliwego oprogramowania. W ciągu pierwszej połowy 2006 roku podwoiła się liczba złośliwych programów atakujących Windows Mobile. W rzeczywistości jednak sytuacja nie była tak groźna, ponieważ dla Windows Mobile pojawiły się tylko dwa złośliwe programy – Duts i Brador. Jednak te dwie nowe próbki są wersjami "proof of concept", które mogą wyznaczyć nowe kierunki pracy dla innych twórców złośliwego oprogramowania.

Wieloplatformowe złośliwe oprogramowanie

Wirus Cxover to pierwszy przykład wirusa wieloplatformowego dla urządzeń przenośnych. Szkodnik ten sprawdza najpierw, który system operacyjny działa na zainfekowanych urządzeniu. Po uruchomieniu na komputerze PC Cxover wyszukuje urządzenia przenośne dostępne poprzez ActiveSync. Następnie kopiuje się poprzez ActiveSync na wszystkie dostępne urządzenia. Po przedostaniu się na takie urządzenie, Cxover próbuje skopiować się na dostępne komputery PC. Dodatkowo, usuwa pliki użytkownika na zainfekowanych urządzeniach.

Robak Letum, który został wykryty w kwietniu, wykorzystywał .NET - środowisko programistyczne, które działa zarówno dla komputerów PC, jak i urządzeń przenośnych opartych na systemie Windows. Letum jest typowym robakiem pocztowym, ponieważ rozprzestrzenia się jako zainfekowany załącznik i wysyła własne kopie na wszystkie adresy w lokalnej książce adresowej. Tym samym granica pomiędzy urządzeniami stacjonarnymi a przenośnymi zostaje jeszcze bardziej zaburzona. Obecnie urządzenia takie mogą infekować siebie nawzajem, co w przyszłości może stanowić poważny powód do niepokoju.

Chociaż smartfony nadal stanowią główny obszar zainteresowania cyberprzestępców, celem twórców wirusów stają się również standardowe telefony komórkowe. W pierwszej połowie 2005 roku pojawił się pierwszy złośliwy program dla standardowych telefonów komórkowych, który wykorzystuje platformę J2ME w celu wykonania niektórych aplikacji.

Obalony został kolejny mit: do tej pory większość ludzi uważało, że ataki na standardowe telefony nie są możliwe. W rzeczywistości, Trojan-SMS.J2ME.RedBrowser.a prawdopodobnie istniał już na wolności od pewnego czasu i zdołał zaatakować kilka ofiar. Wkrótce po wykryciu pierwszego wariantu pojawił się kolejny.

Wykrycie trojanów dla J2ME jest wydarzeniem, którego znaczenie można porównywać do odkrycia pierwszego robaka dla smartfonów w czerwcu 2004 roku. Trudno dokładnie oszacować skalę tego zagrożenia; jednak zważywszy na fakt, że liczba standardowych telefonów komórkowych znacznie przewyższa liczbę smartfonów, istnienie złośliwych programów, które skutecznie infekują standardowe telefony nie wróży niczego dobrego. Standardowe telefony będą teraz wymagały ochrony antywirusowej w tym samym stopniu co ich bardziej zaawansowani krewni.

Hybrydyzacja: metoda tworzenia nowych rodzin złośliwego oprogramowania

Poniższa tabela przedstawia pojawienie się nowych rodzin złośliwych programów w pierwszej połowie 2006 roku:

Nazwa Data System operacyjny Funkcja Technologia
Trojan-SMS.J2ME.RedBrowser Luty J2ME Wysyła SMS-y Java, SMS
Worm.MSIL.Cxover Marzec .NET Usuwa pliki,
kopiuje się na inne urządzenia
File (API), NetWork (API)
Worm.SymbOS.StealWar Marzec Symbian Kradnie dane,
rozprzestrzenia się poprzez Bluetooth i MMS
Bluetooth, MMS, File (API)
Email-Worm.MSIL.Letum Marzec .NET Rozprzestrzenia się poprzez pocztę elektroniczną Email, File (API)
Trojan-Spy.SymbOS.Flexispy Kwiecień Symbian Kradnie dane
Trojan.SymbOS.Rommwar Kwiecień Symbian Wyłącza funkcje systemu, zmienia ikonki Luka w systemie operacyjnym
Trojan.SymbOS.Arifat Kwiecień Symbian
Trojan.SymbOS.Romride Czerwiec Symbian Zmienia aplikacje systemowe Luka w systemie operacyjnym


Wzrost liczby znanych rodzin mobilnych złośliwych programów

Hybrydyzacja nadal jest jednym z czynników odgrywających najistotniejszą rolę w tworzeniu złośliwych programów dla urządzeń przenośnych. Dobrym przykładem jest StealWar, który jest zasadniczo połączeniem dwóch wcześniejszych złośliwych programów: jednym z nich jest Pbstealer z grupy Trojan-spy, drugim robak Comwar. Autor StealWar połączył je w jeden moduł, aby stworzyć robaka posiadającego cechy obu jego "rodziców": StealWar rozprzestrzenia się za pośrednictwem MMS i kradnie dane z lokalnej książki adresowej. Wiele wariantów robaków Skuller i SingleJump wykazuje podobne mutacje, ponieważ oba zawierają elementy Cabira. Takie mutacje przyprawiają o nieustanny ból głowy producentów rozwiązań bezpieczeństwa, ponieważ komplikują klasyfikację.

Cisza przed burzą?

Jak wspomniano wcześniej, w drugim kwartale 2006 roku nastąpiło zahamowanie rozwoju nowych próbek; zarówno znanych jak i nowych rodzin złośliwego oprogramowania.

Od momentu ich pojawienia się dwa lata temu rozwój złośliwych programów dla urządzeń przenośnych charakteryzował się równomiernym tempem i był przewidywalny, ponieważ odzwierciedlał ewolucję możliwości smartfonów. Dynamika wzrostu złośliwych programów dla urządzeń przenośnych zauważalnie zmieniała się dopiero kilka miesięcy temu, dlatego trudno jest o jakiekolwiek dokładniejsze prognozy. Mimo to wstępna ocena jest niezbędna.

Twórców złośliwego oprogramowania zwanych czarnymi kapeluszami zawsze można znaleźć w awangardzie nowych zagrożeń. Złośliwe programy dla urządzeń przenośnych są nadal stosunkowo nowym obszarem, którego dalsza eksploracja zależy całkowicie od czarnych kapeluszy. Dlatego zastój w tworzeniu kolejnych złośliwych programów typu "proof of concept" dla urządzeń przenośnych może świadczyć o tym, że czarne kapelusze znalazły sobie inny cel. Celem takim mogą okazać się nowe luki wykryte w aplikacjach pakietu MS Office, które zostały upublicznione pod koniec wiosny i na początku lata.

Specjaliści z dziedziny zwalczania złośliwego oprogramowania od dawna wiedzą, że oprócz czarnych kapeluszy, świat twórców wirusów składa się jeszcze z dwóch innych istotnych grup: profesjonalistów i dzieciaków skryptowych. Ci pierwsi piszą złośliwe programy dla zysku, ci ostatni są maniakami technologicznymi o minimalnych kwalifikacjach, którzy wykorzystują gotowy kod do tworzenia własnych, raczej prymitywnych wersji istniejących złośliwych programów.

Profesjonalni twórcy złośliwego oprogramowania nie wnieśli jeszcze żadnego wkładu do tworzenia mobilnych złośliwych programów. Większość używanych obecnie telefonów komórkowych prezentuje średni poziom zaawansowania technologicznego: od typowych telefonów po smartfony. Jak dotąd urządzania te nie oferowały możliwości stworzenia znaczącego komercyjnego złośliwego oprogramowania. Co więcej, żadne z nich nie posiada wystarczającej pamięci do przechowywania tego rodzaju danych, które zainteresowałyby profesjonalistów. Mimo to, pierwszą oznaką tego, że profesjonaliści zainteresowali się złośliwymi programami dla telefonów przenośnych było pojawienie się trojana Flexispy, który wysyła autorowi raporty o SMS-ach i wykonanych telefonach.

Dzieciaki skryptowe są uzależnione od dwóch pozostałych grup jeżeli chodzi o tworzenie złośliwych programów, dlatego nie są aktywne, być może nawet zmęczyły się już pisaniem prymitywnych trojanów DoS dla Symbiana.

Można powiedzieć, że zastój w tworzeniu złośliwych programów dla urządzeń przenośnych jest przejściowy. Zwiększa się sprzedaż smartfonów, poszerzają się również ich możliwości, dlatego dalsza ekspansja w tej dziedzinie wydaje się nieunikniona. Czas, szczególnie jesień i zima 2006-2007, pokaże, czy zastój ten oznacza ciszę przed burzą.

Trendy

Rozwój złośliwego oprogramowania ma bezpośredni związek z rozpowszechnieniem urządzeń przenośnych na świecie. Gdy liczba smartfonów i podobnych urządzeń dorówna liczbie komputerów PC, złośliwe programy atakujące urządzenia przenośne będą tworzone na podobną skalę.

Z danych IDC wynika, że w ciągu pierwszych miesięcy 2006 roku zakupiono prawie 19 milionów smartfonów, co stanowi ponad 67 procentowy wzrost w stosunku do tego samego okresu w 2005 roku. Trend ten będzie prawdopodobnie kontynuowany w 2006 roku.

Do tej pory sprzedano około 50 milionów smartfonów, z czego 40-50% przez Nokię. Telefony Nokia działają pod kontrolą Symbiana, który jest obecnie najpopularniejszym systemem operacyjnym wśród mobilnych złośliwych programów, w tym robaków Cabir i ComWar. Prawie 100% wszystkich złośliwych programów dla urządzeń przenośnych zaprojektowanych jest do działania na Symbianie. W rezultacie, Symbian będzie stanowił cel cyberprzestępców przez co najmniej kolejne sześć miesięcy.

Przewiduje się, że liczba smartfonów wzrośnie do 100 milionów na początku 2007 roku. Twórcy wirusów z pewnością nie pozostaną obojetni na tak wielką liczbę potencjalnych ofiar.

Podczas InfoSecurity London w kwietniu 2006 roku firma Kaspersky Lab przeprowadziła badanie, w którym określono między innymi rozkład smartfonów, ich producentów i wykorzystywanych przez nie systemów operacyjnych. Pełne wyniki dostępne są w tym miejscu.

Około 23% urządzeń przenośnych z technologią Bluetooth to smartfony. 80% z nich obsługuje funkcję Object Transfer, która jest niezbędna do rozprzestrzeniania się złośliwych programów wykorzystujących Bluetooth, takich jak Cabir, ComWar, PBStealer, Skuller itd. W tym miejscu dotykamy kluczowej kwestii bezpieczeństwa współczesnych urządzeń przenośnych: wykorzystania technologii Bluetooth.

Pozostawienie urządzenia z komunikacją Bluetooth w trybie wykrywalnym naraża urządzenie nie tylko na infekcję złośliwym oprogramowaniem, ale również na atak hakerów wykorzystujących jedną z wielu udokumentowanych luk w samej technologii Bluetooth. Użytkownicy powinni wykorzystywać technologię Bluetooth w trybie niewidocznym. Ponadto, muszą wykazać się ostrożnością w stosunku do przychodzących MMS-ów.

Windows Mobile jest drugim najpopularniejszym po Symbianie systemem operacyjnym wśród złośliwych programów dla urządzeń przenośnych i szybko zyskuje przewagę. Z pewnością znajdzie to odzwierciedlenie w liczbie złośliwych programów dla Symbiana i WinMobile. Co więcej, łatwiej jest zakodować złośliwy program dla WinMobile z powodu jego podobieństwa do zwykłych platform windowsowych jak również ilości dostępnych informacji i narzędzi programistycznych.

Oczywiście, producenci rozwiązań antywirusowych mają się na baczności. Większość z nich opublikowała nowe produkty i wersje beta, które przeznaczone są do ochrony smartfonów lub operatorów przed złośliwymi programami dla urządzeń przenośnych. Wśród nich znajduje się Kaspersky Anti-Virus Mobile beta, wersje beta programów firmy BitDefender oraz ESET, oprogramowanie WinMobile firmy Trend Micro oraz rozwiązania firmy McAfee dla operatorów i ich klientów.

Wraz z rozpowszechnieniem się mobilnych złośliwych programów ochrona antywirusowa urządzeń przenośnych staje się coraz ważniejszym komponentem każdego systemu bezpieczeństwa, którego celem jest wszechstronna i skuteczna ochrona sieci.

Źródło:
Kaspersky Lab
Więcej informacji
Analizy
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ewolucja złośliwego oprogramowania
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe oprogramowanie dla platform innych niż Win32
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ataki internetowe
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Raport o spamie