Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2006: Mobilne szkodliwe oprogramowanie

Tagi:

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

  1. Ewolucja szkodliwego oprogramowania
  2. Szkodliwe programy dla systemów uniksowych
  3. Mobilne szkodliwe oprogramowanie
  4. Ataki internetowe
  5. Spam w 2006 roku

2006: Przegląd

W 2006 roku miało miejsce kilka istotnych zdarzeń dotyczących mobilnych szkodliwych programów. Zdarzenia te wyznaczą trendy w ewolucji tego typu programów w kolejnych kilku latach.

  1. Stworzono komercyjne trojany dla systemu Symbian.
  2. Szkodliwi użytkownicy zaczęli kraść pieniądze z kont użytkowników urządzeń mobilnych.
  3. Pojawiły się szkodliwe programy dla standardowych telefonów komórkowych (tj. telefonów nie będących smartfonami).

Statystyki dla 2006 roku

W 2005 roku analitycy z firmy Kaspersky Lab prognozowali, że w przyszłości nastąpi stały napływ szkodliwych programów podobnych do tych, które już znamy. Rzadko natomiast będą pojawiały się programy innowacyjne pod względem technicznym. Dodatkowym bodźcem dla twórców wirusów będą korzyści finansowe, jakie szkodliwi użytkownicy będą mogli uzyskać w wyniku rozpowszechnienia się wykorzystywania telefonów komórkowych w celu dokonywania płatności elektronicznych. Przewidywano jednak, że globalna epidemia mobilnych szkodliwych programów nie będzie stanowić rzeczywistego zagrożenia jeszcze przez kilka lat.

Przed 2006 rokiem statystyki dotyczące mobilnego szkodliwego oprogramowania (zgodnie z klasyfikacją Kaspersky Lab) wyglądały następująco:

  • Znana liczba rodzin mobilnych wirusów: 22
  • Znana liczba wariantów i modyfikacji w tych rodzinach: 106
  • Znana liczba platform/systemów operacyjnych: 2 (Symbian oraz WinCE)

Na początku 2006 roku nastąpił znaczny wzrost liczby szkodliwych programów dla urządzeń mobilnych. Tylko od lutego do kwietnia pojawiły się 43 warianty różnych wirusów mobilnych. W okresie swojej największej aktywności twórcy wirusów wypuszczali prawie dziesięć nowych wariantów tygodniowo. Co ciekawe, najbardziej płodni okazali się hakerzy z Azji. Ogólnie, ich programy wyróżniały się pod względem atakowanych platform oraz wkroczeniem na stosunkowo mało znane pole technologii mobilnych.

Wydawało się, że tak szybkie tempo ewolucji utrzyma się przez jakiś czas, stwarzając niebezpieczeństwo, że mobilne wirusy będą powstawać masowo, a ich liczba zbliży się do ilości niektórych wirusów komputerowych. Jednak w drugiej połowie 2006 roku niemal nie pojawiły się żadne nowe próbki zarówno znanych, jak i nowych rodzin.

Spadkowy trend utrzymywał się do końca 2006 roku. W każdym miesiącu pojawiało się od dwóch do siedmiu nowych wariantów starych szkodliwych programów. Jednocześnie poważne zmniejszyła się liczba aktywnych twórców wirusów mobilnych. Obecnie większość nowych mobilnych szkodliwych programów wychodzi "spod ręki" jednej albo dwóch osób. To wyjaśnia, dlaczego nowe warianty zasadniczo nie zawierają innowacji technicznych, w rezultacie zaliczane są do trojanów prymitywnych.


Wzrost liczby wariantów mobilnych wirusów w 2006 r.

Poniżej: dane statystyczne dotyczące mobilnych szkodliwych programów pod koniec 2006 r.:

  • Znana liczba rodzin mobilnych wirusów: 35 (+13), wzrost o 37%
  • Znana liczba wariantów i modyfikacji: 186 (+80), wzrost o 45%
  • Znane platformy/ systemy operacyjne: 4 (+2, J2ME oraz MSIL)

Nowe technologie

Kradzież danych

Nastała era komercyjnych trojanów i programów spyware dla Symbiana. Pierwszy w pełni funkcjonalny program spyware został wykryty w kwietniu. Jego twórcy sprzedawali go na swojej stronie internetowej za 50 dolarów. Po zainstalowaniu Flexispy przejmował pełną kontrolę nad smartfonem i wysyłał cyberprzestępcom informacje o wykonywanych rozmowach telefonicznych i wysyłanych SMS-ach. We wrześniu 2006 roku na scenie pojawił się drugi, podobny program dla Symbiana: Acallno. Program ten przechwytywał wszystkie wiadomości tekstowe wysyłane i otrzymywane na zainfekowanym telefonie i przesyłał je pod wyznaczony numer.

Kradzież finansowa

Twórcy wirusów zademonstrowali tylko jeden z wielu sposobów okradania z pieniędzy użytkowników telefonów komórkowych. Technologię tę opracowali jako pierwsi nieznani rosyjscy hakerzy; w lutym i we wrześniu wykorzystali funkcję numerów o podwyższonej opłacie w celu kradzieży pieniędzy. W lutym rozprzestrzenili trojana RedBrowser ukrywającego się pod postacią narzędzia, które można wykorzystać do uzyskania dostępu do Internetu za pośrednictwem SMS-a. W rzeczywistości program ten wysyłał SMS na numery o podwyższonej opłacie. W rezultacie, każdy SMS kosztował abonenta 5 dolarów. We wrześniu 2006 roku pojawił się Wesber - trojan o podobnej funkcjonalności.

W jaki sposób rozprzestrzeniają się mobilne wirusy

Wcześniej wirusy mobilne różniły się od komputerowych wykorzystywaniem specyficznych sposobów rozprzestrzeniania się - poprzez Bluetooth lub MMS. Jednak funkcjonalność zintegrowanej z WinCE platformy programistycznej .NET pozwoliła twórcom wirusów na wykorzystywanie innego, bardziej tradycyjnego wektora infekcji: poczty elektronicznej. Robak Letum zachowuje się dokładnie tak samo jak tysiące typowych robaków pocztowych dla komputerów PC. Jak tylko przedostanie się do telefonu, wysyła swoje kopie na wszystkie adresy e-mail znajdujące się na liście kontaktów zainfekowanego telefonu. Ponadto, robaka Letum można zaklasyfikować jako wirusa wieloplatformowego, ponieważ szkodnik ten może działać na komputerach z platformą programistyczną .NET.

Wirusy wieloplatformowe

Wirus Cxover jest pierwszym wieloplatformowym złośliwym programem dla telefonów komórkowych. Po uruchomieniu wirus ten sprawdza, który system operacyjny jest zainstalowany, a po uruchomieniu na komputerze PC szuka dostępu do urządzeń przenośnych poprzez ActiveSync. Następnie szkodnik kopiuje się do urządzenia mobilnego przy użyciu ActiveSync. Jak tylko znajdzie się w telefonie (lub urządzeniu PDA), wirus próbuje wykonać odwrotną procedurę, tj. kopiuje się na komputer PC. Może również usuwać pliki użytkownika w urządzeniu mobilnym.

Robak Mobler działa w trochę inny sposób. Po uruchomieniu na komputerze PC robak tworzy na dysku E: plik SIS. Plik ten zawiera kilka pustych plików, które są wykorzystywane do nadpisywania wielu aplikacji systemowych w telefonie. Plik zawiera również samego robaka, który kopiuje się następnie do karty pamięci telefonu i dodaje plik o nazwie autorun.inf.

Gdy użytkownik podłączy telefon zainfekowany Moblerem do komputera i będzie próbował uzyskać dostęp do karty pamięci telefonu, robak automatycznie uruchomi się i zainfekuje komputer. Mobler jest typowym przykładem wirusa wieloplatformowego, który może działać na całkowicie różnych systemach operacyjnych jak Windows i Symbian.

Nowe platformy

Przed 2006 rokiem dwiema najczęściej atakowanymi platformami mobilnymi był Symbian i WinCE, które stanowią również główne platformy smartfonów. Niemiłym zaskoczeniem było pojawienie się w lutym 2006 r. trojana RedBrowser. Po raz pierwszy zostały zainfekowane standardowe telefony komórkowe (nie smartfony). RedBrowser atakował telefony, które do działania niektórych aplikacji wykorzystywały platformę J2ME.

Chociaż do niedawna wydawało się to nierealne, możliwość zainfekowania niemal każdego rodzaju telefonu komórkowego stała się rzeczywistością. Pojawienie się trojana dla platformy J2ME jest równie niepokojące co pojawienie się pierwszego robaka dla smartfonów w czerwcu 2004 roku. Nadal trudno jest ocenić potencjalne zagrożenia. Faktem jest jednak, że liczba standardowych telefonów komórkowych nadal przewyższa liczbę smartfonów, a szkodliwi użytkownicy opracowali już sposób zainfekowania standardowego telefonu i wykorzystania go do celów przestępczych. To oznacza, że ochrona antywirusowa takich urządzeń staje się istotnym zagadnieniem.

Wiosną wykryto pierwszego backdoora typu "proof of concept" dla urządzeń BlackBerry. Jednak szkodnik ten został napisany w języku Java i dlatego nie można go zaklasyfikować jako złośliwego kodu dla nowej platformy.

Spośród trzynastu nowych rodzin mobilnych szkodliwych programów wykrytych przez firmę Kaspersky Lab w 2006 roku siedem zawierało innowacje techniczne, z których dwa zostały stworzone dla nowych platform.

Innowacja Rodzina Miesiąc System operacyjny Funkcjonalność
+ Trojan-SMS.J2ME.RedBrowser luty 2006 J2ME Wysyłanie wiadomości SMS
+ Worm.MSIL.Cxover marzec 2006 Windows Mobile / .NET Usuwanie plików, kopiowanie się do innych urządzeń
- Worm.SymbOS.StealWar marzec 2006 Symbian Kradzież danych, rozprzestrzenianie poprzez BlueTooth oraz MMS-y
+ Email-Worm.MSIL.Letum marzec 2006 Windows Mobile / .NET Rozprzestrzenianie poprzez pocztę elektroniczną
+ Trojan-Spy.SymbOS.Flexispy kwiecień 2006 Symbian Kradzież danych
- Trojan.SymbOS.Rommwar kwiecień 2006 Symbian Podmienianie aplikacji systemowych
- Trojan.SymbOS.Arifat kwiecień 2006 Symbian
- Trojan.SymbOS.Romride czerwiec 2006 Symbian Podmienianie aplikacji systemowych
+ Worm.SymbOS.Mobler.a sierpień 2006 Symbian Usuwanie plików antywirusowych, podmienianie aplikacji systemowych, rozprzestrzenianie poprzez karty pamięci
+ Trojan-SMS.J2ME.Wesber wrzesień 2006 J2ME Wysyłanie wiadomości SMS
+ Trojan-Spy.SymbOS.Acallno wrzesień 2006 Symbian Kradzież danych
- Trojan.SymboS.Flerprox październik 2006 Symbian Podmienianie systemowych plików rozruchowych
- not-a-virus:Tool.SymbOS.Hidmenu październik 2006 Symbian Aplikacja
Mobilne szkodliwe oprogramowanie: nowe rodziny w 2006 r.


Wzrost liczby rodzin szkodliwych mobilnych programów w 2006 r.

Obecna sytuacja

Głównymi zagrożeniami dla mobilnych użytkowników są obecnie robaki Cabir i ComWar, które zostały już wykryte w około 30 krajach na całym świecie. Ich celem nie jest kradzież pieniędzy i nie powodują bezpośrednich strat finansowych (mimo że ComWar rozprzestrzenia się poprzez wiadomości MMS, za które obciążany jest użytkownik). Ich autorzy nie znaleźli jeszcze sposobu na czerpanie bezpośrednich korzyści ze swoich tworów. Trojany wysyłające wiadomości tekstowe na numery o podwyższonej opłacie to tak naprawdę dopiero pierwsze próby. Większość cyberprzestępców nie jest zainteresowanych danymi przechowywanymi w telefonach przenośnych i przynajmniej na razie wciąż łatwiej jest ukraść dane z komputera PC niż z telefonu komórkowego.

W przypadku mobilnych wirusów mamy obecnie do czynienia z ciszą przed burzą. Na ataki narażone są wszystkie popularne platformy mobilne. Zakres zachowań i funkcji znanych robaków, trojanów i wirusów osiągnął już poziom zbliżony do wirusów komputerowych.

Obecnie autorzy wirusów mobilnych tworzą niewielką liczbę prostych trojanów. Jak zauważono wcześniej, aktywnych na tym polu jest kilkoro dzieciaków skryptowych, co może wywołać kolejną falę nowych wariantów znanych już rodzin (podobną do tej, jakiej byliśmy świadkami w grudniu 2005 r. i wiosną 2006 r.). Jednak ewolucja mobilnych szkodliwych programów będzie nadal zależała od liczby smartfonów na rynku oraz możliwości nielegalnego uzyskania korzyści z wykorzystaniem zainfekowanych telefonów komórkowych.

Prognozy

Co przyniesie 2007 rok? Zagrożenia dla mobilnych użytkowników prawdopodobnie nie zwiększą się w znacznym stopniu. Pod względem ewolucji mobilne wirusy nadal znajdują się na wstępnym etapie "linii montażowej" i prawdopodobnie nie zmieni się to przez kilka następnych lat.

Zagrożenia dla mobilnych użytkowników będą prawdopodobnie rosły proporcjonalnie do popularności smartfonów. Na pewno liczba tych urządzeń zwiększy się z czasem do setek milionów na całym świecie. Dodawanie kolejnych nowych funkcji spowoduje, że więcej osób będzie używało smartfony w taki sam sposób jak korzysta obecnie z komputerów osobistych. Nieuchronnie przyciągnie to uwagę cyberprzestępców i spowoduje wzrost liczby trojanów dla telefonów komórkowych.

Źródło:
Kaspersky Lab