Kaspersky Security Bulletin 2006: Mobilne szkodliwe oprogramowanie

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab

  1. Ewolucja szkodliwego oprogramowania
  2. Szkodliwe programy dla system贸w uniksowych
  3. Mobilne szkodliwe oprogramowanie
  4. Ataki internetowe
  5. Spam w 2006 roku

2006: Przegl膮d

W 2006 roku mia艂o miejsce kilka istotnych zdarze艅 dotycz膮cych mobilnych szkodliwych program贸w. Zdarzenia te wyznacz膮 trendy w ewolucji tego typu program贸w w kolejnych kilku latach.

  1. Stworzono komercyjne trojany dla systemu Symbian.
  2. Szkodliwi u偶ytkownicy zacz臋li kra艣膰 pieni膮dze z kont u偶ytkownik贸w urz膮dze艅 mobilnych.
  3. Pojawi艂y si臋 szkodliwe programy dla standardowych telefon贸w kom贸rkowych (tj. telefon贸w nie b臋d膮cych smartfonami).

Statystyki dla 2006 roku

W 2005 roku analitycy z firmy Kaspersky Lab prognozowali, 偶e w przysz艂o艣ci nast膮pi sta艂y nap艂yw szkodliwych program贸w podobnych do tych, kt贸re ju偶 znamy. Rzadko natomiast b臋d膮 pojawia艂y si臋 programy innowacyjne pod wzgl臋dem technicznym. Dodatkowym bod藕cem dla tw贸rc贸w wirus贸w b臋d膮 korzy艣ci finansowe, jakie szkodliwi u偶ytkownicy b臋d膮 mogli uzyska膰 w wyniku rozpowszechnienia si臋 wykorzystywania telefon贸w kom贸rkowych w celu dokonywania p艂atno艣ci elektronicznych. Przewidywano jednak, 偶e globalna epidemia mobilnych szkodliwych program贸w nie b臋dzie stanowi膰 rzeczywistego zagro偶enia jeszcze przez kilka lat.

Przed 2006 rokiem statystyki dotycz膮ce mobilnego szkodliwego oprogramowania (zgodnie z klasyfikacj膮 Kaspersky Lab) wygl膮da艂y nast臋puj膮co:

  • Znana liczba rodzin mobilnych wirus贸w: 22
  • Znana liczba wariant贸w i modyfikacji w tych rodzinach: 106
  • Znana liczba platform/system贸w operacyjnych: 2 (Symbian oraz WinCE)

Na pocz膮tku 2006 roku nast膮pi艂 znaczny wzrost liczby szkodliwych program贸w dla urz膮dze艅 mobilnych. Tylko od lutego do kwietnia pojawi艂y si臋 43 warianty r贸偶nych wirus贸w mobilnych. W okresie swojej najwi臋kszej aktywno艣ci tw贸rcy wirus贸w wypuszczali prawie dziesi臋膰 nowych wariant贸w tygodniowo. Co ciekawe, najbardziej p艂odni okazali si臋 hakerzy z Azji. Og贸lnie, ich programy wyr贸偶nia艂y si臋 pod wzgl臋dem atakowanych platform oraz wkroczeniem na stosunkowo ma艂o znane pole technologii mobilnych.

Wydawa艂o si臋, 偶e tak szybkie tempo ewolucji utrzyma si臋 przez jaki艣 czas, stwarzaj膮c niebezpiecze艅stwo, 偶e mobilne wirusy b臋d膮 powstawa膰 masowo, a ich liczba zbli偶y si臋 do ilo艣ci niekt贸rych wirus贸w komputerowych. Jednak w drugiej po艂owie 2006 roku niemal nie pojawi艂y si臋 偶adne nowe pr贸bki zar贸wno znanych, jak i nowych rodzin.

Spadkowy trend utrzymywa艂 si臋 do ko艅ca 2006 roku. W ka偶dym miesi膮cu pojawia艂o si臋 od dw贸ch do siedmiu nowych wariant贸w starych szkodliwych program贸w. Jednocze艣nie powa偶ne zmniejszy艂a si臋 liczba aktywnych tw贸rc贸w wirus贸w mobilnych. Obecnie wi臋kszo艣膰 nowych mobilnych szkodliwych program贸w wychodzi "spod r臋ki" jednej albo dw贸ch os贸b. To wyja艣nia, dlaczego nowe warianty zasadniczo nie zawieraj膮 innowacji technicznych, w rezultacie zaliczane s膮 do trojan贸w prymitywnych.


Wzrost liczby wariant贸w mobilnych wirus贸w w 2006 r.

Poni偶ej: dane statystyczne dotycz膮ce mobilnych szkodliwych program贸w pod koniec 2006 r.:

  • Znana liczba rodzin mobilnych wirus贸w: 35 (+13), wzrost o 37%
  • Znana liczba wariant贸w i modyfikacji: 186 (+80), wzrost o 45%
  • Znane platformy/ systemy operacyjne: 4 (+2, J2ME oraz MSIL)

Nowe technologie

Kradzie偶 danych

Nasta艂a era komercyjnych trojan贸w i program贸w spyware dla Symbiana. Pierwszy w pe艂ni funkcjonalny program spyware zosta艂 wykryty w kwietniu. Jego tw贸rcy sprzedawali go na swojej stronie internetowej za 50 dolar贸w. Po zainstalowaniu Flexispy przejmowa艂 pe艂n膮 kontrol臋 nad smartfonem i wysy艂a艂 cyberprzest臋pcom informacje o wykonywanych rozmowach telefonicznych i wysy艂anych SMS-ach. We wrze艣niu 2006 roku na scenie pojawi艂 si臋 drugi, podobny program dla Symbiana: Acallno. Program ten przechwytywa艂 wszystkie wiadomo艣ci tekstowe wysy艂ane i otrzymywane na zainfekowanym telefonie i przesy艂a艂 je pod wyznaczony numer.

Kradzie偶 finansowa

Tw贸rcy wirus贸w zademonstrowali tylko jeden z wielu sposob贸w okradania z pieni臋dzy u偶ytkownik贸w telefon贸w kom贸rkowych. Technologi臋 t臋 opracowali jako pierwsi nieznani rosyjscy hakerzy; w lutym i we wrze艣niu wykorzystali funkcj臋 numer贸w o podwy偶szonej op艂acie w celu kradzie偶y pieni臋dzy. W lutym rozprzestrzenili trojana RedBrowser ukrywaj膮cego si臋 pod postaci膮 narz臋dzia, kt贸re mo偶na wykorzysta膰 do uzyskania dost臋pu do Internetu za po艣rednictwem SMS-a. W rzeczywisto艣ci program ten wysy艂a艂 SMS na numery o podwy偶szonej op艂acie. W rezultacie, ka偶dy SMS kosztowa艂 abonenta 5 dolar贸w. We wrze艣niu 2006 roku pojawi艂 si臋 Wesber - trojan o podobnej funkcjonalno艣ci.

W jaki spos贸b rozprzestrzeniaj膮 si臋 mobilne wirusy

Wcze艣niej wirusy mobilne r贸偶ni艂y si臋 od komputerowych wykorzystywaniem specyficznych sposob贸w rozprzestrzeniania si臋 - poprzez Bluetooth lub MMS. Jednak funkcjonalno艣膰 zintegrowanej z WinCE platformy programistycznej .NET pozwoli艂a tw贸rcom wirus贸w na wykorzystywanie innego, bardziej tradycyjnego wektora infekcji: poczty elektronicznej. Robak Letum zachowuje si臋 dok艂adnie tak samo jak tysi膮ce typowych robak贸w pocztowych dla komputer贸w PC. Jak tylko przedostanie si臋 do telefonu, wysy艂a swoje kopie na wszystkie adresy e-mail znajduj膮ce si臋 na li艣cie kontakt贸w zainfekowanego telefonu. Ponadto, robaka Letum mo偶na zaklasyfikowa膰 jako wirusa wieloplatformowego, poniewa偶 szkodnik ten mo偶e dzia艂a膰 na komputerach z platform膮 programistyczn膮 .NET.

Wirusy wieloplatformowe

Wirus Cxover jest pierwszym wieloplatformowym z艂o艣liwym programem dla telefon贸w kom贸rkowych. Po uruchomieniu wirus ten sprawdza, kt贸ry system operacyjny jest zainstalowany, a po uruchomieniu na komputerze PC szuka dost臋pu do urz膮dze艅 przeno艣nych poprzez ActiveSync. Nast臋pnie szkodnik kopiuje si臋 do urz膮dzenia mobilnego przy u偶yciu ActiveSync. Jak tylko znajdzie si臋 w telefonie (lub urz膮dzeniu PDA), wirus pr贸buje wykona膰 odwrotn膮 procedur臋, tj. kopiuje si臋 na komputer PC. Mo偶e r贸wnie偶 usuwa膰 pliki u偶ytkownika w urz膮dzeniu mobilnym.

Robak Mobler dzia艂a w troch臋 inny spos贸b. Po uruchomieniu na komputerze PC robak tworzy na dysku E: plik SIS. Plik ten zawiera kilka pustych plik贸w, kt贸re s膮 wykorzystywane do nadpisywania wielu aplikacji systemowych w telefonie. Plik zawiera r贸wnie偶 samego robaka, kt贸ry kopiuje si臋 nast臋pnie do karty pami臋ci telefonu i dodaje plik o nazwie autorun.inf.

Gdy u偶ytkownik pod艂膮czy telefon zainfekowany Moblerem do komputera i b臋dzie pr贸bowa艂 uzyska膰 dost臋p do karty pami臋ci telefonu, robak automatycznie uruchomi si臋 i zainfekuje komputer. Mobler jest typowym przyk艂adem wirusa wieloplatformowego, kt贸ry mo偶e dzia艂a膰 na ca艂kowicie r贸偶nych systemach operacyjnych jak Windows i Symbian.

Nowe platformy

Przed 2006 rokiem dwiema najcz臋艣ciej atakowanymi platformami mobilnymi by艂 Symbian i WinCE, kt贸re stanowi膮 r贸wnie偶 g艂贸wne platformy smartfon贸w. Niemi艂ym zaskoczeniem by艂o pojawienie si臋 w lutym 2006 r. trojana RedBrowser. Po raz pierwszy zosta艂y zainfekowane standardowe telefony kom贸rkowe (nie smartfony). RedBrowser atakowa艂 telefony, kt贸re do dzia艂ania niekt贸rych aplikacji wykorzystywa艂y platform臋 J2ME.

Chocia偶 do niedawna wydawa艂o si臋 to nierealne, mo偶liwo艣膰 zainfekowania niemal ka偶dego rodzaju telefonu kom贸rkowego sta艂a si臋 rzeczywisto艣ci膮. Pojawienie si臋 trojana dla platformy J2ME jest r贸wnie niepokoj膮ce co pojawienie si臋 pierwszego robaka dla smartfon贸w w czerwcu 2004 roku. Nadal trudno jest oceni膰 potencjalne zagro偶enia. Faktem jest jednak, 偶e liczba standardowych telefon贸w kom贸rkowych nadal przewy偶sza liczb臋 smartfon贸w, a szkodliwi u偶ytkownicy opracowali ju偶 spos贸b zainfekowania standardowego telefonu i wykorzystania go do cel贸w przest臋pczych. To oznacza, 偶e ochrona antywirusowa takich urz膮dze艅 staje si臋 istotnym zagadnieniem.

Wiosn膮 wykryto pierwszego backdoora typu "proof of concept" dla urz膮dze艅 BlackBerry. Jednak szkodnik ten zosta艂 napisany w j臋zyku Java i dlatego nie mo偶na go zaklasyfikowa膰 jako z艂o艣liwego kodu dla nowej platformy.

Spo艣r贸d trzynastu nowych rodzin mobilnych szkodliwych program贸w wykrytych przez firm臋 Kaspersky Lab w 2006 roku siedem zawiera艂o innowacje techniczne, z kt贸rych dwa zosta艂y stworzone dla nowych platform.

Innowacja Rodzina Miesi膮c System operacyjny Funkcjonalno艣膰
+ Trojan-SMS.J2ME.RedBrowser luty 2006 J2ME Wysy艂anie wiadomo艣ci SMS
+ Worm.MSIL.Cxover marzec 2006 Windows Mobile / .NET Usuwanie plik贸w, kopiowanie si臋 do innych urz膮dze艅
- Worm.SymbOS.StealWar marzec 2006 Symbian Kradzie偶 danych, rozprzestrzenianie poprzez BlueTooth oraz MMS-y
+ Email-Worm.MSIL.Letum marzec 2006 Windows Mobile / .NET Rozprzestrzenianie poprzez poczt臋 elektroniczn膮
+ Trojan-Spy.SymbOS.Flexispy kwiecie艅 2006 Symbian Kradzie偶 danych
- Trojan.SymbOS.Rommwar kwiecie艅 2006 Symbian Podmienianie aplikacji systemowych
- Trojan.SymbOS.Arifat kwiecie艅 2006 Symbian
- Trojan.SymbOS.Romride czerwiec 2006 Symbian Podmienianie aplikacji systemowych
+ Worm.SymbOS.Mobler.a sierpie艅 2006 Symbian Usuwanie plik贸w antywirusowych, podmienianie aplikacji systemowych, rozprzestrzenianie poprzez karty pami臋ci
+ Trojan-SMS.J2ME.Wesber wrzesie艅 2006 J2ME Wysy艂anie wiadomo艣ci SMS
+ Trojan-Spy.SymbOS.Acallno wrzesie艅 2006 Symbian Kradzie偶 danych
- Trojan.SymboS.Flerprox pa藕dziernik 2006 Symbian Podmienianie systemowych plik贸w rozruchowych
- not-a-virus:Tool.SymbOS.Hidmenu pa藕dziernik 2006 Symbian Aplikacja
Mobilne szkodliwe oprogramowanie: nowe rodziny w 2006 r.


Wzrost liczby rodzin szkodliwych mobilnych program贸w w 2006 r.

Obecna sytuacja

G艂贸wnymi zagro偶eniami dla mobilnych u偶ytkownik贸w s膮 obecnie robaki Cabir i ComWar, kt贸re zosta艂y ju偶 wykryte w oko艂o 30 krajach na ca艂ym 艣wiecie. Ich celem nie jest kradzie偶 pieni臋dzy i nie powoduj膮 bezpo艣rednich strat finansowych (mimo 偶e ComWar rozprzestrzenia si臋 poprzez wiadomo艣ci MMS, za kt贸re obci膮偶any jest u偶ytkownik). Ich autorzy nie znale藕li jeszcze sposobu na czerpanie bezpo艣rednich korzy艣ci ze swoich twor贸w. Trojany wysy艂aj膮ce wiadomo艣ci tekstowe na numery o podwy偶szonej op艂acie to tak naprawd臋 dopiero pierwsze pr贸by. Wi臋kszo艣膰 cyberprzest臋pc贸w nie jest zainteresowanych danymi przechowywanymi w telefonach przeno艣nych i przynajmniej na razie wci膮偶 艂atwiej jest ukra艣膰 dane z komputera PC ni偶 z telefonu kom贸rkowego.

W przypadku mobilnych wirus贸w mamy obecnie do czynienia z cisz膮 przed burz膮. Na ataki nara偶one s膮 wszystkie popularne platformy mobilne. Zakres zachowa艅 i funkcji znanych robak贸w, trojan贸w i wirus贸w osi膮gn膮艂 ju偶 poziom zbli偶ony do wirus贸w komputerowych.

Obecnie autorzy wirus贸w mobilnych tworz膮 niewielk膮 liczb臋 prostych trojan贸w. Jak zauwa偶ono wcze艣niej, aktywnych na tym polu jest kilkoro dzieciak贸w skryptowych, co mo偶e wywo艂a膰 kolejn膮 fal臋 nowych wariant贸w znanych ju偶 rodzin (podobn膮 do tej, jakiej byli艣my 艣wiadkami w grudniu 2005 r. i wiosn膮 2006 r.). Jednak ewolucja mobilnych szkodliwych program贸w b臋dzie nadal zale偶a艂a od liczby smartfon贸w na rynku oraz mo偶liwo艣ci nielegalnego uzyskania korzy艣ci z wykorzystaniem zainfekowanych telefon贸w kom贸rkowych.

Prognozy

Co przyniesie 2007 rok? Zagro偶enia dla mobilnych u偶ytkownik贸w prawdopodobnie nie zwi臋ksz膮 si臋 w znacznym stopniu. Pod wzgl臋dem ewolucji mobilne wirusy nadal znajduj膮 si臋 na wst臋pnym etapie "linii monta偶owej" i prawdopodobnie nie zmieni si臋 to przez kilka nast臋pnych lat.

Zagro偶enia dla mobilnych u偶ytkownik贸w b臋d膮 prawdopodobnie ros艂y proporcjonalnie do popularno艣ci smartfon贸w. Na pewno liczba tych urz膮dze艅 zwi臋kszy si臋 z czasem do setek milion贸w na ca艂ym 艣wiecie. Dodawanie kolejnych nowych funkcji spowoduje, 偶e wi臋cej os贸b b臋dzie u偶ywa艂o smartfony w taki sam spos贸b jak korzysta obecnie z komputer贸w osobistych. Nieuchronnie przyci膮gnie to uwag臋 cyberprzest臋pc贸w i spowoduje wzrost liczby trojan贸w dla telefon贸w kom贸rkowych.

殴r贸d艂o:
Kaspersky Lab