Ewolucja mobilnego z艂o艣liwego oprogramowania: przegl膮d, cz臋艣膰 2

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab
  1. Ewolucja mobilnego z艂o艣liwego oprogramowania: przegl膮d, cz臋艣膰 1
  2. Ewolucja mobilnego z艂o艣liwego oprogramowania: przegl膮d, cz臋艣膰 2

Epidemie

Spr贸bujmy odpowiedzie膰 na pytanie, jak bardzo rozpowszechnione jest mobilne z艂o艣liwe oprogramowanie we wsp贸艂czesnym 艣wiecie. U偶ytkownicy i dziennikarze cz臋sto narzekaj膮, 偶e firmy antywirusowe wywo艂uj膮 sztuczn膮 histeri臋 w zwi膮zku z zagro偶eniem ze strony wirus贸w. M贸wi si臋, 偶e szanse Cabira na rozprzestrzenianie si臋 s膮 bardzo niewielkie, poniewa偶, aby wirus ten zosta艂 uruchomiony, u偶ytkownik musi potwierdzi膰 zar贸wno przyj臋cie i uruchomienie pliku, jak i instalacj臋 robaka. Natomiast Comwar nie m贸g艂 rozprzestrzenia膰 si臋 na du偶膮 skal臋 ze wzgl臋du na to, 偶e MMS nie jest powszechnie u偶ywany (oko艂o 2% wszystkich u偶ytkownik贸w telefon贸w kom贸rkowych). Je艣li chodzi o niebezpiecze艅stwo infekcji trojanem wandalem, takim jak na przyk艂ad Skuller, wi臋kszo艣膰 ludzi nawet nie chce o tym s艂ysze膰; w ko艅cu aby taki wirus zainfekowa艂 urz膮dzenie, u偶ytkownik musia艂by pobra膰 go z Internetu, skopiowa膰 do telefonu, a nast臋pnie uruchomi膰.

Oczywi艣cie z teoretycznego punktu widzenia, konkluzje te s膮 logiczne i przekonuj膮ce. Jednak 艣wiat z艂o艣liwych program贸w dla komputer贸w i telefon贸w kom贸rkowych, jak r贸wnie偶 ich u偶ytkownicy nieustannie opieraj膮 si臋 prawom logiki. Prawdopodobie艅stwo, 偶e u偶ytkownik otrzyma i uruchomi Cabira jest takie samo jak prawdopodobie艅stwo, 偶e u偶ytkownik przyjmie i uruchomi plik wys艂any e-mailem od nieznanego nadawcy. Mimo to u偶ytkownicy uruchamiaj膮 takie pliki! Dowodem na to s膮 globalne epidemie robak贸w, takich jak Mydoom, NetSky, Sober, kt贸re mia艂y miejsce w ci膮gu ostatnich kilku lat. Firmy antywirusowe nieustannie przestrzegaj膮: "Nie uruchamiaj pliku, kt贸ry przes艂ano ci poczt膮 elektroniczn膮, je艣li wcze艣niej go nie przeskanowa艂e艣". Jednak wygl膮da na to, 偶e przestrogi te nie odnosz膮 prawie 偶adnych skutk贸w - ludzka ciekawo艣膰 i lekcewa偶enie podstawowych zasad bezpiecze艅stwa zawsze bior膮 g贸r臋.

Cabir

Cabir zosta艂 wys艂any firmom antywirusowym w czerwcu 2004 roku. Zaledwie miesi膮c p贸藕niej okaza艂o si臋, 偶e przypadki infekcji Cabirem zosta艂y wcze艣niej wykryte na Filipinach. Tego si臋 nie spodziewano. W tym czasie uwa偶ali艣my, 偶e Cabir by艂 wirusem "zoo", kt贸ry nigdy nie wydostanie si臋 poza kolekcje firm antywirusowych. Okaza艂o si臋 jednak, 偶e Cabira otrzyma艂y nie tylko firmy antywirusowe, ale r贸wnie偶 tw贸rcy wirus贸w. Wirus przedosta艂 si臋 na wolno艣膰 i wyruszy艂 w podr贸偶 dooko艂a 艣wiata.

Od d艂u偶szego czasu wsp贸艂pracujemy z fi艅sk膮 firm膮 F-Secure, kt贸ra jako pierwsza zwr贸ci艂a uwag臋 na problem mobilnego z艂o艣liwego oprogramowania i prowadzi rozleg艂e badania na tym obszarze. Firma ta zacz臋艂a tworzy膰 list臋 kraj贸w, w kt贸rych wykryto Cabira. Po zaledwie roku, do lata 2005 roku lista ta zawiera艂a ponad 20 pa艅stw. Firma Kaspersky Lab r贸wnie偶 gromadzi podobne statystyki - przedstawiona lista zawiera te偶 niekt贸re dane z naszej firmy. Poza tym, otrzymali艣my potwierdzenie przypadk贸w infekcji w wielu r贸偶nych pa艅stwach, kt贸re wci膮偶 znajduj膮 si臋 na tej li艣cie. Dlatego mo偶emy powiedzie膰, 偶e lista ta odzwierciedla rzeczywisto艣膰 i stanowi rzetelne 藕r贸d艂o informacji.

Oko艂o rok temu zacz臋li艣my traci膰 rachub臋 i przestali艣my aktualizowa膰 list臋.

1. Filipiny
2. Singapur
3. Zjednoczone Emiraty Arabskie
4. Chiny
5. Indie
6. Finlandia
7. Wietnam
8. Turcja
9. Rosja
10. Wielka Brytania
11. W艂ochy
12. Stany Zjednoczone
13. Japonia
14. Hong Kong
15. Francja
16. Afryka Po艂udniowa
17. Holandia
18. Egipt
19. Luksemburg
20. Grecja
21. Ukraina
22. Nowa Zelandia
23. Szwajcaria
24. Niemcy
Pa艅stwa, w kt贸rych wykryto Cabira
(wrzesie艅 2005, dane pochodz膮ce z firmy F-Secure i Kaspersky Lab)

Poni偶ej prezentujemy kilka konkretnych przyk艂ad贸w infekcji Cabirem. Rosja znajduje si臋 na 9 miejscu na li艣cie pa艅stw, w kt贸rych wykryto tego robaka. To, 偶e Cabir wyst臋puje w Rosji na wolno艣ci, po raz pierwszy sta艂o si臋 oczywiste w styczniu 2005 roku. Do tego czasu otrzymywali艣my informacje, 偶e robak ten atakuje telefony w moskiewskim metrze. Podobne informacje nap艂ywa艂y z s膮siaduj膮cej z Rosj膮 Ukrainy, gdzie Cabir pojawi艂 si臋 w Kijowie i Charkovie. Nie mogli艣my jednak potwierdzi膰 tych przypadk贸w, poniewa偶 nikt nie zwr贸ci艂 si臋 do nas z zainfekowanym telefonem.

Zmieni艂o si臋 to w styczniu 2005 roku - osoba pracuj膮ca w tym samym budynku, w kt贸rym mie艣ci艂a si臋 firma Kaspersky Lab, skontaktowa艂a si臋 z naszym dzia艂em pomocy technicznej, m贸wi膮c, 偶e kilka dni temu jej telefon zacz膮艂 dziwnie si臋 zachowywa膰. Mia艂o to miejsce po tym, jak w metrze przyj臋艂a plik transmitowany za po艣rednictwem technologii Bluetooth. Po przyjrzeniu si臋 jej telefonowi nasi analitycy wirus贸w zdo艂ali potwierdzi膰, 偶e urz膮dzenie zosta艂o zainfekowane robakiem Cabir.a.

W 2005 roku nadal spotykali艣my si臋 z przypadkami zainfekowanych telefon贸w; tylko w firmie Kaspersky Lab Cabirem zaatakowane zosta艂y telefony ponad 10 pracownik贸w. Otrzymali oni zapytanie, czy chc膮 przyj膮膰 plik o nazwie caribe.sis transmitowany za po艣rednictwem technologii Bluetooth. Ostatnio odnotowali艣my taki przypadek w lutym 2006 roku.

Prawdopodobnie najbardziej znana epidemia lokalna spowodowana przez Cabira mia艂a miejsce w Helsinkach w sierpniu 2005 roku, podczas 10 Mistrzostw 艢wiata w Lekkiej Atletyce. W Helsinkach znajduje si臋 centrala firmy F-Secure. To w艂a艣nie ta firma zacz臋艂a otrzymywa膰 doniesienia o infekcji Cabirem na stadionie, na kt贸rym rozgrywa艂y si臋 mistrzostwa. Bior膮c pod uwag臋 okoliczno艣ci - dziesi膮tki tysi臋cy os贸b z ca艂ego 艣wiata st艂oczone na stosunkowo niewielkiej przestrzeni - wystarczy艂by jeden zainfekowany telefon, aby infekcja rozprzestrzeni艂a si臋 w b艂yskawiczny spos贸b. Podczas gdy na boisku ustanawiano rekordy sportowe, Cabir bi艂 rekordy pod wzgl臋dem szybko艣ci rozprzestrzeniania si臋.

Na szcz臋艣cie, pracownicy F-Secure zadzia艂ali b艂yskawicznie i ustanowili punkt kontaktowy w Centrum Obs艂ugi Klienta, gdzie ka偶dy, kto podejrzewa艂, 偶e jego telefon kom贸rkowy zosta艂 zainfekowany, m贸g艂 odda膰 go do sprawdzenia i wyleczenia. Gdyby epidemia nie zosta艂a zlokalizowana, zainfekowane telefony zosta艂yby zawiezione do pa艅stw, w kt贸rych mieszkaj膮 ich w艂a艣ciciele, a liczba kraj贸w, w kt贸rych wyst臋puje Cabir, mog艂aby by膰 znacznie wi臋ksza.

Przyk艂ad warunk贸w, jakie musz膮 zosta膰 spe艂nione, aby robak wykorzystuj膮cy technologi臋 Bluetooth m贸g艂 si臋 skutecznie rozprzestrzenia膰:

  • du偶a liczba ludzi
  • ograniczona przestrze艅

Do opisanej wy偶ej kategorii mo偶na zaliczy膰 restauracje, kina, lotniska, stacje kolejowe, metra i obiekty sportowe.

Pod wzgl臋dem rozprzestrzeniania si臋 robaki wykorzystuj膮ce technologi臋 Bluetooth posiadaj膮 nast臋puj膮ce w艂a艣ciwo艣ci:

  • zasi臋g infekcji ogranicza si臋 do zasi臋gu po艂膮czenia Bluetooth (oko艂o 10 - 20 metr贸w, niekt贸re testowane przez nas urz膮dzenia dysponowa艂y zasi臋giem nawet do 30 metr贸w)
  • robaki wykorzystuj膮ce technologi臋 Bluetooth nie potrafi膮 przeprowadza膰 atak贸w na sprecyzowane cele, na przyk艂ad zgodnie z list膮 potencjalnych ofiar czy na losowo wygenerowany numer telefonu. Infekcja jest spontaniczna - je艣li tylko niezabezpieczone urz膮dzenie znajduje si臋 w zasi臋gu, robak pr贸buje je infekowa膰.

Comwar

Drugim robakiem atakuj膮cym urz膮dzenia mobilne, kt贸ry zosta艂 wykryty na wolno艣ci by艂 Comwar. Cabir najpierw trafi艂 do firm antywirusowych, a dopiero p贸藕niej pojawi艂 si臋 na wolno艣ci. Comwar natomiast zosta艂 wykryty po tym, jak zainfekowa艂 telefony u偶ytkownik贸w z kilku pa艅stw, kt贸rzy wys艂ali nast臋pnie podejrzane pliki firmom antywirusowym do analizy. Z Comwarem po raz pierwszy mieli艣my do czynienia w marcu 2005 roku; jednak informacje o infekcjach pojawi艂y si臋 na kilku forach dotycz膮cych mobilnego z艂o艣liwego oprogramowania (na przyk艂ad w Holandii i Serbii) ju偶 w styczniu 2005 roku. To oznacza, 偶e Comwar rozprzestrzenia艂 si臋 na ca艂ym 艣wiecie przynajmniej dwa miesi膮ce przed tym, jak dowiedzia艂y si臋 o tym firmy antywirusowe. Wynika z tego, 偶e zwi膮zki mi臋dzy u偶ytkownikami a firmami antywirusowymi s膮 nadal s艂abe je艣li chodzi o mobilne z艂o艣liwe programy. Nawet na najmniejsz膮 oznak臋 tego, 偶e co艣 nieprzewidzianego dzieje si臋 z ich komputerami, u偶ytkownicy PC-贸w mog膮 podejrzewa膰 wirusa i skontaktowa膰 si臋 z firm膮 antywirusow膮. W przypadku mobilnego z艂o艣liwego oprogramowania sytuacja wygl膮da zupe艂nie inaczej i up艂ynie wiele czasu, zanim cokolwiek si臋 zmieni.

Podobnie jak w przypadku Cabira, firma F-Secure zacz臋艂a prowadzi膰 list臋 pa艅stw, w kt贸rych wykryto Comwara. Ostatnia lista (wrzesie艅 2005) wygl膮da nast臋puj膮co:

1. Irlandia
2. Indie
3. Oman
4. W艂ochy
5. Filipiny
6. Finlandia
7. Grejca
8. Afryka Po艂udniowa
9. Malezja
10. Austria
11. Brunei
12. Niemcy
13. Stany Zjednoczone
14. Kanada
15. Wielka Brytania
16. Rumunia
17. Polska
18. Rosja
19. Holandia
20. Egipt
21. Ukraina
22. Serbia
Pa艅stwa, w kt贸rych wykryto Comwara
(wrzesie艅 2005, dane z firmy F-Secure i Kaspersky Lab)

Interesuj膮ce jest to, 偶e obie listy maj膮 podobn膮 d艂ugo艣膰 (23 pa艅stwa dla Cabira, 22 pa艅stwa dla Comwara). Comwar pojawi艂 si臋 8 miesi臋cy po Cabirze. Jednak robak ten stosuje niebezpieczniejsz膮 metod臋 propagacji (poprzez wiadomo艣ci MMS, kt贸re mog膮 by膰 transmitowane na ka偶d膮 odleg艂o艣膰), dzi臋ki czemu mo偶e dogoni膰 Cabira. Wydaje si臋 bardzo prawdopodobne, 偶e liczba pa艅stw, gdzie wyst膮pi艂y infekcje Comwarem, jest obecnie wi臋ksza ni偶 liczba pa艅stw, w kt贸rych zaatakowa艂 Cabir.

Nale偶y podkre艣li膰 jeden istotny fakt: lista zawiera pa艅stwa, o kt贸rych wiadomo, 偶e wyst膮pi艂 w nich przynajmniej jeden incydent zwi膮zany z Comwarem. Nie mo偶na na jej podstawie wyci膮ga膰 wniosk贸w na temat tego, jak bardzo rozpowszechniony jest robak w poszczeg贸lnych pa艅stwach - wst臋pnych szacunk贸w mo偶na dokona膰 jedynie na podstawie innych podobnych danych.

Na szcz臋艣cie, nie tylko firmy antywirusowe przejmuj膮 si臋 problemem robak贸w, kt贸re rozprzestrzeniaj膮 si臋 za po艣rednictwem MMS-贸w; kwesti膮 t膮 zainteresowani s膮 r贸wnie偶 dostawcy us艂ug mobilnych. W Rosji niekt贸rzy dostawcy podj臋li dzia艂ania maj膮ce zapewni膰 u偶ytkownikom ochron臋 poprzez zainstalowanie rozwi膮zania antywirusowego w swoich sieciach (bardzo podobnego do tego wykorzystywanego do skanowania poczty elektronicznej).

Oznacza to, 偶e mamy teraz dost臋p do danych ilo艣ciowych. Co wi臋cej, okazuje si臋, 偶e ruch MMS zawiera nie tylko mobilne z艂o艣liwe oprogramowanie, ale r贸wnie偶 tradycyjne robaki komputerowe. Wynika to z tego, 偶e szkodniki te wysy艂aj膮 si臋 na adresy e-mail, kt贸re mog膮 by膰 r贸wnie偶 adresami MMS. Jednak artyku艂 ten po艣wi臋cony jest mobilnemu z艂o艣liwemu oprogramowaniu, dlatego w tym miejscu nie b臋dziemy porusza膰 tego tematu.

Poni偶sze dane zosta艂y opublikowane po raz pierwszy i opieraj膮 si臋 na analizie ruchu MMS jednego z najwi臋kszych rosyjskich dostawc贸w us艂ug mobilnych. Na jego pro艣b臋 dane te nie zawieraj膮 liczby analizowanych wiadomo艣ci MMS.

Nazwa z艂o艣liwego programu Liczba zainfekowanych MMS-贸w
Worm.SymbOS.ComWar.a 4733
Worm.SymbOS.ComWar.c 450
Trojan-SMS.J2ME.RedBrowser.b 1
Dane dla okresu 11 - 17 czerwca 2006

Nazwa z艂o艣liwego programu Liczba zainfekowanych MMS-贸w / zmiana w por贸wnaniu z poprzednim okresem
Worm.SymbOS.ComWar.a 5498 (+765)
Worm.SymbOS.ComWar.c 854 (+404)
Trojan-SMS.J2ME.RedBrowser.b 1 (bez zmian)
Dane dla okresu 18 - 24 czerwca 2006

Nazwa z艂o艣liwego programu Liczba zainfekowanych MMS-贸w / zmiana w por贸wnaniu z poprzednim okresem
Worm.SymbOS.ComWar.a 4564 (-934)
Worm.SymbOS.ComWar.c 756 (-98)
Dane dla okresu 25 czerwca - 1 lipca 2006

Nazwa z艂o艣liwego programu Liczba zainfekowanych MMS-贸w / zmiana w por贸wnaniu z poprzednim okresem
Worm.SymbOS.ComWar.a 4837 (+273)
Worm.SymbOS.ComWar.c 698 (-58)
Worm.SymbOS.ComWar.d 6 (+6)
Dane dla okresu 1 - 7 lipca 2006

Przyjrzyjmy si臋 dok艂adniej statystykom dla robaka Comwar.d. Wariant ten zosta艂 stworzony w hiszpa艅skoj臋zycznym kraju, dlatego tym bardziej dziwi jego obecno艣膰 w rosyjskim ruchu MMS. Poza tym, Comwar.d zosta艂 po raz pierwszy wykryty w marcu 2006 roku i dotar艂 do Rosji zaledwie cztery miesi膮ce p贸藕niej.

Warto wspomnie膰 o przypadku infekcji robakiem Comwar, kt贸ry zosta艂 wykryty przez pracownik贸w Kaspersky Lab. W czerwcu 2005 roku konferencja partner贸w firmy Kaspersky Lab odby艂a si臋 w Grecji. Zaraz po niej niekt贸rzy z naszych pracownik贸w wzi臋li udzia艂 w rejsie jachtem po Morzu Egejskim. Jednego dnia kapitan, a zarazem w艂a艣ciciel jachtu zacz膮艂 narzeka膰, 偶e jego smartfon Nokia nieustannie otrzymuje wiadomo艣ci z kt贸rych wynika, 偶e wiadomo艣ci MMS nie zosta艂y dostarczone. By艂o to o tyle dziwne, 偶e w og贸le nie wys艂a艂 wiadomo艣ci MMS. Z Internetu pobrali艣my i zainstalowali艣my wersj臋 beta oprogramowania KAV Mobile i 藕r贸d艂o problemu wkr贸tce sta艂o si臋 jasne: telefon zosta艂 zainfekowany Comwarem.

Poza Cabirem i Comwarem, nasze sygnatury zagro偶e艅 zawieraj膮 niekt贸re warianty Skullera, Drevera, Appdisablera, Cardtrapa, PbStealera, RedBrowsera, Doombota, trojan贸w Flexispy i robaka StealWar, kt贸re wyst臋puj膮 na wolno艣ci. Wiele z tych program贸w "podszywa艂o si臋" pod gry oraz u偶yteczne aplikacje i zosta艂o opublikowanych na stronach przeznaczonych dla u偶ytkownik贸w Symbiana.

"Ojczyzna" wirus贸w

Zawsze gdy mowa o wirusach komputerowych, pojawia si臋 pytanie o to, z kt贸rego pa艅stwa pochodz膮. Zgodnie ze stereotypem kreowanym przez zachodnie media, zagro偶enia te tworzone s膮 w Rosji. Jest to jednak mit, kt贸ry - je艣li przyjrze膰 mu si臋 bli偶ej - mo偶na 艂atwo obali膰. Wielu autor贸w wirus贸w, kt贸rych twory spowodowa艂y epidemie w ci膮gu ostatnich kilku lat, zosta艂o aresztowanych. Je艣li chodzi o pozosta艂ych, 艂atwo ustali膰, w jakich pa艅stwach mieszkaj膮:

  • robaki Sasser i NetSky (Niemcy)
  • robak Zafi (W臋gry)
  • robak Bozori (Turcja/ Maroko)
  • backdoory Agobot i Codbot (Holandia)
  • robak Slammer (Azja Wschodnia)
  • robak Sober (Niemcy)

Rosjanie mog膮 "pochwali膰 si臋" tylko Baglem, ale nawet ten robak zosta艂 prawdopodobnie stworzony przez mi臋dzynarodow膮 grup臋 cyberprzest臋pc贸w.

W tym momencie liderem tego raczej niechlubnego wy艣cigu s膮 Chiny, na drugim miejscu natomiast znajduje si臋 Brazylia. Znaczna liczba wsp贸艂czesnych wirus贸w jest tworzona w Turcji. Pod wzgl臋dem liczby tworzonych wirus贸w pa艅stwa by艂ego Zwi膮zku Socjalistycznych Republik Radzieckich znajduj膮 si臋 w tym samym szeregu co Turcja.

Je艣li chodzi o mobilne z艂o艣liwe programy, sytuacja wygl膮da podobnie. Ustalenie pa艅stwa pochodzenia jest mo偶liwe w przypadku 31 takich rodzin. Jak ju偶 wspominali艣my, Cabir zosta艂 stworzony przez Valleza, kt贸ry pochodzi z Francji. Po tym jak robak ten sta艂 si臋 dost臋pny w podziemiu komputerowym, wsz臋dzie zacz臋艂y pojawia膰 si臋 jego modyfikacje. W tworzeniu nowych wariant贸w najbardziej aktywne by艂y pa艅stwa Azji Po艂udniowo Zachodniej (Filipiny, Indonezja, Malezja i Chiny). Jednak gdy Brazylijczyk Velasco stworzy艂 Lasco, napisa艂 r贸wnie偶 kilka nowych wariant贸w Cabira.

By艂y Zwi膮zek Socjalistycznych Republik Radzieckich zapewni艂 sobie miejsce w historii mobilnego z艂o艣liwego oprogramowania czterema wirusami. Trzy z nich s膮 wirusami typu "proof of concept". Brador, pierwszy backdoor dla WinCE zosta艂 stworzony przez programist臋 z Ukrainy, wyst臋puj膮cego pod pseudonimem BrokenSword. Comwar, kt贸remu po艣wi臋cili艣my sporo miejsca w tym artykule, bez w膮tpienia zosta艂 stworzony w Rosji - wynika to zar贸wno z tekst贸w w samym robaku, jak i informacji, kt贸re posiadamy o jego tw贸rcy, kt贸ry wyst臋puje pod pseudonimem e10d0r. Autor trzeciego wirusa typu "proof of concept", trojana o nazwie RedBrowser, jest nieznany, jednak teksty w trojanie i numer telefonu, na kt贸ry RedBrowser wysy艂a wiadomo艣ci SMS jasno wskazuj膮 na rosyjskie pochodzenie autora.

Trojan Locknut zosta艂 po raz pierwszy wykryty przez SimWorks, firm臋 antywirusow膮 z Nowej Zelandii. Podejrzenia, 偶e jego tw贸rca pochodzi z Rosji opiera艂y si臋 na niegramatycznym tek艣cie zawartym w trojanie i u偶ytych nazwach plik贸w.

Jak ju偶 zauwa偶yli艣my w pierwszej cz臋艣ci artyku艂u, wiele wariant贸w Comwara zawiera艂o tekst w j臋zyku hiszpa艅skim. Na tej podstawie stwierdzono, 偶e zosta艂 stworzony w Hiszpanii. Nie posiadamy jednak 偶adnych danych o wyst臋powaniu Comwara w Hiszpanii, kt贸re wskazywa艂yby pochodzenie wirusa.

W Turcji stworzono kilka modyfikacji Skullera, Cardtrapa oraz Arifata, rodziny trojan贸w, z kt贸rej do tej pory widzieli艣my tylko jedn膮 pr贸bk臋.

Bez w膮tpienia, przewa偶aj膮ca liczba mobilnych z艂o艣liwych program贸w zosta艂a stworzona w Chinach, prawdopodobnie w Po艂udniowej Korei. W zesz艂ym roku ogromna wi臋kszo艣膰 trojan贸w dla urz膮dze艅 przeno艣nych by艂a wykrywana i przesy艂ana do firm antywirusowych z Korei Po艂udniowej. Jednak nasze badania wykaza艂y, 偶e trojany zosta艂y umieszczone na korea艅skich serwerach, kt贸re pad艂y ofiar膮 w艂amania przeprowadzonego z terytorium Chin. Wirusy takie jak PbStealer, StealWar i niekt贸re warianty prawie ka偶dej podobnej rodziny trojan贸w r贸wnie偶 zosta艂y stworzone w Chinach.

Warto wspomnie膰 o tw贸rcy wirus贸w z Malezji: osoba ta jest odpowiedzialna za ogromn膮 wi臋kszo艣膰 wariant贸w Skullera, by膰 mo偶e tak偶e za pierwszego robaka z tej rodziny.

O czym 艣wiadcz膮 wszystkie te fakty? 艢wiat mobilnego z艂o艣liwego oprogramowania ewoluuje zgodnie z tymi samymi prawami, kt贸re rz膮dz膮 w 艣wiecie wirus贸w komputerowych. Ponadto, mobilne z艂o艣liwe programy i wirusy komputerowe tworzone s膮 w tych samych pa艅stwach.

Problemy system贸w operacyjnych

Czynnikiem maj膮cym najwi臋kszy wp艂yw na ewolucj臋 mobilnych z艂o艣liwych program贸w s膮 luki w zabezpieczeniu oprogramowania i system贸w operacyjnych samych urz膮dze艅. W 艣wiecie komputer贸w prawie wszystkie najwi臋ksze epidemie wirus贸w w ci膮gu ostatnich kilku lat spowodowane by艂y lukami w Windowsie. Istniej膮 dwa sposoby przenikni臋cia do systemu ofiary: wykorzystanie czynnika ludzkiego (socjotechnika) lub b艂臋d贸w w kodowaniu oprogramowania (luki w zabezpieczeniach). Oba wektory atak贸w stosuj膮 si臋 r贸wnie偶 do urz膮dze艅 przeno艣nych.

Trzy g艂贸wne 藕r贸d艂a luk to:

  • Windows CE (system operacyjny)
  • Symbian (system operacyjny)
  • Protoko艂y bezprzewodowe (Bluetooth, WiFi, porty podczerwieni)

Windows CE jest niezwykle podatny z punktu widzenia bezpiecze艅stwa systemu. Nie istniej膮 偶adne ograniczenia odno艣nie wykonywanych aplikacji i ich proces贸w. Po uruchomieniu program mo偶e zdoby膰 pe艂ny dost臋p do ka偶dej funkcji systemu operacyjnego, takiej jak otrzymywanie i transmitowanie plik贸w, funkcji telefonicznych i multimedialnych itd. Tworzenie aplikacji dla Windows CE jest niezwykle proste, poniewa偶 system jest ca艂kowicie otwarty na programowanie, co pozwala na wykorzystanie nie tylko j臋zyk贸w maszynowych (np. ASM for ARM), ale r贸wnie偶 platform programistycznych, takich jak .NET.

Chocia偶 obecnie znamy tylko cztery rodziny wirus贸w, kt贸re atakuj膮 Windows CE, nie mo偶na nie doceni膰 potencja艂u tego systemu operacyjnego jako 艣rodowiska dla z艂o艣liwego kodu. Istniej膮ce obecnie wirusy reprezentuj膮 wszystkie najbardziej niebezpieczne typy z艂o艣liwego oprogramowania: klasyczne wirusy plikowe, robaki pocztowe, backdoory oraz robaki, kt贸re potrafi膮 przemieszcza膰 si臋 z urz膮dzenia przeno艣nego na komputer PC, po tym jak zostan膮 do niego pod艂膮czone. Ro艣nie popularno艣膰 platform opartych na systemie Windows CE. Za kilka lat platformy te mog膮 przej膮膰 udzia艂 w rynku system贸w operacyjnych dla urz膮dze艅 przeno艣nych, wypieraj膮c Symbiana.

Windows CE cieszy si臋 coraz wi臋kszym zainteresowaniem zar贸wno tw贸rc贸w wirus贸w jak i ekspert贸w zajmuj膮cych si臋 kwestiami bezpiecze艅stwa IT. Jak ju偶 wspominali艣my wcze艣niej, podczas konferencji DefCon w sierpniu tego roku Collin Mulliner przedstawi艂 prezentacj臋 na temat luki w przetwarzaniu MMS-贸w w Windows CE 4.2x. Microsoft i jego partnerzy pracuj膮 obecnie nad naprawieniem tego b艂臋du. Jednak nawet po opublikowaniu 艂aty u偶ytkownicy zagro偶onych urz膮dze艅 b臋d膮 musieli by膰 informowani o konieczno艣ci ponownego zainstalowania oprogramowania firmware na swoich smartfonach czy urz膮dzeniach PDA.

Nie powinni艣my r贸wnie偶 zapomina膰, 偶e jest to tylko jedna z powa偶nych luk wykrytych w Windows CE w ci膮gu ostatnich kilku miesi臋cy. Luki w Active Sync oraz MMS/SMS mog艂yby zosta膰 wykorzystane do przeprowadzenia ataku DoS na urz膮dzenia przeno艣ne. Kolejne zagro偶enie stanowi膮 potencjalne luki w przegl膮darce Internet Explorer dla Windows CE i program贸w s艂u偶膮cych do zmiany format贸w plik贸w. Luki te bez w膮tpienia istniej膮. Pozostaje tylko pytanie: kto wykryje je pierwszy - tw贸rca wirus贸w czy tak zwany bia艂y kapelusz, specjalista zajmuj膮cy si臋 bezpiecze艅stwem IT, taki jak Collin Mulliner lub Tim Hurman (wykry艂 on luk臋 "Bluetooth stack remote code execution", informacje o kt贸rej pozostaj膮 do dzisiaj tajne).

Duts, pierwszy wirus dla systemu Windows CE, wykorzystywa艂 nieznan膮 Microsoftowi luk臋 w API (tak zwan膮 luk臋 0-day).

Podsumowuj膮c, Windows CE z ka偶dym dniem staje si臋 coraz popularniejszy. Wzrost liczby z艂o艣liwych program贸w dla tej platformy mo偶e wkr贸tce dor贸wna膰 wzrostowi ilo艣ci z艂o艣liwego oprogramowania dla Symbiana. G艂贸wnym 艣rodowiskiem wykorzystywanym do rozwoju z艂o艣liwych program贸w b臋dzie .NET, a znaczna liczba tych wirus贸w b臋dzie wykorzystywa膰 luki w Windows CE.

Obecnie najpopularniejszym wbudowanym systemem operacyjnym jest Symbian. Wykryte w tym systemie luki nie s膮 tak niebezpieczne jak te w Windows CE, jednak jego bezpiecze艅stwo to tylko iluzja. Sama architektura Symbian Series 60 zawiera szereg powa偶nych b艂臋d贸w, kt贸re mo偶na traktowa膰 jak rzeczywiste luki. Wspominali艣my ju偶, 偶e Symbian pozwala na nadpisanie ka偶dej aplikacji systemowej bez wyra藕nej zgody u偶ytkownika. Ponadto, potencjalne problemy mog膮 stanowi膰 niestandardowe formaty plik贸w, kt贸re mog膮 spowodowa膰, 偶e system stanie si臋 bardzo niestabilny, a urz膮dzenie samodzielnie dokona ponownego uruchomienia. Poziom zabezpieczenia aplikacji jest podobny do stopnia zabezpieczenia Windows CE, czyli - w og贸le nie istnieje. Po tym jak aplikacja znajdzie si臋 w systemie, b臋dzie posiada艂a ca艂kowit膮 kontrol臋 nad wszystkimi funkcjami. Na szcz臋艣cie, nie wykryto jeszcze luki w przetwarzaniu MMS-贸w i po艂膮cze艅 Bluetooth dla tej platformy. 艁atwo mo偶na sobie wyobrazi膰, co by si臋 sta艂o, gdyby szkodniki takie jak Cabir lub Comwar mog艂y przenikn膮膰 do systemu i automatycznie si臋 uruchomi膰.

Symbian jest bardziej zamkni臋tym systemem ni偶 Windows CE. Aby stworzy膰 w pe艂ni funkcjonalne aplikacje dla Symbiana, potrzebny jest specjalny zestaw narz臋dzi programistycznych, kt贸re kosztuj膮 dziesi膮tki tysi臋cy dolar贸w. Jednak liczba program贸w troja艅skich dla Symbiana 艣wiadczy o tym, 偶e luki w architekturze system贸w operacyjnych umo偶liwiaj膮 tw贸rcom wirus贸w wykorzystanie powszechnie dost臋pnych narz臋dzi.

Sytuacja jest paradoksalna: Symbian jest popularniejszy ni偶 Windows CE, jednak system ten zawiera mniej znanych, powa偶nych luk. Wed艂ug nas, istnieje tylko jedno wyt艂umaczenie - obecnie naukowcy nie s膮 tak skoncentrowani na Symbianie jak na produktach Microsoftu. Jednak nawet pobie偶ny rzut oka i kilka prostych eksperyment贸w pokazuj膮, 偶e Symbian posiada mn贸stwo b艂臋d贸w. Jako przyk艂ad opiszemy b艂膮d, kt贸ry nadal mo偶e by膰 traktowany jako nieznany. Informacje o nim otrzymali艣my od jednego z naszych u偶ytkownik贸w, nast臋pnie sprawdzili艣my je i dokonali艣my reprodukcji w naszym laboratorium testowym.

Zagro偶one s膮 telefony dzia艂aj膮ce pod kontrol膮 systemu Symbian Series 6.x. Testy zosta艂y przeprowadzone na aparatach Siemens SX-1 i Nokia 3650.

Aby wykorzysta膰 t臋 luk臋, trzeba tylko stworzy膰 plik o nazwie "INFO.wmlc" z 67 spacjami pomi臋dzy INFO i kropk膮. Zawarto艣膰 tego pliku mo偶e by膰 dowolna, wa偶ne aby zajmowa艂a wi臋cej ni偶 2 bajty. Je艣li plik ten zostanie wys艂any na inne urz膮dzenie za po艣rednictwem technologii Bluetooth lub poprzez port podczerwieni (plik m贸g艂by te偶 zosta膰 wys艂any jako MMS lub umieszczony na stronie www i otworzony podczas jej odwiedzania, jednak nie zosta艂o to przetestowane), odbiorca, po otworzeniu wiadomo艣ci, zobaczy komunikat o b艂臋dzie z nast臋puj膮c膮 tre艣ci膮: "App. closed AppArcServerThread USER 8". Nast臋pnie telefon zacznie dzia艂a膰 coraz wolniej, a po ponownym uruchomieniu telefonu niekt贸re aplikacje mog膮 zupe艂nie przesta膰 funkcjonowa膰.

Jest to klasyczna luka typu "denial of service" utrudniaj膮ca lub uniemo偶liwiaj膮ca normaln膮 prac臋 z urz膮dzeniem. Luka "wmlc" dotyczy standardowej przegl膮darki. Podczas przetwarzania niestandardowej nazwy pliku pojawia si臋 b艂膮d w komponencie odpowiadaj膮cym za uruchomienie przegl膮darki. Nie przeprowadzili艣my szczeg贸艂owej analizy luki, mo偶liwe jest jednak, 偶e pozwala ona r贸wnie偶 na wykonanie dowolnego kodu.

Powy偶sze informacje nale偶y traktowa膰 jako oficjalne zawiadomienie firmy Symbian o istnieniu luki.

Symbian, producenci smartfon贸w, kt贸re wykorzystuj膮 ten system operacyjny, oraz programi艣ci spotkali si臋 ju偶 z wirusami dla tego systemu operacyjnego i podejmuj膮 wszelkie mo偶liwe dzia艂ania, aby nast臋pna wersja Symbiana posiada艂a maksymaln膮 ochron臋 przed tym rodzajem z艂o艣liwego kodu. Ostatnio pojawi艂y si臋 informacje o implementowaniu architektury dla chronionej aplikacji, podobnej do technologii TrustingComputer, kt贸ra zosta艂a zaimplementowana w niekt贸rych procesorach PC. Planuje si臋 r贸wnie偶 stworzenie "chronionego obszaru pami臋ci", do kt贸rego dost臋p b臋d膮 mia艂y tylko zaufane aplikacje. W zasadzie podej艣cie to mo偶e rozwi膮za膰 problem prymitywnych program贸w-wandali, takich jak Skuller, nie rozwi膮偶e jednak kwestii luk w systemie operacyjnym i jego aplikacjach. Dodatkowo, nie powinni艣my zapomina膰 jednego z praw rz膮dz膮cych 艣wiatem wirus贸w: "Wirus mo偶e zrobi膰 wszystko, co u偶ytkownik w systemie". Oznacza to, 偶e robaki, kt贸re wysy艂aj膮 w艂asne kopie za po艣rednictwem technologii Bluetooth i MMS b臋d膮 nadal stanowi膰 zagro偶enie, przynajmniej w najbli偶szej przysz艂o艣ci.

Artyku艂 ten nie zawiera szczeg贸艂owego om贸wienia luk w technologii Bluetooth i WiFi. Ka偶dy, kto jest zainteresowany tym tematem, mo偶e zdoby膰 informacje od takich grup, jak Trifinite i Pentest. My r贸wnie偶 opublikowali艣my informacje na ten temat. Jedyn膮 rzecz膮, o jakiej nale偶y tu wspomnie膰, jest to, 偶e pomimo licznych luk w protoko艂ach bezprzewodowych dla urz膮dze艅 przeno艣nych tw贸rcy wirus贸w nie zacz臋li jeszcze ich wykorzystywa膰. Nie mamy jednak w膮tpliwo艣ci, 偶e luki te b臋d膮 wykorzystywane w najbli偶szej przysz艂o艣ci.

殴r贸d艂o:
Kaspersky Lab