Ewolucja mobilnego z艂o艣liwego oprogramowania: przegl膮d, cz臋艣膰 1

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab
  1. Ewolucja mobilnego z艂o艣liwego oprogramowania: przegl膮d, cz臋艣膰 1
  2. Ewolucja mobilnego z艂o艣liwego oprogramowania: przegl膮d, cz臋艣膰 2

W czerwcu 2006 roku min臋艂y dok艂adnie dwa lata od czasu, gdy firma Kaspersky Lab otrzyma艂a pierwsz膮 pr贸bk臋 wirusa dla telefon贸w kom贸rkowych. Chocia偶 wtedy nie by艂o to jasne, teraz ju偶 wiemy, 偶e wirus ten zosta艂 napisany przez "Valleza", cz艂onka mi臋dzynarodowej grupy tw贸rc贸w wirus贸w, wyst臋puj膮cej pod nazw膮 29A.

Pierwsza pr贸bka otworzy艂a Puszk臋 Pandory. Obecnie firmy antywirusowe posiadaj膮 kolekcje setek trojan贸w i robak贸w dla telefon贸w kom贸rkowych. Cienki strumyczek nowych z艂o艣liwych program贸w dla Symbiana, kt贸ry zosta艂 zapocz膮tkowany w 2004 roku, przemieni艂 si臋 w obfity strumie艅, kt贸ry grozi przekszta艂ceniem si臋 w rw膮cy potok. Co tydzie艅 do naszych sygnatur zagro偶e艅 dodawanych jest oko艂o 10 trojan贸w z przedrostkiem "SymbOS".

Samo w sobie nie wydaje si臋 to gro藕ne. Najgorsze jest to, 偶e robaki dla urz膮dze艅 przeno艣nych powoduj膮 coraz wi臋cej epidemii, kt贸rych rzeczywista skala nie jest na razie mo偶liwa do oszacowania. Rok temu jedyne wiadomo艣ci, jakie otrzymywali艣my o Cabirze, dotyczy艂y wykrycia tego robaka w kolejnym pa艅stwie lub mie艣cie. P贸藕niej w艂a艣ciciele zainfekowanych telefon贸w zacz臋li kontaktowa膰 si臋 bezpo艣rednio z firm膮 Kaspersky Lab i zacz臋li艣my mie膰 do czynienia z rzeczywistymi infekcjami, kt贸re dotkn臋艂y r贸wnie偶 niekt贸rych pracownik贸w centrali Kaspersky Lab w Moskwie.

Szybkie tempo rozprzestrzeniania si臋 robak贸w dla urz膮dze艅 przeno艣nych mo偶e wynika膰 z tego, 偶e przeci臋tny u偶ytkownik telefonu kom贸rkowego jest mniej 艣wiadomy kwestii bezpiecze艅stwa ni偶 przeci臋tny u偶ytkownik Internetu. Z drugiej strony, nawet osoby, kt贸re ju偶 d艂ugo u偶ywaj膮 telefon贸w kom贸rkowych, traktuj膮 mobilne z艂o艣liwe oprogramowanie jak problem, kt贸ry jeszcze nie wyst臋puje, albo wierz膮, 偶e ich tak naprawd臋 nie dotyczy.

Jednak mobilne wirusy nie istniej膮 w jakim艣 r贸wnoleg艂ym 艣wiecie, ale stanowi膮 cz臋艣膰 tego, w kt贸rym 偶yjemy. Dlatego tw贸j telefon jest zagro偶ony za ka偶dym razem, gdy korzystasz z transportu publicznego lub jeste艣 w kinie czy na lotnisku.

Wiele czasu up艂ynie, zanim u偶ytkownicy b臋d膮 wiedzieli tyle samo o wirusach mobilnych co o wirusach komputerowych...

Na pocz膮tku by艂 Cabir...

14 czerwca 2004 roku VirusBuster, znany hiszpa艅ski kolekcjoner wirus贸w, kt贸ry posiada powi膮zania z niekt贸rymi tw贸rcami z艂o艣liwego oprogramowania, wys艂a艂 wiadomo艣膰 na adres "newvirus@kaspersky.com". Do wiadomo艣ci za艂膮czony by艂 plik o nazwie caribe.sis. Wtedy nie wiedzieli艣my tak naprawd臋, co to oznacza艂o - nigdy wcze艣niej nie widzieli艣my czego艣 podobnego. Szybka analiza wykaza艂a, 偶e mamy do czynienia z aplikacj膮 dla systemu Symbian oraz z archiwum instalatora zawieraj膮cym inne pliki. Analitycy wirus贸w maj膮 zazwyczaj do czynienia z plikami stworzonymi dla tradycyjnych procesor贸w x86. Pliki w caribe.sis by艂y aplikacjami dla ARM - procesor贸w wykorzystywanych w szeregu r贸偶nych urz膮dze艅, 艂膮cznie z telefonami kom贸rkowymi. Pocz膮tkowo o j臋zyku maszynowym wykorzystywanym przez ten procesor wiedzieli艣my bardzo niewiele, jednak poznanie go zaj臋艂o naszym analitykom zaledwie kilka godzin. Wkr贸tce cel tych plik贸w sta艂 si臋 oczywisty: by艂 to robak dla telefon贸w kom贸rkowych rozprzestrzeniaj膮cy si臋 za po艣rednictwem technologii Bluetooth. W pe艂ni potwierdzi艂o si臋 to nast臋pnego dnia, po przetestowaniu go na telefonie Nokia N-Gage z systemem Symbian.

Robak zosta艂 napisany przez osob臋 znan膮 jako Vallez. O ile nam wiadomo, Vallez mieszka we Francji, a w tamtym czasie nale偶a艂 do grupy tw贸rc贸w wirus贸w o nazwie 29A. Celem grupy by艂o stworzenie kodu wirusa typu "proof-of-concept" dla niestandardowych system贸w operacyjnych i aplikacji. Wygl膮da艂o na to, 偶e cz艂onkowie 29A za wszelk膮 cen臋 chcieli udowodni膰 firmom antywirusowym i innym tw贸rcom z艂o艣liwego oprogramowania, 偶e istniej膮 nowe, wcze艣niej nie badane metody infekcji. W czerwcu 2004 roku ich celem by艂o stworzenie z艂o艣liwego programu dla smartfon贸w. Autor wybra艂 r贸wnie偶 niestandardow膮 metod臋 rozprzestrzeniania szkodnika - analitycy przyzwyczajeni s膮 do robak贸w, kt贸re rozprzestrzeniaj膮 si臋 za po艣rednictwem wiadomo艣ci e-mail. Poniewa偶 po艂膮czenie z Internetem i poczta elektroniczna to g艂贸wne funkcje smartfon贸w, spodziewano si臋, 偶e Cabir zostanie rozes艂any w wiadomo艣ciach e-mail. Jednak autor robaka wybra艂 technologi臋 Bluetooth, co okaza艂o si臋 kluczowym podej艣ciem.

Cabir zosta艂 stworzony dla systemu operacyjnego Symbian, kt贸ry by艂 i pozostaje najpowszechniej wykorzystywanym systemem operacyjnym w telefonach kom贸rkowych. Swoj膮 pozycj臋 lidera na rynku zawdzi臋cza g艂贸wnie temu, 偶e wszystkie smartfony wyprodukowane przez Noki臋 opieraj膮 si臋 na Symbianie. Symbian+Nokia to obecnie standardowa kombinacja dla smartfon贸w i du偶o czasu up艂ynie, zanim Windows Mobile odbierze Symbianowi znaczny udzia艂 w rynku.

Pojawienie si臋 Cabira potwierdzi艂o prawo ewolucji wirus贸w komputerowych. Aby wy艂oni艂y si臋 z艂o艣liwe programy atakuj膮ce okre艣lony system operacyjny czy platform臋, musz膮 zosta膰 spe艂nione trzy warunki:

  1. Platforma musi by膰 popularna. Symbian by艂 i pozostanie najpopularniejsz膮 platform膮 dla smartfon贸w. Liczba jej u偶ytkownik贸w wynosi na ca艂ym 艣wiecie dziesi膮tki milion贸w.

    Autor Cabira: "W przysz艂o艣ci Symbian mo偶e sta膰 si臋 powszechnie wykorzystywanym systemem operacyjnym w telefonach kom贸rkowych. Ju偶 dzisiaj jest to bardzo rozpowszechniony system i, wed艂ug mnie, mo偶e sta膰 si臋 jeszcze popularniejszy. (Microsoft r贸wnie偶 pr贸buje wej艣膰 na ten rynek.)"

  2. Musz膮 istnie膰 dobrze udokumentowane narz臋dzia tworzenia oprogramowania.
  3. Autor Cabira: "Cabir zosta艂 napisany w j臋zyku C++. Symbian/Nokia zapewniaj膮 kompletny zestaw do konstruowania aplikacji dla systemu operacyjnego Symbian.

  4. Obecno艣膰 luk lub b艂臋d贸w w kodowaniu. Symbian zawiera wiele usterek dotycz膮cych obs艂ugi plik贸w i us艂ug. B艂臋dy te nie by艂y wykorzystane przez Cabira, za to w pe艂ni wykorzystuj膮 je obecne trojany dla smartfon贸w.

Cabir natychmiast zwr贸ci艂 uwag臋 nie tylko firm antywirusowych, ale r贸wnie偶 tw贸rc贸w wirus贸w. Wszyscy z niecierpliwo艣ci膮 czekali na pojawienie si臋 kolejnego wydania elektronicznej publikacji grupy 29A, spodziewaj膮c si臋, 偶e zgodnie z tradycj膮 grupa ta opublikuje kod 藕r贸d艂owy robaka. Oczywi艣cie spowodowa艂oby to pojawienie si臋 nowych, bardziej szkodliwych wariant贸w robaka: ma to miejsce zawsze, gdy dzieciaki skryptowe uzyskaj膮 dost臋p do takich technologii. Jednak drobni cyberprzest臋pcy mog膮 wyrz膮dzi膰 wiele szk贸d, nawet bez posiadania dost臋pu do oryginalnego kodu 藕r贸d艂owego.

Obecnie typy i rodziny mobilnego z艂o艣liwego oprogramowania

Jesieni膮 2004 mobilne z艂o艣liwe programy zacz臋艂y ewoluowa膰 w trzech g艂贸wnych kierunkach. Jednym z nich by艂y programy troja艅skie tworzone w celu osi膮gni臋cia zysk贸w finansowych. Pierwszym mobilnym trojanem by艂 Mosquit.a. Teoretycznie by艂a to nieszkodliwa gra dla telefon贸w kom贸rkowych; jednak w pewnym momencie zaczyna艂a wysy艂a膰 wiadomo艣ci SMS na numery telefon贸w z ksi膮偶ki adresowej, nabijaj膮c w ten spos贸b rachunek telefoniczny u偶ytkownika. W rzeczywisto艣ci Mosquit.a by艂 nie tylko pierwszym trojanem dla smartfon贸w, ale r贸wnie偶 pierwszym programem adware dla telefon贸w kom贸rkowych.

Skuller.a, trojan, kt贸ry pojawi艂 si臋 w listopadzie 2004 roku, by艂 pierwszym reprezentantem najwi臋kszej dzisiaj rodziny trojan贸w mobilnych. By艂 to pierwszy mobilny z艂o艣liwy program wykorzystuj膮cy b艂臋dy w systemie Symbian, kt贸ry pozwala艂 ka偶dej aplikacji na nadpisanie plik贸w systemowych w艂asnymi danymi - wszystko to bez wiedzy u偶ytkownika telefonu. Skuller zamienia艂 ikony aplikacji na trupie czaszki oraz usuwa艂 pliki aplikacji. W rezultacie, urz膮dzenie przestawa艂o dzia艂a膰, po tym jak zosta艂o wy艂膮czone i powt贸rnie w艂膮czone. Ten rodzaj trojan贸w "wandali" sta艂 si臋 jednym z najpopularniejszych w艣r贸d tw贸rc贸w wirus贸w.


Skuller.a

Praktycznie w tym samym czasie co Skuller.a pojawi艂y si臋 trzy nowe warianty Cabira. 呕aden z nich nie opiera艂 si臋 na kodzie 藕r贸d艂owym oryginalnego robaka. Do tego czasu tw贸rcy wirus贸w przyw艂aszczyli sobie Cabira, a niekt贸rzy z nich post臋powali tak jak dzieciaki skryptowe: zmienili nazw臋 plik贸w robaka i zast臋powali niekt贸re fragmenty tekst贸w w plikach w艂asnymi has艂ami. Jeden z wariant贸w dodawa艂 Skullera do oryginalnego archiwum. Powsta艂a w ten spos贸b hybryda nie dzia艂a艂a tak, jak chcieliby jej tw贸rcy: robak nie potrafi艂 si臋 rozmna偶a膰, poniewa偶 Trojan powodowa艂, 偶e telefon przestawa艂 dzia艂a膰. By艂 to jednak pierwszy przypadek wykorzystania Cabira do przenoszenia innych z艂o艣liwych program贸w.

Do pocz膮tku 2005 roku wykszta艂ci艂y si臋 g艂贸wne typy mobilnych z艂o艣liwych program贸w, kt贸re tw贸rcy wirus贸w wykorzystywali przez nast臋pne osiemna艣cie miesi臋cy:

  • robaki rozprzestrzeniaj膮ce si臋 za po艣rednictwem protoko艂贸w i us艂ug smartfon贸w
  • trojany-wandale, kt贸re instalowa艂y si臋 do systemu, wykorzystuj膮c b艂臋dy w systemie Symbian
  • trojany tworzone dla zysku finansowego

Mimo 偶e istnieje tylko kilka g艂贸wnych typ贸w zachowa艅, w rzeczywisto艣ci mobilne z艂o艣liwe programy wyst臋puj膮 w r贸偶norodnych formach. Kaspersky Lab dysponuje obecnie kolekcj膮 31 odr臋bnych rodzin mobilnych z艂o艣liwych program贸w. Tabela poni偶ej pokazuje g艂贸wne cechy ka偶dej z rodzin (OS oznacza system operacyjny).

Nazwa Data OS Funkcjonalno艣膰 Wykorzystana technologia Liczba wariant贸w
Worm.SymbOS.Cabir Czerwiec 2004 Symbian Rozprzestrzenia si臋 za po艣rednictwem technologii Bluetooth Bluetooth 15
Virus.WinCE.Duts Lipiec 2004 Windows CE Infekuje pliki (File API) 1
Backdoor.WinCE.Brador Sierpie艅 2004 Windows CE Umo偶liwia zdalny dost臋p do sieci (Network API) 2
Trojan.SymbOS.Mosquit Sierpie艅 2004 Symbian Wysy艂a wiadomo艣ci SMS SMS 1
Trojan.SymbOS.Skuller Listopad 2004 Symbian Zamienia pliki, ikony i aplikacje systemowe Luka w systemie operacyjnym 31
Worm.SymbOS.Lasco Stycze艅 2005 Symbian Rozprzestrzenia si臋 za po艣rednictwem technologii Bluetooth, infekuje pliki Bluetooth, File API 1
Trojan.SymbOS.Locknut Luty 2005 Symbian Instaluje uszkodzone aplikacje Luka w systemie operacyjnym 2
Trojan.SymbOS.Dampig Marzec 2005 Symbian Zamienia aplikacje systemowe Luka w systemie operacyjnym 1
Worm.SymbOS.ComWar Marzec 2005 Symbian Rozprzestrzenia si臋 za po艣rednictwem technologii Bluetooth i MMS-贸w, infekuje pliki Bluetooth, MMS, File API 7
Trojan.SymbOS.Drever Marzec 2005 Symbian Zamienia programy 艂aduj膮ce aplikacje antywirusowe Luka w systemie operacyjnym 4
Trojan.SymbOS.Fontal Kwiecie艅 2005 Symbian Zamienia pliki czcionek Luka w systemie operacyjnym 8
Trojan.SymbOS.Hobble Kwiecie艅 2005 Symbian Zamienia aplikacje systemowe Luka w systemie operacyjnym 1
Trojan.SymbOS.Appdisabler Maj 2005 Symbian Zamienia aplikacje systemowe Luka w systemie operacyjnym 6
Trojan.SymbOS.Doombot Maj 2005 Symbian Zamienia aplikacje systemowe, èíñòàëëÿöèÿ Comwar Luka w systemie operacyjnym 17
Trojan.SymbOS.Blankfont Lipiec 2005 Symbian Zamienia pliki czcionek Luka w systemie operacyjnym 1
Trojan.SymbOS.Skudoo Sierpie艅 2005 Symbian Instaluje uszkodzone aplikacje, instaluje Cabira, Skullera, Doombora Luka w systemie operacyjnym 3
Trojan.SymbOS.Singlejump Sierpie艅 2005 Symbian Wy艂膮cza funkcje systemu, zamienia ikony Luka w systemie operacyjnym 5
Trojan.SymbOS.Bootton Sierpie艅 2005 Symbian Instaluje uszkodzone aplikacje, instaluje Cabira Luka w systemie operacyjnym 2
Trojan.SymbOS.Cardtrap Wrzesie艅 2005 Symbian Usuwa pliki oprogramowania antywirusowego, zamienia aplikacje systemowe, instaluje na kartach pami臋ci z艂o艣liwe oprogramowanie dla systemu Win32 Luka w systemie operacyjnym 26
Trojan.SymbOS.Cardblock Pa藕dziernik 2005 Symbian Blokuje karty pami臋ci, usuwa foldery Luka w systemie operacyjnym, File API 1
Trojan.SymbOS.Pbstealer Listopad 2005 Symbian Kradnie dane Bluetooth, File API 5
Trojan-Dropper.SymbOS.Agent Grudzie艅 2005 Symbian Instaluje inne z艂o艣liwe programy Luka w systemie operacyjnym 3
Trojan-SMS.J2ME.RedBrowser Luty 2006 J2ME Wysy艂a SMS-y Java, SMS 2
Worm.MSIL.Cxover Marzec 2006 Windows Mobile/ .NET Usuwa pliki, kopiuje sw贸j kod na inne urz膮dzenia File (API), NetWork (API) 1
Worm.SymbOS.StealWar Marzec 2006 Symbian Kradnie dane, rozprzestrzenia si臋 za po艣rednictwem technologii Bluetooth i MMS Bluetooth, MMS, File (API) 5
Email-Worm.MSIL.Letum Marzec 2006 Windows Mobile/ .NET Rozprzestrzenia si臋 za po艣rednictwem wiadomo艣ci e-mail E-mail, File (API) 3
Trojan-Spy.SymbOS.Flexispy Kwiecie艅 2006 Symbian Kradnie dane 2
Trojan.SymbOS.Rommwar Kwiecie艅 2006 Symbian Zamienia aplikacje systemowe Luka w systemie operacyjnym 4
Trojan.SymbOS.Arifat Kwiecie艅 2006 Symbian 1
Trojan.SymbOS.Romride Czerwiec 2006 Symbian Zamienia aplikacje systemowe Luka w systemie operacyjnym 8
Worm.SymbOS.Mobler.a Sierpie艅 2006 Symbian Usuwa pliki oprogramowania antywirusowego, zamienia aplikacje systemowe, rozprzestrzenia si臋 za po艣rednictwem karty pami臋ci Luka w systemie operacyjnym 1
31 rodzin, 170 wariant贸w
Kompletna lista (do 30 sierpnia 2006 roku) wszystkich rodzin mobilnego z艂o艣liwego oprogramowania wed艂ug klasyfikacji firmy Kaspersky Lab.


Wzrost liczby wariant贸w znanych mobilnych z艂o艣liwych program贸w

Wzrost liczby mobilnych z艂o艣liwych program贸w nale偶膮cych do znanych rodzin

Og贸lnie, tabela zawiera odpowied藕 na pytanie: "Co mog膮 zrobi膰 mobilne z艂o艣liwe programy?":

  • Rozprzestrzenia膰 si臋 za po艣rednictwem technologii Bluetooth, MMS
  • Wysy艂a膰 wiadomo艣ci SMS
  • Infekowa膰 pliki
  • Umo偶liwia膰 przej臋cie zdalnej kontroli nad smartfonem
  • Modyfikowa膰 i zamienia膰 ikony lub aplikacje systemowe
  • Instalowa膰 "fa艂szywe" lub niedzia艂aj膮ce czcionki i aplikacje
  • Zwalcza膰 programy antywirusowe
  • Instalowa膰 inne z艂o艣liwe programy
  • Blokowa膰 karty pami臋ci
  • Kra艣膰 dane

Pod wzgl臋dem szkodliwych funkcji mobilne wirusy s膮 obecnie bardzo podobne do wirus贸w komputerowych. Jednak ewolucja wirus贸w komputerowych trwa艂a ponad dwadzie艣cia lat, a mobilne z艂o艣liwe programy przeby艂y tak膮 sam膮 drog臋 w niespe艂na dwa lata. Bez w膮tpienia, z艂o艣liwe oprogramowanie dla urz膮dze艅 przeno艣nych jest najszybciej ewoluuj膮cym rodzajem z艂o艣liwego kodu i posiada du偶y potencja艂 dalszego rozwoju.

Wirusy bazowe

Technologie wykorzystywane w wirusach mobilnych r贸偶ni膮 si臋 od tych stosowanych w z艂o艣liwych programach dla komputer贸w osobistych przede wszystkim tym, 偶e mimo istnienia licznych rodzin wirus贸w mobilnych, niewiele z nich jest oryginalnych. Podobnie by艂o z wirusami komputerowymi pod koniec lat 80. Istnia艂y wtedy setki wirus贸w opartych na kodzie 藕r贸d艂owym "bazowego" z艂o艣liwego kodu. Wiele z艂o艣liwych program贸w zosta艂o stworzonych na bazie zaledwie trzech wirus贸w: Vienna, Stoned oraz Jerusalem.

  • Cabir
  • Comwar
  • Skuller.gen

Cabir s艂u偶y艂 jako baza licznych wariant贸w, kt贸re r贸偶ni艂y si臋 tylko pod wzgl臋dem nazw plik贸w i zawarto艣ci plik贸w instalacyjnych sis. Cabir wykorzystywany by艂 r贸wnie偶 jako baza pozornie r贸偶nych rodzin, takich jak StealWar, Lasco i Pbstealer.

Lasco

Lasco pojawi艂 si臋 jako reprezentant pierwszej z tych nowych rodzin. Poza funkcjonalno艣ci膮 robaka, programy z tej rodziny potrafi膮 infekowa膰 pliki w pami臋ci telefonu. Ewolucja Lasco jest dobrym przyk艂adem tego, co mo偶e nast膮pi膰, gdy kod 藕r贸d艂owy wirusa stanie si臋 publicznie dost臋pny. Kod 藕r贸d艂owy Cabira zosta艂 przechwycony przez Brazylijczyka Marcosa Velasco, kt贸ry zacz膮艂 tworzy膰 w艂asne wirusy. W ostatnim tygodniu 2004 roku Velasco wys艂a艂 kilka napisanych przez siebie wariant贸w Cabira firmom antywirusowym. Niekt贸re z nich w og贸le nie dzia艂a艂y, natomiast wszystkie zosta艂y zaklasyfikowane jako warianty Cabira. Autor nie by艂 z tego zadowolony; pragn膮c zosta膰 s艂awnym stworzy艂 wariant robaka, kt贸ry potrafi艂 infekowa膰 pliki sis. W ten spos贸b robak Lasco znalaz艂 si臋 w sygnaturach zagro偶e艅 program贸w antywirusowych.

Na szcz臋艣cie, pomys艂 infekowania plik贸w sis nie zosta艂 podchwycony przez innych tw贸rc贸w wirus贸w, mimo 偶e Velasco opublikowa艂 kod 藕r贸d艂owy swojego "dzie艂a" na w艂asnej stronie internetowej. Nadal nie jest jasne, czy Cabir zosta艂 wykorzystany jako 藕r贸d艂o Lasco. Marcos Velasco twierdzi, 偶e ca艂y kod stworzy艂 niezale偶nie, jednak liczba plik贸w, ich nazwy i zasady dzia艂ania s膮 bardzo podobne do Cabira. Poni偶ej mo偶ecie por贸wna膰 g艂贸wne funkcje obu robak贸w i wyci膮gn膮膰 w艂asne wnioski.

Funkcja wysy艂ania robaka przez Bluetooth (Cabir):

if(WithAddress)
{
        WithAddress = 0;
        Cancel();
        TBTSockAddr btaddr(entry().iAddr);
        TBTDevAddr devAddr;
        devAddr = btaddr.BTAddr();
        TObexBluetoothProtocolInfo obexBTProtoInfo;
        obexBTProtoInfo.iTransport.Copy(_L("RFCOMM"));
        obexBTProtoInfo.iAddr.SetBTAddr(devAddr);
        obexBTProtoInfo.iAddr.SetPort(0x00000009);
        obexClient = CObexClient::NewL(obexBTProtoInfo);
        if(obexClient)
        {
                iState = 1;
                iStatus = KRequestPending;
                Cancel();
                obexClient->Connect(iStatus);
                SetActive();
        }
}
else
{
        iState = 3;
        User::After(1000000);
}
return 0;

Funkcja wysy艂ania robaka przez Bluetooth (Lasco):

if ( FoundCell )
{
        FoundCell = _NOT;
        Cancel();
        TBTSockAddr addr( entry().iAddr );
        TBTDevAddr btAddress;
        btAddress = addr.BTAddr();
        TObexBluetoothProtocolInfo obexProtocolInfo;
        obexProtocolInfo.iTransport.Copy( _L( "RFCOMM" ) );
        obexProtocolInfo.iAddr.SetBTAddr( btAddress );
        obexProtocolInfo.iAddr.SetPort( 9 );
        if ( ( iClient = CObexClient::NewL( obexProtocolInfo ) ) )
        {
                iStatus = KRequestPending;
                BluetoothStatus = _BLUETOOTH_NOT_CONNECTED;
                Cancel();
                iClient->Connect( iStatus );
                SetActive();
        }
}
else
{
        BluetoothStatus = _BLUETOOTH_CONNECTED;
}
}

Pbstealer

Pierwszy Trojan-Spy dla Symbiana, Pbstealer, to kolejny "potomek" Cabira. Zosta艂 stworzony w Azji, prawdopodobnie w Chinach i wykryty na korea艅skiej stronie po艣wi臋conej grze internetowej Legend of Mir, kt贸ra pad艂a ofiar膮 w艂amania. Ta metoda dystrybucji trojana oraz fakt, 偶e Pbstealer zosta艂 napisany z zamiarem przest臋pczym, pokazuje, 偶e "dobre intencje" autora Cabira utorowa艂y drog臋 powstaniu kolejnych z艂o艣liwych program贸w.

Funkcja umo偶liwiaj膮ca trojanowi wysy艂anie plik贸w za po艣rednictwem technologii Bluetooth zosta艂a zapo偶yczona z Cabira. Jednak autor Pbstealera dokona艂 jednej istotnej modyfikacji w oryginalnym kodzie. Jego trojan wyszukuje telefoniczn膮 ksi膮偶k臋 adresow膮 i poprzez Bluetooth wysy艂a zawarte w niej dane na pierwsze znalezione urz膮dzenie. St膮d jego nazwa Pbstealer, kt贸ra oznacza "Phonebook Stealer". W celu kradzie偶y takich informacji cyberprzest臋pcy wykorzystywali do tej pory r贸偶ne luki w protokole Bluetooth. Przyk艂adem mo偶e by膰 trojan BlueSnarf, kt贸ry znacznie rozszerzy艂 dost臋pne mo偶liwo艣ci.

Oczywi艣cie Cabir cz臋sto wykorzystywany by艂 do przenoszenia r贸偶nych innych trojan贸w. Ponad po艂owa wszystkich wariant贸w Skullera, Appdisablera, Locknuta, Cardtrapa i innych wariant贸w trojan贸w wandali zawiera Cabira, kt贸ry zosta艂 tak zmodyfikowany, aby rozprzestrzenia膰 nie tylko siebie, ale r贸wnie偶 ca艂y pakiet trojan贸w. Ten rodzaj hybrydyzacji spowodowa艂 powa偶ne trudno艣ci w klasyfikacji wielu z艂o艣liwych program贸w. Problem ten zostanie szczeg贸艂owo om贸wiony w dalszej cz臋艣ci tekstu.

Comwar

Kolejny punkt zwrotny w rozwoju mobilnego z艂o艣liwego oprogramowania stanowi艂 Comwar, pierwszy robak, kt贸ry rozprzestrzenia艂 si臋 za po艣rednictwem MMS-贸w. Podobnie jak Cabir, robak ten mo偶e rozprzestrzenia膰 si臋 za po艣rednictwem technologii Bluetooth, jednak MMS jest jego g艂贸wn膮 metod膮 propagacji, przez co szkodnik ten stanowi ogromne zagro偶enie. Bluetooth posiada zasi臋g 10 do 15 metr贸w (w niekt贸rych urz膮dzeniach nawet do 30 metr贸w), tak wi臋c zainfekowane mog膮 zosta膰 tylko te urz膮dzenia, kt贸re znajduj膮 si臋 w tym promieniu. MMS nie posiada ogranicze艅 i mo偶e zosta膰 natychmiast wys艂any nawet na urz膮dzenia znajduj膮ce w innych pa艅stwach.

Autor Cabira rozwa偶a艂 pocz膮tkowo t臋 metod臋, jednak z oczywistych powod贸w (z perspektywy ideologii grupy 29A) wybra艂 technologi臋 Bluetooth:

«mms: 艁atwo jest przes艂a膰 na telefon program wyszukuj膮cy numery i wysy艂aj膮cy na nie wiadomo艣膰 MMS z za艂膮czonym robakiem, pojawiaj膮 si臋 jednak dwa problemy:
  • Nie wiemy, na jaki rodzaj telefonu wysy艂amy MMS, i czy telefon ten mo偶e otrzymywa膰 wiadomo艣ci MMS albo wykona膰 robaka.
  • Marnujemy pieni膮dze u偶ytkownika telefonu."

Szczeg贸lnie wymowny jest drugi pow贸d: oznacza on, 偶e autor Cabira nie mia艂 zamiaru nara偶a膰 u偶ytkownik贸w na szkody finansowe. Natomiast tw贸rca Comwara nie mia艂 co do tego skrupu艂贸w.

Chocia偶 dla autor贸w mobilnego z艂o艣liwego oprogramowania najbardziej atrakcyjna jest technologia umo偶liwiaj膮ca wysy艂anie z艂o艣liwego oprogramowania przez MMS-y, jak dot膮d byli艣my 艣wiadkami jedynie zwyk艂ych transformacji przeprowadzanych na oryginalnym robaku. Polega艂y one na tym, 偶e ma艂oletni hakerzy zmieniali nazwy plik贸w i teksty w oryginalnych plikach bez dokonywania zmian w funkcjonalno艣ci Comwara. Spowodowane by艂o to tym, 偶e kod 藕r贸d艂owy Comwara nie zosta艂 opublikowany, a dzieciaki skryptowe nie znaj膮 procedury wykorzystywanej do wysy艂ania zainfekowanych wiadomo艣ci MMS.

Obecnie znanych jest nam 7 modyfikacji tego robaka. Cztery z nich zawieraj膮 "sygnatur臋 autora".

CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Comwar.b:

CommWarrior v1.0 (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Comwar.c:

CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it's original unmodified form.
With best regards from Russia.

Comwar.d:

Nie zawiera 偶adnych znacz膮cych tekst贸w. Tre艣膰 MMS-贸w jest zast膮piona hiszpa艅skimi tekstami.

Comwar.e:

WarriorLand v1.0A (c) 2006 by Leslie

R贸wnie偶 zawiera teksty w j臋zyku hiszpa艅skim.

Comwar.f:

Nie zawiera 偶adnych znacz膮cych tekst贸w. Tre艣膰 MMS-贸w jest zast膮piona hiszpa艅skimi tekstami.

Comwar.g:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Comwar.g by艂 pierwszym wariantem, kt贸ry zawiera艂 funkcjonalno艣膰 infektora plik贸w. Robak szuka w pami臋ci telefonu innych plik贸w sis i dodaje do nich sw贸j kod. Jest to dodatkowa, obok tradycyjnych (MMS i Bluetooth), metoda propagacji.

Jak dot膮d Comwar nie uruchomi艂 lawiny innych rodzin. Jak ju偶 wcze艣niej wspominali艣my, wynika to z tego, 偶e jego kod 藕r贸d艂owy nie zosta艂 opublikowany. Podobnie jak Cabir, Comwar wykorzystywany jest do przenoszenia innych program贸w troja艅skich. Tak wi臋c jedyny program wykorzystuj膮cy Comwara, o kt贸rym mo偶na powiedzie膰, 偶e zapocz膮tkowa艂 now膮 rodzin臋, jest StealWar. Robak ten 艂膮czy Cabira, Comwara i trojana Pbstealer. Taka kombinacja jest bardzo niebezpieczna i umo偶liwia rozpowszechnianie si臋 na szerok膮 skal臋.

Wydaje si臋 nieuniknione, 偶e rozprzestrzenianie si臋 poprzez MMS stanie si臋 najpopularniejsz膮 metod膮 propagacji mobilnego z艂o艣liwego oprogramowania. Jest to tym bardziej prawdopodobne, 偶e istnieje ju偶 powa偶na luka w obs艂udze MMS-贸w w Windows Mobile 2003, kt贸ra prowadzi do przepe艂nienia bufora i umo偶liwia wykonanie dowolnego kodu. Luka ta zosta艂a zg艂oszona przez Collina Mullinera w sierpniu 2006 roku na konferencji DefCon.


Demonstracja luki MMS (Collin Mulliner, Advanced Attacks Against PocketPC Phones).

Szczeg贸艂owe informacje dotycz膮ce tej luki nie zostan膮 rozpowszechnione do czasu, gdy Microsoft opublikuje odpowiednie uaktualnienia. Jednak brak informacji nie sprawia, 偶e luka jest mniej niebezpieczna. Je艣li komu艣 uda si臋 napisa膰 robaka, kt贸ry po przedostaniu si臋 do pami臋ci smartfonu b臋dzie si臋 uruchamia艂 automatycznie, bez udzia艂u u偶ytkownika, mo偶emy sta膰 si臋 艣wiadkami globalnej epidemii.

W swoim wariancie .c Comwar wykorzysta艂 po raz pierwszy technologi臋 rootkit. Robak ukrywa si臋 na li艣cie proces贸w i nie jest widoczny na standardowej li艣cie aktualnie uruchomionych aplikacji, poniewa偶 definiuje sw贸j proces jako proces systemowy. Chocia偶 proces ten mo偶na 艂atwo wykry膰 przy u偶yciu innego oprogramowania do przegl膮dania uruchomionych program贸w, taka metoda maskowania wykorzystywana jest obecnie w niekt贸rych innych z艂o艣liwych programach dla Symbiana.

Skuller

Jak ju偶 wspominali艣my wcze艣niej, Skuller to najliczniejsza rodzina mobilnych trojan贸w: do pierwszego wrze艣nia 2006 roku spotkali艣my si臋 z 31 wariantami. Nie powinno to nikogo dziwi膰, poniewa偶 programy te s膮 najbardziej prtmitywnymi z艂o艣liwymi programami dla Symbiana. Ka偶dy, kto wie, jak u偶ywa膰 narz臋dzia do tworzenia plik贸w sis, b臋dzie potrafi艂 stworzy膰 takiego trojana. Ca艂膮 reszt臋 wykonaj膮 luki w Symbianie: mo偶liwe jest nadpisanie ka偶dego pliku, 艂膮cznie z plikami systemowymi, w wyniku czego system staje si臋 bardzo niestabilny, gdy napotyka na niespodziewane pliki (tj. pliki, kt贸re s膮 uszkodzone lub nie maj膮 standardowego formatu dla danej wersji systemu).

Wi臋kszo艣膰 wariant贸w Skullera opiera si臋 na dw贸ch plikach, kt贸re klasyfikujemy jako Skuller.gen, i to w艂a艣nie te pliki wyr贸偶niaj膮 Skullera od innych rodzin z podobn膮 funkcjonalno艣ci膮 (np. Doombot lub Skudoo):

  • plik o tej samej nazwie co aplikacja, kt贸r膮 zast臋puje (rozszerzenie "aif"). Jego rozmiar wynosi 1 601 bajt贸w. Jest to plik ikony zawieraj膮cy obrazek trupiej czaszki. Plik zawiera r贸wnie偶 nast臋puj膮cy ci膮g tekstowy: “↑Skulls↑Skulls”;
  • plik o tej samej nazwie co aplikacja, kt贸r膮 zast臋puje (rozszerzenie "app"). Jego rozmiar wynosi 4 796 bajt贸w. Jest to aplikacja EPOC, plik jest pusty i nie zawiera 偶adnych funkcji.

Problemy z klasyfikacj膮

Jeden z g艂贸wnych problem贸w we wsp贸艂czesnych badaniach nad mobilnym z艂o艣liwym oprogramowaniem dotyczy klasyfikacji; w szczeg贸lno艣ci w艂a艣ciwego oznaczania nowych pr贸bek i przydzielenia ich do klasy, kt贸ra odzwierciedla ich zachowanie. G艂贸wna trudno艣膰 polega na tym, 偶e wi臋kszo艣膰 nowych z艂o艣liwych program贸w dla mobilnych urz膮dze艅 to hybrydy posiadaj膮ce funkcjonalno艣膰 dw贸ch lub wi臋kszej ilo艣ci r贸偶nych typ贸w z艂o艣liwego oprogramowania.

System klasyfikacji firmy Kaspersky Lab ma przejrzyst膮 struktur臋:

  • Zachowanie: okre艣la, jaki to program i co robi, na przyk艂ad: Email-Worm, Trojan-Downloader, Trojan-Dropper.
  • 艢rodowisko - tj. system operacyjny lub aplikacja, w kt贸rej dzia艂a z艂o艣liwy program, na przyk艂ad: Win32, MSWord, Linux, VBS.
  • Nazwa rodziny i identyfikator wersji (litera lub litery).

Problemy dotycz膮ce zaklasyfikowania szkodnika do odpowiedniej rodziny oraz nadania identyfikatora wersji z regu艂y nie wyst臋puj膮. Zdarzaj膮 si臋 jednak przypadki, gdy wyb贸r rodziny nie jest oczywisty. Problem ten zostanie szczeg贸艂owo om贸wiony w dalszej cz臋艣ci tekstu.

Niekiedy trudno jest zidentyfikowa膰 艣rodowisko. Obecnie wi臋kszo艣膰 mobilnych z艂o艣liwych program贸w pisanych jest dla systemu operacyjnego Symbian, kt贸ry oznaczamy symbolem "SymbOS". Jednak coraz cz臋艣ciej u偶ytkownicy chc膮 wiedzie膰, dla jakiej konkretnej serii Symbiana zosta艂 stworzony okre艣lony z艂o艣liwy program. "Czy dany trojan b臋dzie uruchamia艂 si臋 tylko w 艣rodowisku Symbian Series 60 SE, czy b臋dzie r贸wnie偶 atakowa艂 urz膮dzenia dzia艂aj膮ce pod kontrol膮 Series 80 itd." W przypadku z艂o艣liwego oprogramowania dla komputer贸w, w naszym systemie klasyfikacji identyfikujemy okre艣lon膮 wersj臋 Windowsa: Win16, Win9x, Win32. Tak wi臋c mo偶liwe jest, 偶e w przysz艂o艣ci nasza klasyfikacja z艂o艣liwego oprogramowania dla Symbiana b臋dzie r贸wnie偶 zawiera艂a identyfikator wersji systemu operacyjnego podatnego na infekcj臋.

Je艣li chodzi o mobilne z艂o艣liwe programy, zidentyfikowanie serii Symbiana jest dla nas najmniejszym z problem贸w. Sprawy komplikuj膮 si臋 o wiele bardziej, gdy analizujemy system Windows Mobile.

Na przyk艂ad, istniej膮 wirusy, kt贸re zosta艂y napisane dla Windows CE 2003. Nazwali艣my to 艣rodowisko WinCE. Jednak z艂o艣liwe programy stworzone dla Windows Mobile 5.0 nie dzia艂aj膮 w 艣rodowisku Windows CE. Co wi臋cej, Windows Mobile nie zast臋puje ca艂kowicie Windows CE, poniewa偶 istnieje r贸wnie偶 Windows Pocket PC. Mobilne i kieszonkowe PC-ty zawieraj膮 zestaw funkcji, kt贸re wykorzystywane s膮 tak偶e przez Windows CE, ale posiadaj膮 w艂asne specyficzne aplikacje i w艂a艣ciwo艣ci.

W rezultacie, przy pomocy istniej膮cego systemu klasyfikacji bardzo trudno jest nada膰 precyzyjn膮 nazw臋 okre艣lonemu z艂o艣liwemu programowi, kt贸ra odzwierciedla艂aby jego zachowanie.

Dodatkowo, wiele wirus贸w wymaga do swojego dzia艂ania zainstalowania .NET for WinCE/ Windows Mobile. W takich przypadkach stosujemy dla tego 艣rodowiska oznaczenie MSIL, co nie podkre艣la faktu, 偶e z艂o艣liwy program zosta艂 napisany dla urz膮dze艅 przeno艣nych.

To jednak tylko wierzcho艂ek g贸ry lodowej. Najbardziej skomplikowanym etapem procesu nadawania nazw mobilnym z艂o艣liwym programom jest wyb贸r zachowania. Spraw臋 powa偶nie komplikuje hybrydyzacja, jak r贸wnie偶 wieloplatformowe z艂o艣liwe oprogramowanie dla urz膮dze艅 przeno艣nych oraz r贸偶ne konwencje w nazewnictwie stosowane przez poszczeg贸lnych producent贸w rozwi膮za艅 antywirusowych.

Poka偶my to na przyk艂adach:

Za艂贸偶my, 偶e posiadamy plik sis (kt贸ry jest zasadniczo zarchiwizowanym instalatorem). Zawiera on pliki Cabira, Comwara, trojana Pbstealer, kilka plik贸w Skuller.gen i kilka pustych plik贸w (0 bit贸w), kt贸re s膮 cech膮 charakterystyczn膮 Locknuta. Na dodatek, plik ten instaluje wirusa Win32 do karty pami臋ci telefonu (tak samo jak trojan Cardtrap).

Zgodnie z naszym obecnym systemem klasyfikacji, powinni艣my zaliczy膰 taki plik do grupy Trojan-Dropper. Jednak nie w tym przypadku! Po zainstalowaniu Cabir wysy艂a plik sis za po艣rednictwem technologii Bluetooth. Czy to oznacza, 偶e plik sis jest robakiem? A je艣li tak, jak go nazwa膰? Cabir? Niemo偶liwe. Nie mo偶emy nazwa膰 go Cabirem i nada膰 identyfikatora nowej wersji, poniewa偶 90% zawarto艣ci pliku sis nie ma nic wsp贸lnego z Cabirem. Nazwanie go Cabirem zmyli艂oby tylko u偶ytkownik贸w.

A co ze Skullerem, Locknutem czy Cardtrapem? 呕adna z tych nazw nie jest stosowana osobno, poniewa偶 nowa pr贸bka stanowi hybryd臋. Dlatego plik sis zostanie najprawdopodobniej sklasyfikowany jako trojan i otrzyma nazw臋 istniej膮cej rodziny z naszej kolekcji. Nazwa zostanie wybrana na podstawie cech drugorz臋dnych, takich jak to, 偶e trojan zosta艂 napisany przez tego samego autora.

Takie skomplikowane sytuacje zdarzaj膮 si臋 rzadko w przypadku wirus贸w komputerowych, jednak dla mobilnego z艂o艣liwego oprogramowania s膮 praktycznie typowe. Mo偶liwe, 偶e je艣li zmniejszy si臋 liczba prymitywnych trojan贸w wandali, takich jak te opisane wy偶ej, klasyfikacja mobilnego z艂o艣liwego oprogramowania stanie si臋 艂atwiejsza.

Podobne problemy sprawia robak dzia艂aj膮cy w 艣rodowisku Win32. Po uruchomieniu na komputerze PC robak ten tworzy mi臋dzy innymi plik sis na dysku E:. Telefony z Symbianem 艂膮cz膮 si臋 zazwyczaj z komputerami PC poprzez ten dysk. Plik sis zawiera kilka pustych plik贸w, kt贸re wykorzystywane s膮 do nadpisywania wielu aplikacji systemowych telefonu. Zawiera r贸wnie偶 tego samego robaka dla systemu Win32, kt贸ry kopiuje si臋 do karty pami臋ci telefonu razem z plikiem autorun.inf. Je艣li zainfekowany telefon zostanie pod艂膮czony do "czystego" komputera, z kt贸rego podejmie si臋 pr贸b臋 uzyskania dost臋pu do karty pami臋ci, nast膮pi uruchomienie robaka, kt贸ry zainfekuje komputer.

Jest to przyk艂ad wirusa wieloplatformowego, kt贸ry potrafi dzia艂a膰 w dw贸ch systemach operacyjnych: Symbianie i Windowsie. Taki robak ju偶 istnieje - nazywa si臋 Mobler. Ale jak go sklasyfikowa膰?

Dla wirus贸w wieloplatformowych u偶ywamy identyfikatora "Multi". Mo偶e wi臋c Worm.Multi.Mobler? Niestety, nazwa ta nie powie u偶ytkownikom, 偶e wirus ten stanowi zagro偶enie dla smartfon贸w z Symbianem. Dlatego uwa偶amy, 偶e najlepiej sklasyfikowa膰 taki program na podstawie jego dw贸ch komponent贸w: plik win32 jako Worm.Win32.Mobler, natomiast plik sis jako Worm.SymbOS.Mobler.

Jednak inne firmy antywirusowe nie klasyfikuj膮 pliku sis ani jako Mobler, ani jako robaka. Nadaj膮 mu nazw臋 Trojan.SymbOS.Cardtrap, poniewa偶 zgodnie z ich systemami klasyfikacji ka偶dy szkodnik, kt贸ry instaluje do karty pami臋ci z艂o艣liwy program dla systemu Win32, to Cardtrap. Jednak szkodnik ten nie instaluje losowego trojana, ale sw贸j g艂贸wny komponent i wysy艂a w艂asn膮 kopi臋 tylko na inne systemy operacyjne. Problem tkwi w sztywnych kryteriach, na kt贸rych oparte s膮 klasyfikacje firm antywirusowych. To oznacza, 偶e przypadki nie mieszcz膮ce si臋 w standardach, kt贸re wykazuj膮 podobie艅stwo do znanych z艂o艣liwych program贸w, zostaj膮 sklasyfikowane tak samo jak one. Trac膮 na tym wszyscy - zar贸wno u偶ytkownicy, jak i same firmy antywirusowe.

Je艣li wyjdziemy z za艂o偶enia, 偶e metody rozprzestrzeniania si臋 i zachowania wielu mobilnych z艂o艣liwych program贸w b臋d膮 fundamentalnie r贸偶ni膰 si臋 od wszystkiego, co do tej pory widzieli艣my, oznacza to, 偶e b臋dziemy musieli stworzy膰 nowe klasy. Na przyk艂ad Cabir (lub jakikolwiek robak, kt贸ry rozprzestrzenia si臋 za po艣rednictwem technologii Bluetooth) m贸g艂by zosta膰 sklasyfikowany jako Bluetooth-Worm (jak na przyk艂ad Inqtana, robak dla systemu Mac OS), a robak rozprzestrzeniaj膮cy si臋 poprzez MMS - jako MMS-Worm. A co je艣li robak wysy艂a siebie za po艣rednictwem technologii Bluetooth i MMS? Kt贸ra z tych dw贸ch metod propagacji jest wa偶niejsza? Kaspersky Lab uwa偶a MMS za g艂贸wn膮 metod臋 propagacji, jednak pozosta艂e firmy antywirusowe mog膮 mie膰 inne zdanie, przyznaj膮c pierwsze艅stwo technologii Bluetooth.

Wcze艣niej czy p贸藕niej bran偶a antywirusowa b臋dzie musia艂a zaakceptowa膰 fakt, 偶e niezb臋dne jest stworzenie ujednoliconego systemu klasyfikacji mobilnego z艂o艣liwego oprogramowania. Nale偶y to uczyni膰 tak szybko, jak to tylko mo偶liwe, zanim sytuacja stanie si臋 krytyczna i zam臋t panuj膮cy w klasyfikacji wirus贸w dla komputer贸w PC (r贸偶ne firmy antywirusowe nadaj膮 wirusom zupe艂nie inne nazwy) wtargnie r贸wnie偶 do 艣wiata mobilnego z艂o艣liwego oprogramowania.

殴r贸d艂o:
Kaspersky Lab