Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych

  • Alexander Gostev
    Starszy analityk wirus贸w, Kaspersky Lab
  • Alisa Shevchenko
    Analityk wirus贸w, Kaspersky Lab
  1. Ewolucja z艂o艣liwego oprogramowania
  2. Z艂o艣liwe programy dla platform innych ni偶 Win32
  3. Ataki internetowe
  4. Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych
  5. Raport o spamie

Nowa dynamika mobilnych z艂o艣liwych program贸w

Na pocz膮tku 2006 roku tw贸rcy z艂o艣liwego kodu dla urz膮dze艅 przeno艣nych wykazali wzmo偶on膮 aktywno艣膰, wypuszczaj膮c szereg nowych z艂o艣liwych program贸w dla telefon贸w kom贸rkowych. Programy te wyr贸偶nia艂y si臋 r贸偶norodno艣ci膮 atakowanych platform oraz kierunkiem ekspansji. Do lutego/marca liczba z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych ros艂a 艣rednio o 5 - 7 nowych szkodnik贸w na tydzie艅, niekiedy o 10. Na pocz膮tku roku istnia艂o oko艂o 150 pr贸bek wszystkich znanych wirus贸w dla Symbiana, a do lata ich liczba wzros艂a do prawie 300. Trend ten zauwa偶y艂y niemal wszystkie firmy antywirusowe w swoich raportach; jednak okre艣lenie dok艂adnej liczby z艂o艣liwych program贸w dla Symbiana by艂o trudne ze wzgl臋du na fakt, 偶e r贸偶ne rozwi膮zania antywirusowe wykrywa艂y ten sam program w r贸偶ny spos贸b.

W drugim kwartale 2005 roku nast膮pi艂o zahamowanie wzrostu liczby nowych pr贸bek. Odnosi si臋 to zar贸wno do znanych rodzin, jak i do nowych z艂o艣liwych program贸w.


Tw贸rcy wirus贸w nadal pracowali nad rozwijaniem swojej wiedzy i umiej臋tno艣ci. W szczeg贸lno艣ci skoncentrowali si臋 nad zwalczaniem program贸w antywirusowych i badaniu mo偶liwo艣ci infekowania komputer贸w PC poprzez telefony kom贸rkowe. W tym ostatnim przypadku odnie艣li sukces - trojan Cardtrap instaluje do karty pami臋ci telefonu szereg r贸偶nych trojan贸w dla komputer贸w PC.

Je艣li chodzi o znane wirusy, w ci膮gu ostatnich sze艣ciu miesi臋cy Comwar (robak rozprzestrzeniaj膮cy si臋 za po艣rednictwem MMS) sta艂 si臋 najbardziej rozpowszechnionym z艂o艣liwym programem w ruchu MMS. Natomiast Cabir wykazywa艂 wolniejsze tempo infekcji: w zimie otrzymywali艣my regularne raporty o infekcjach robakiem Cabir, w lipcu natomiast nie pojawi艂y si臋 偶adne.

Rozw贸j w pierwszej po艂owie 2006

Z艂o艣liwe programy dla Symbiana

Z艂o艣liwe programy dla Symbiana osi膮gn臋艂y stadium, w kt贸rym ich tworzenie motywowane jest korzy艣ciami finansowymi; w kwietniu pojawi艂 si臋 pierwszy Trojan-Spy dla Symbiana. Flexispy zosta艂 sprzedany przez jego tw贸rc臋 za 50 dolar贸w ameryka艅skich. Trojan obejmowa艂 pe艂n膮 kontrol臋 nad smartfonami, wysy艂a艂 przest臋pcy informacje o telefonach wykonywanych przez u偶ytkownika i wysy艂anych przez niego SMS-ach.

Z艂o艣liwe programy dla Windows Mobile

Windows Mobile, obecnie druga pod wzgl臋dem popularno艣ci platforma dla smartfon贸w, r贸wnie偶 przyci膮gn臋艂a uwag臋 tw贸rc贸w z艂o艣liwego oprogramowania. W ci膮gu pierwszej po艂owy 2006 roku podwoi艂a si臋 liczba z艂o艣liwych program贸w atakuj膮cych Windows Mobile. W rzeczywisto艣ci jednak sytuacja nie by艂a tak gro藕na, poniewa偶 dla Windows Mobile pojawi艂y si臋 tylko dwa z艂o艣liwe programy – Duts i Brador. Jednak te dwie nowe pr贸bki s膮 wersjami "proof of concept", kt贸re mog膮 wyznaczy膰 nowe kierunki pracy dla innych tw贸rc贸w z艂o艣liwego oprogramowania.

Wieloplatformowe z艂o艣liwe oprogramowanie

Wirus Cxover to pierwszy przyk艂ad wirusa wieloplatformowego dla urz膮dze艅 przeno艣nych. Szkodnik ten sprawdza najpierw, kt贸ry system operacyjny dzia艂a na zainfekowanych urz膮dzeniu. Po uruchomieniu na komputerze PC Cxover wyszukuje urz膮dzenia przeno艣ne dost臋pne poprzez ActiveSync. Nast臋pnie kopiuje si臋 poprzez ActiveSync na wszystkie dost臋pne urz膮dzenia. Po przedostaniu si臋 na takie urz膮dzenie, Cxover pr贸buje skopiowa膰 si臋 na dost臋pne komputery PC. Dodatkowo, usuwa pliki u偶ytkownika na zainfekowanych urz膮dzeniach.

Robak Letum, kt贸ry zosta艂 wykryty w kwietniu, wykorzystywa艂 .NET - 艣rodowisko programistyczne, kt贸re dzia艂a zar贸wno dla komputer贸w PC, jak i urz膮dze艅 przeno艣nych opartych na systemie Windows. Letum jest typowym robakiem pocztowym, poniewa偶 rozprzestrzenia si臋 jako zainfekowany za艂膮cznik i wysy艂a w艂asne kopie na wszystkie adresy w lokalnej ksi膮偶ce adresowej. Tym samym granica pomi臋dzy urz膮dzeniami stacjonarnymi a przeno艣nymi zostaje jeszcze bardziej zaburzona. Obecnie urz膮dzenia takie mog膮 infekowa膰 siebie nawzajem, co w przysz艂o艣ci mo偶e stanowi膰 powa偶ny pow贸d do niepokoju.

Chocia偶 smartfony nadal stanowi膮 g艂贸wny obszar zainteresowania cyberprzest臋pc贸w, celem tw贸rc贸w wirus贸w staj膮 si臋 r贸wnie偶 standardowe telefony kom贸rkowe. W pierwszej po艂owie 2005 roku pojawi艂 si臋 pierwszy z艂o艣liwy program dla standardowych telefon贸w kom贸rkowych, kt贸ry wykorzystuje platform臋 J2ME w celu wykonania niekt贸rych aplikacji.

Obalony zosta艂 kolejny mit: do tej pory wi臋kszo艣膰 ludzi uwa偶a艂o, 偶e ataki na standardowe telefony nie s膮 mo偶liwe. W rzeczywisto艣ci, Trojan-SMS.J2ME.RedBrowser.a prawdopodobnie istnia艂 ju偶 na wolno艣ci od pewnego czasu i zdo艂a艂 zaatakowa膰 kilka ofiar. Wkr贸tce po wykryciu pierwszego wariantu pojawi艂 si臋 kolejny.

Wykrycie trojan贸w dla J2ME jest wydarzeniem, kt贸rego znaczenie mo偶na por贸wnywa膰 do odkrycia pierwszego robaka dla smartfon贸w w czerwcu 2004 roku. Trudno dok艂adnie oszacowa膰 skal臋 tego zagro偶enia; jednak zwa偶ywszy na fakt, 偶e liczba standardowych telefon贸w kom贸rkowych znacznie przewy偶sza liczb臋 smartfon贸w, istnienie z艂o艣liwych program贸w, kt贸re skutecznie infekuj膮 standardowe telefony nie wr贸偶y niczego dobrego. Standardowe telefony b臋d膮 teraz wymaga艂y ochrony antywirusowej w tym samym stopniu co ich bardziej zaawansowani krewni.

Hybrydyzacja: metoda tworzenia nowych rodzin z艂o艣liwego oprogramowania

Poni偶sza tabela przedstawia pojawienie si臋 nowych rodzin z艂o艣liwych program贸w w pierwszej po艂owie 2006 roku:

Nazwa Data System operacyjny Funkcja Technologia
Trojan-SMS.J2ME.RedBrowser Luty J2ME Wysy艂a SMS-y Java, SMS
Worm.MSIL.Cxover Marzec .NET Usuwa pliki,
kopiuje si臋 na inne urz膮dzenia
File (API), NetWork (API)
Worm.SymbOS.StealWar Marzec Symbian Kradnie dane,
rozprzestrzenia si臋 poprzez Bluetooth i MMS
Bluetooth, MMS, File (API)
Email-Worm.MSIL.Letum Marzec .NET Rozprzestrzenia si臋 poprzez poczt臋 elektroniczn膮 Email, File (API)
Trojan-Spy.SymbOS.Flexispy Kwiecie艅 Symbian Kradnie dane
Trojan.SymbOS.Rommwar Kwiecie艅 Symbian Wy艂膮cza funkcje systemu, zmienia ikonki Luka w systemie operacyjnym
Trojan.SymbOS.Arifat Kwiecie艅 Symbian
Trojan.SymbOS.Romride Czerwiec Symbian Zmienia aplikacje systemowe Luka w systemie operacyjnym


Wzrost liczby znanych rodzin mobilnych z艂o艣liwych program贸w

Hybrydyzacja nadal jest jednym z czynnik贸w odgrywaj膮cych najistotniejsz膮 rol臋 w tworzeniu z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych. Dobrym przyk艂adem jest StealWar, kt贸ry jest zasadniczo po艂膮czeniem dw贸ch wcze艣niejszych z艂o艣liwych program贸w: jednym z nich jest Pbstealer z grupy Trojan-spy, drugim robak Comwar. Autor StealWar po艂膮czy艂 je w jeden modu艂, aby stworzy膰 robaka posiadaj膮cego cechy obu jego "rodzic贸w": StealWar rozprzestrzenia si臋 za po艣rednictwem MMS i kradnie dane z lokalnej ksi膮偶ki adresowej. Wiele wariant贸w robak贸w Skuller i SingleJump wykazuje podobne mutacje, poniewa偶 oba zawieraj膮 elementy Cabira. Takie mutacje przyprawiaj膮 o nieustanny b贸l g艂owy producent贸w rozwi膮za艅 bezpiecze艅stwa, poniewa偶 komplikuj膮 klasyfikacj臋.

Cisza przed burz膮?

Jak wspomniano wcze艣niej, w drugim kwartale 2006 roku nast膮pi艂o zahamowanie rozwoju nowych pr贸bek; zar贸wno znanych jak i nowych rodzin z艂o艣liwego oprogramowania.

Od momentu ich pojawienia si臋 dwa lata temu rozw贸j z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych charakteryzowa艂 si臋 r贸wnomiernym tempem i by艂 przewidywalny, poniewa偶 odzwierciedla艂 ewolucj臋 mo偶liwo艣ci smartfon贸w. Dynamika wzrostu z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych zauwa偶alnie zmienia艂a si臋 dopiero kilka miesi臋cy temu, dlatego trudno jest o jakiekolwiek dok艂adniejsze prognozy. Mimo to wst臋pna ocena jest niezb臋dna.

Tw贸rc贸w z艂o艣liwego oprogramowania zwanych czarnymi kapeluszami zawsze mo偶na znale藕膰 w awangardzie nowych zagro偶e艅. Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych s膮 nadal stosunkowo nowym obszarem, kt贸rego dalsza eksploracja zale偶y ca艂kowicie od czarnych kapeluszy. Dlatego zast贸j w tworzeniu kolejnych z艂o艣liwych program贸w typu "proof of concept" dla urz膮dze艅 przeno艣nych mo偶e 艣wiadczy膰 o tym, 偶e czarne kapelusze znalaz艂y sobie inny cel. Celem takim mog膮 okaza膰 si臋 nowe luki wykryte w aplikacjach pakietu MS Office, kt贸re zosta艂y upublicznione pod koniec wiosny i na pocz膮tku lata.

Specjali艣ci z dziedziny zwalczania z艂o艣liwego oprogramowania od dawna wiedz膮, 偶e opr贸cz czarnych kapeluszy, 艣wiat tw贸rc贸w wirus贸w sk艂ada si臋 jeszcze z dw贸ch innych istotnych grup: profesjonalist贸w i dzieciak贸w skryptowych. Ci pierwsi pisz膮 z艂o艣liwe programy dla zysku, ci ostatni s膮 maniakami technologicznymi o minimalnych kwalifikacjach, kt贸rzy wykorzystuj膮 gotowy kod do tworzenia w艂asnych, raczej prymitywnych wersji istniej膮cych z艂o艣liwych program贸w.

Profesjonalni tw贸rcy z艂o艣liwego oprogramowania nie wnie艣li jeszcze 偶adnego wk艂adu do tworzenia mobilnych z艂o艣liwych program贸w. Wi臋kszo艣膰 u偶ywanych obecnie telefon贸w kom贸rkowych prezentuje 艣redni poziom zaawansowania technologicznego: od typowych telefon贸w po smartfony. Jak dot膮d urz膮dzania te nie oferowa艂y mo偶liwo艣ci stworzenia znacz膮cego komercyjnego z艂o艣liwego oprogramowania. Co wi臋cej, 偶adne z nich nie posiada wystarczaj膮cej pami臋ci do przechowywania tego rodzaju danych, kt贸re zainteresowa艂yby profesjonalist贸w. Mimo to, pierwsz膮 oznak膮 tego, 偶e profesjonali艣ci zainteresowali si臋 z艂o艣liwymi programami dla telefon贸w przeno艣nych by艂o pojawienie si臋 trojana Flexispy, kt贸ry wysy艂a autorowi raporty o SMS-ach i wykonanych telefonach.

Dzieciaki skryptowe s膮 uzale偶nione od dw贸ch pozosta艂ych grup je偶eli chodzi o tworzenie z艂o艣liwych program贸w, dlatego nie s膮 aktywne, by膰 mo偶e nawet zm臋czy艂y si臋 ju偶 pisaniem prymitywnych trojan贸w DoS dla Symbiana.

Mo偶na powiedzie膰, 偶e zast贸j w tworzeniu z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych jest przej艣ciowy. Zwi臋ksza si臋 sprzeda偶 smartfon贸w, poszerzaj膮 si臋 r贸wnie偶 ich mo偶liwo艣ci, dlatego dalsza ekspansja w tej dziedzinie wydaje si臋 nieunikniona. Czas, szczeg贸lnie jesie艅 i zima 2006-2007, poka偶e, czy zast贸j ten oznacza cisz臋 przed burz膮.

Trendy

Rozw贸j z艂o艣liwego oprogramowania ma bezpo艣redni zwi膮zek z rozpowszechnieniem urz膮dze艅 przeno艣nych na 艣wiecie. Gdy liczba smartfon贸w i podobnych urz膮dze艅 dor贸wna liczbie komputer贸w PC, z艂o艣liwe programy atakuj膮ce urz膮dzenia przeno艣ne b臋d膮 tworzone na podobn膮 skal臋.

Z danych IDC wynika, 偶e w ci膮gu pierwszych miesi臋cy 2006 roku zakupiono prawie 19 milion贸w smartfon贸w, co stanowi ponad 67 procentowy wzrost w stosunku do tego samego okresu w 2005 roku. Trend ten b臋dzie prawdopodobnie kontynuowany w 2006 roku.

Do tej pory sprzedano oko艂o 50 milion贸w smartfon贸w, z czego 40-50% przez Noki臋. Telefony Nokia dzia艂aj膮 pod kontrol膮 Symbiana, kt贸ry jest obecnie najpopularniejszym systemem operacyjnym w艣r贸d mobilnych z艂o艣liwych program贸w, w tym robak贸w Cabir i ComWar. Prawie 100% wszystkich z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych zaprojektowanych jest do dzia艂ania na Symbianie. W rezultacie, Symbian b臋dzie stanowi艂 cel cyberprzest臋pc贸w przez co najmniej kolejne sze艣膰 miesi臋cy.

Przewiduje si臋, 偶e liczba smartfon贸w wzro艣nie do 100 milion贸w na pocz膮tku 2007 roku. Tw贸rcy wirus贸w z pewno艣ci膮 nie pozostan膮 obojetni na tak wielk膮 liczb臋 potencjalnych ofiar.

Podczas InfoSecurity London w kwietniu 2006 roku firma Kaspersky Lab przeprowadzi艂a badanie, w kt贸rym okre艣lono mi臋dzy innymi rozk艂ad smartfon贸w, ich producent贸w i wykorzystywanych przez nie system贸w operacyjnych. Pe艂ne wyniki dost臋pne s膮 w tym miejscu.

Oko艂o 23% urz膮dze艅 przeno艣nych z technologi膮 Bluetooth to smartfony. 80% z nich obs艂uguje funkcj臋 Object Transfer, kt贸ra jest niezb臋dna do rozprzestrzeniania si臋 z艂o艣liwych program贸w wykorzystuj膮cych Bluetooth, takich jak Cabir, ComWar, PBStealer, Skuller itd. W tym miejscu dotykamy kluczowej kwestii bezpiecze艅stwa wsp贸艂czesnych urz膮dze艅 przeno艣nych: wykorzystania technologii Bluetooth.

Pozostawienie urz膮dzenia z komunikacj膮 Bluetooth w trybie wykrywalnym nara偶a urz膮dzenie nie tylko na infekcj臋 z艂o艣liwym oprogramowaniem, ale r贸wnie偶 na atak haker贸w wykorzystuj膮cych jedn膮 z wielu udokumentowanych luk w samej technologii Bluetooth. U偶ytkownicy powinni wykorzystywa膰 technologi臋 Bluetooth w trybie niewidocznym. Ponadto, musz膮 wykaza膰 si臋 ostro偶no艣ci膮 w stosunku do przychodz膮cych MMS-贸w.

Windows Mobile jest drugim najpopularniejszym po Symbianie systemem operacyjnym w艣r贸d z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych i szybko zyskuje przewag臋. Z pewno艣ci膮 znajdzie to odzwierciedlenie w liczbie z艂o艣liwych program贸w dla Symbiana i WinMobile. Co wi臋cej, 艂atwiej jest zakodowa膰 z艂o艣liwy program dla WinMobile z powodu jego podobie艅stwa do zwyk艂ych platform windowsowych jak r贸wnie偶 ilo艣ci dost臋pnych informacji i narz臋dzi programistycznych.

Oczywi艣cie, producenci rozwi膮za艅 antywirusowych maj膮 si臋 na baczno艣ci. Wi臋kszo艣膰 z nich opublikowa艂a nowe produkty i wersje beta, kt贸re przeznaczone s膮 do ochrony smartfon贸w lub operator贸w przed z艂o艣liwymi programami dla urz膮dze艅 przeno艣nych. W艣r贸d nich znajduje si臋 Kaspersky Anti-Virus Mobile beta, wersje beta program贸w firmy BitDefender oraz ESET, oprogramowanie WinMobile firmy Trend Micro oraz rozwi膮zania firmy McAfee dla operator贸w i ich klient贸w.

Wraz z rozpowszechnieniem si臋 mobilnych z艂o艣liwych program贸w ochrona antywirusowa urz膮dze艅 przeno艣nych staje si臋 coraz wa偶niejszym komponentem ka偶dego systemu bezpiecze艅stwa, kt贸rego celem jest wszechstronna i skuteczna ochrona sieci.

殴r贸d艂o:
Kaspersky Lab
Wi臋cej informacji
Analizy
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Ewolucja z艂o艣liwego oprogramowania
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Z艂o艣liwe oprogramowanie dla platform innych ni偶 Win32
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Ataki internetowe
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Raport o spamie