Ewolucja mobilnego szkodliwego oprogramowania

W ciągu pierwszych dwóch lat swojego istnienia mobilne szkodliwe programy ewoluowały bardzo szybko. W okresie tym pojawił się szereg różnych szkodliwych programów atakujących telefony komórkowe. Programy te były bardzo podobne do szkodników atakujących komputery: wirusów, robaków i trojanów, łącznie z oprogramowaniem spyware, adware i backdoorami.

Ten krajobraz zagrożeń stworzył warunki, które mogłyby zostać wykorzystane do przeprowadzenia powszechnego ataku na użytkowników smartfonów. Jednak taki atak nigdy nie nastąpił. Przyczyną była szybko zmieniająca się sytuacja na rynku urządzeń mobilnych. Dwa lata temu Symbian był niekwestionowanym liderem na tym rynku. Gdyby stan ten utrzymał się, istniałaby dzisiaj ogromna ilość szkodliwego oprogramowania dla smartfonów z systemem Symbian. Jednak sytuacja zmieniła się: Symbian (i Nokia) stracił główny udział w rynku na rzecz innych systemów operacyjnych i urządzeń. Obecnie Nokia posiada około 45% udział w rynku smartfonów. Pierwszą firmą, która stała się konkurencją dla Nokii, był Microsoft, który udostępnił swoją platformę Windows Mobile. Windows Mobile 5 okazał się sukcesem i był obsługiwany przez wielu największych producentów telefonów. Następnie Microsoft udostępnił wersję 6 tego systemu i opublikował jego kod źródłowy. Obecnie Windows Mobile posiada około 15% udział w globalnym rynku smart fonów. Swoją pozycję na rynku znacząco wzmocniła również firma RIM, po tym jak jej urządzenie Blackberry (które działa pod kontrolą systemu operacyjnego stworzonego przez RIM) zyskało sporą popularność w Stanach Zjednoczonych. Do dzisiaj nie zidentyfikowano żadnego szkodnika dla tej platformy, z wyjątkiem BBproxy, backdoora typu "proof-of-concept", stworzonego przez analityków luk w (http://www.praetoriang.net).

Wprowadzenie do sprzedaży iPhone'a firmy Apple to z pewnością najważniejsze wydarzenie w najnowszej historii urządzeń mobilnych. iPhone wykorzystuje mobilną wersję systemu Mac OS X i bardzo szybko stał się jednym z najlepiej sprzedających się urządzeń mobilnych na świecie. Do dzisiaj sprzedano ponad 21 mln iPhone'ów.

Gdy dodamy do tego wprowadzony niedawno do sprzedaży pierwszy telefon wykorzystujący platformę Android firmy Google, który oferuje wiele możliwości tworzenia aplikacji oraz wykorzystywanie usług Google'a, okaże się, że trudno wyłonić jednoznacznego lidera na rynku urządzeń mobilnych.

Zupełnie inaczej przedstawia się sytuacja w świecie komputerów PC, który jest wyraźnie zdominowany przez Windowsa. Musimy pamiętać, że to popularność systemu operacyjnego decyduje o tym, czy stanie się on celem ataków cyberprzestępczych. Gdy twórcy wirusów zdali sobie sprawę, że nie istnieje zdecydowany lider wśród systemów operacyjnych dla urządzeń mobilnych, uświadomili sobie również, że nie będą mogli zaatakować większości użytkowników urządzeń mobilnych jednym uderzeniem. Dlatego mniej skupili się na pisaniu szkodliwych programów atakujących konkretne platformy i poświecili się tworzeniu programów potrafiących infekować kilka platform.

Rodziny i modyfikacje szkodliwego oprogramowania: statystyki i zmiany

Lista mobilnych szkodliwych programów podana w pierwszej części artykułu "Ewolucja mobilnego szkodliwego oprogramowania" z 30 sierpnia 2006 roku zawiera 5 platform, które stanowiły cel ataków twórców wirusów. W ciągu trzech lat, które minęły od tego czasu, do listy tej została dodana tylko jedna platforma: S/EGOLD (sklasyfikowana przez Kaspersky Lab jako SGold) wykorzystywana w telefonach Siemensa. S/EGOLD to otwarta platforma, która pozwala użytkownikom zainstalować własne aplikacje.

Rozkład mobilnego szkodliwego oprogramowania według platformy.

Między 2006 a 2009 rokiem liczba szkodliwych programów dla urządzeń mobilnych wzrosła trzykrotnie. Zatem współczynnik wzrostu w okresie 2004-2006 został utrzymany.

Co nowego?

Trzy lata temu mobilne szkodliwe programy były zdolne do następujących działań:
• Rozprzestrzenianie się za pośrednictwem Bluetootha, MMS-ów
• Wysyłanie SMS-ów
• Infekowanie plików
• Umożliwianie zdalnej kontroli smartfonu
• Modyfikowanie lub zastępowanie ikonek lub aplikacji systemowych
• Instalowanie "fałszywych" i niedziałających czcionek i aplikacji
• Zwalczanie programów antywirusowych
• Instalowanie innych szkodliwych programów
• Blokowanie kart pamięci
• Kradzież danych

W ciągu ostatnich trzech lat mobilne szkodliwe programy zaczęły stosować nowe technologie i techniki, które obejmują:
• Rozprzestrzenianie się za pośrednictwem nośników przenośnych
• Uszkadzanie danych użytkownika
• Wyłączanie mechanizmów bezpieczeństwa systemu operacyjnego
• Pobieranie innych plików z Internetu
• Dzwonienie na płatne serwisy
• Polimorfizm

Technologie i podejścia

Stosunkowo duża liczba szkodliwych programów, które atakują komputery PC, rozprzestrzenia się poprzez kopiowanie się na nośniki wymienne lub pamięci flash USB. Ta metoda rozprzestrzeniania się, mimo że prymitywna, okazała się bardzo skuteczna. Metodę tę wykorzystali również twórcy mobilnych szkodliwych programów. Przykładem może być Worm.WinCE.InfoJack. Robak ten kopiuje się na dysk E:. W smartfonach działających pod kontrolą systemu Windows Mobile litera ta oznacza kartę pamięci urządzenia.

Oprócz procedury rozprzestrzeniania się InfoJack posiada również inne interesujące funkcje. Po pierwsze, robak ten powiela się w ramach plików instalacyjnych CAB, które zawierają również legalne aplikacje i gry. Najwyraźniej, sztuczka ta jest stosowana w celu ukrycia aktywności robaka. Po drugie, InfoJack wyłącza sprawdzanie podpisów aplikacji, które jest jednym z mechanizmów ochrony zaimplementowanych w Windows Mobile. W rezultacie, jeżeli użytkownik będzie próbował zainstalować niepodpisaną aplikację (która może być szkodliwa), system operacyjny nie powiadomi użytkownika, że aplikacja nie posiada podpisu. Po trzecie, jak tylko smartfon zostanie podłączony do Internetu, robak próbuje pobrać dodatkowe szkodliwe moduły. Tak więc InfoJack posiada również funkcjonalność downloadera. Ponadto, robak wysyła swojemu autorowi dane osobiste użytkownika.

Podsumowując, szkodnik potrafi rozmnażać się, pobierać pliki z Internetu, wyłączać zabezpieczenia systemu operacyjnego i szpiegować użytkowników. Jest również bardzo dobry w maskowaniu siebie.

Worm.WinCE.PMCryptic.a jest kolejnym przykładem robaka, który kopiuje się na karty pamięci. Jednak szkodnik ten zasłynął z innego powodu: jest to pierwszy robak polimorficzny i wirus towarzyszący dla smartfonów! Robak ten, stworzony w Chinach, nie został wykryty na wolności - jest to jedynie kod "proof of concept". Jednak już sam fakt, że możliwe jest stworzenie szkodników polimorficznych dla smartfonów, jest niepokojący.

Problemem dla właścicieli smartfonów są również różne prymitywne trojany, które uszkadzają lub usuwają dane użytkowników. Przykładem jest Trojan.SymbOS.Delcon.a - ten 676-bajtowy trojan infekuje smartfony działające pod kontrolą systemu operacyjnego Symbian! Po uruchomieniu archiwum SIS plik o nazwie contacts.pdb zawierający kontakty użytkownika jest zastępowany innym plikiem z zainfekowanego archiwum. Zainfekowana wersja pliku contacts.pdb zawiera następujący komunikat w języku angielskim i rosyjskim:

«If you have installed this programm you are really stupid man :D
Series60 is only for professionals...(c)
by KoS. 2006 ))»

«Если вы установили эту программу, вы действительно глупы :D
Series 60 - только для профессионалов… (c)
KoS. 2006 ))»

Jedna ze stron, na której cyberprzestępcy oferują płatne usługi tworzenia takich szkodliwych programów, zawiera następujący komunikat: "Program ten jest bardzo dochodowy. Przypomina album fotograficzny. Po uruchomieniu wyświetla ładny obrazek, a następnie okienko dialogowe: "Aby kontynuować, musisz mieć ukończone 18 lat". Jeżeli użytkownik odpowie "tak", program wyśle SMS-a na krótki numer...

Programy z rodziny Trojan-SMS.Python.Flocker są tworzone dla innej platformy - Python. Zasadniczo jednak są takie same jak Trojany J2ME. Archiwum SIS zawiera główny skrypt napisany w języku Python, który wysyła wiadomości SMS na krótki numer o podwyższonej opłacie. Archiwum zawiera również dodatkowe pliki mające na celu maskowanie szkodliwej aktywności.

Modyfikacje Flockera okazały się bardzo podobne do siebie, a tym, co je różniło, był krótki numer. Podobieństwo to zdawało się sugerować, że kod źródłowy skryptu może być publicznie dostępny. Hipoteza ta potwierdziła się. Źródło skryptu w języku Python zostało opublikowane na forum i jego fragmenty okazały się identyczne z wcześniej wykrytymi szkodliwymi skryptami. Interesujące jest to, że skrypt dostępny do pobrania mógł zainfekować również inne skrypty napisane w języku Python przechowywane w telefonie.

Rozprzestrzenianie

Rosyjscy twórcy wirusów w coraz większym stopniu wykorzystują różne Trojany SMS. Jednym z najpopularniejszych sposobów (istnieje tylko kilka) rozprzestrzeniania takich szkodliwych programów jest wykorzystywanie portali WAP, na których można pobrać różne dzwonki, obrazy, gry i aplikacje dla telefonów komórkowych. Ogromna większość trojanów SMS występuje pod postacią aplikacji, które mogą być wykorzystywane do wysyłania darmowych wiadomości SMS lub uzyskiwania darmowego dostępu do Internetu. Inne są prezentowane jako treści erotyczne lub pornograficzne.

Dlaczego portale WAP? Odpowiedź jest prosta: Rosja znajduje się w pierwszej czwórce państw z największą liczbą mobilnych użytkowników Internetu. Wielu użytkowników odwiedza strony WAP w celu pobierania różnej zawartości na swoje telefony.

Większość stron, na których znajduje się szkodliwe oprogramowanie, pozwala użytkownikom na umieszczanie własnych plików. Minimalne wymagania rejestracyjne, jeżeli w ogóle istnieją, oraz darmowy dostęp do tego rodzaju zasobów online daje cyberprzestępcom możliwość swobodnego rozprzestrzeniania swoich prymitywnych tworów. Jedyne, co muszą zrobić twórcy wirusów, to nadanie zainfekowanemu plikowi kuszącej nazwy (free_gprs, super_porno itp.) i stworzenie atrakcyjnego opisu programu. Później pozostaje im już tylko czekać, aż na taką przynętę złapią się osoby, które chcą "wysłać darmowego SMS-a" lub "obejrzeć zdjęcie pornograficzne".

Po umieszczeniu szkodliwego oprogramowania na stronie WAP cyberprzestępcy muszą ją wypromować. W tym celu często wysyła się masowe wysyłki do użytkowników ICQ lub spamuje fora. ICQ jest wykorzystywany ze względu na popularność tego komunikatora w Rosji i byłych krajach Związku Radzieckiego. Wiele osób ma na swoich telefonach zainstalowane klienty ICQ, aby móc kontaktować się z innymi osobami z dowolnego miejsca; przez to stanowią potencjalne ofiary.

Aspekt finansowy

Wiadomości SMS są jak dotąd jedynym sposobem, za pomocą którego twórcy mobilnych wirusów mogą zarabiać nielegalnie pieniądze. W połowie 2007 roku przeanalizowaliśmy Vivera, pierwszego trojana SMS dla Symbiana, łącznie ze szczegółową analizą sposobów wykorzystywania tego trojana do zarabiania pieniędzy. Dzisiaj ten sam scenariusz jest nadal wykorzystywany w bardziej lub mniej podobnej formie. Stosują go wszystkie trojany SMS.

Aby zarobić nielegalnie pieniądze, cyberprzestępcy muszą nabyć prefiks, lub hasło, połączone z krótkim numerem. Wiele twórców wirusów bierze udział w tak zwanych "programach partnerskich", dzięki którym nie muszą indywidualnie wydzierżawiać krótkich numerów, ale mogą korzystać ze wspólnych. Po zapisaniu się do takich programów partnerskich cyberprzestępcy otrzymują zamiast całego prefiksu kombinację "prefiks +ID partnera". Pieniądze pobrane z kont właścicieli zainfekowanych urządzeń mobilnych są rozdzielane pomiędzy członków programu partnerskiego.