Назад в дневник Пишет Крег
ВНИМАНИЕ-ВИРУСЫ! (ВВЕДЕНИЕ).Появление и развитие вирусов для мобильных устройств
В области современных технологий наблюдается тенденция к всесторонней взаимной интеграции. Беспроводные устройства быстро «умнеют», стремясь к возможностям персонального компьютера, а «умная» техника — КПК, автомобильные компьютеры и бытовые приборы нового поколения — обзаводится функциями беспроводной связи. Судя по всему, эти процессы сойдутся в начале эпохи «цифровых домов», глобальных сетей из разнообразных устройств, обменивающихся друг с другом данными непосредственно, как любят выражаться поклонники киберпанка, по «насыщенному двоичными битами воздуху». Нужно ли объяснять, какие опасности для пользователей таят в себе подобные тенденции, и какие возможности они открывают для злоумышленников?
Конечно, мы пока далеки от мира, в котором для получения контроля над чужой машиной не требуется ничего, кроме ноутбука с адаптером беспроводной связи, но проблема безопасности мобильных устройств актуальна уже сегодня, и неудивительно, что ее первым проявлением оказались компьютерные вирусы.
На первый взгляд, проблема вирусов является лишь частным случаем проблемы безопасности цифровой системы, но история «стационарных» компьютерных вирусов опровергает это предположение: в ходе своего развития вредоносные программы для персональных компьютеров постепенно мутировали от невинных поделок скучавших программистов и самоутверждавшихся студентов до сложных профессиональных решений, связанных с извлечением финансовой выгоды. К сегодняшнему дню грани между вирусами и сетевой безопасностью, уязвимостями программного обеспечения, рекламными технологиями и криминальными структурами оказались практически стерты. Поэтому невозможно преувеличить важность исследования вирусных технологий в контексте обеспечения безопасности цифровых систем.
Данный аналитический обзор посвящен современным вирусным угрозам для мобильных устройств — техники, работающей под управлением портативных операционных систем и оснащенной технологиями беспроводной передачи данных — и в теории относится к ним всем. Однако его практическая сторона касается в основном смартфонов и коммуникаторов. Именно этот сектор мобильных устройств наиболее привлекателен для вирусописателей, в отличие от КПК, которые не гарантируют удобной почвы для распространения вирусов ввиду отсутствия должного уровня связности, и прочей мобильной техники, степень распространенности которой пока близка к нулю.
История вирусов для мобильных устройств
История вирусов для мобильных устройств начинается в июне 2004 года, когда командой вирусописателей-профессионалов 29А был создан первый вирус для смартфонов. Вирус «называет себя» Caribe, функционирует на базе операционной системы Symbian и распространяется при помощи технологии беспроводной передачи данных Bluetooth, за что получил название Worm.SymbOS.Cabir в классификации «Лаборатории Касперского».
Самый первый Worm.SymbOS.Cabir хоть и произвел много шума, являлся исключительно концептуальной разработкой (Proof-of-Concept, PoC) — демонстрацией самой возможности существования вирусов на платформе ОС Symbian. Авторы такого рода разработок, движимые любознательностью и стремлением поспособствовать укреплению безопасности атакованной ими системы, обычно не заинтересованы в их распространении или злоумышленном использовании. Действительно, оригинальный экземпляр Worm.SymbOS.Cabir был разослан в антивирусные компании по поручению самого автора, однако позже исходные коды червя появились в интернете, что повлекло за собой создание большого количества новых модификаций данной вредоносной программы. Фактически, после публикации исходных кодов Cabir начал самостоятельно «бродить» по мобильным телефонам во всем мире.
Через месяц после Cabir антивирусные компании обнаружили очередную технологическую новинку. Virus.WinCE.Duts занял сразу две «почетные ниши» в коллекциях вирусологов: это первый известный вирус для платформы Windows CE (Windows Mobile), а также — первый файловый вирус (file infector) для смартфонов. Duts заражает исполняемые файлы в корневой директории устройства, предварительно, правда, спросив разрешения у пользователя.
Продолжение виртуальной атаки на Windows Mobile со стороны вирусописателей не заставило себя долго ждать: через месяц после Duts появился Backdoor.WinCE.Brador — первый бэкдор для мобильной платформы. Эта вредоносная программа открывает доступ к зараженному устройству — КПК или смартфону — по сети, ожидая подключения злоумышленника на определенном порту. Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину.
На этом активность самых квалифицированных исследователей безопасности мобильных устройств, авторов концептуальных вирусов, представляющих радикально новые технологии в области вирусописательства, практически заканчивается. Последовавший за Brador Trojan.SymbOS.Mosquit представляет собой изначально безвредную игру для платформы Symbian (Mosquitos), в код которой неизвестный злоумышленник внес некоторые исправления. Модифицированная игра при запуске начинает отправлять SMS-сообщения на указанные в коде номера телефонов, подпадая под определение «троянской программы».
После трехмесячного перерыва, в ноябре 2004, на некоторых интернет-форумах мобильной тематики был под видом установочного пакета новых иконок и «тем» рабочего стола размещен новый Symbian-троянец — Trojan.SymbOS.Skuller. Программа представляет собой SIS-файл — приложение-инсталлятор для платформы Symbian. Ее запуск и установка в систему приводит к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать.
Таким образом, Trojan.SymbOS.Skuller продемонстрировал всему миру две неприятные особенности архитектуры Symbian:
возможность беспрепятственной перезаписи системных приложений;
отсутствие устойчивости операционной системы по отношению к поврежденным либо нестандартным («неожиданным») системным файлам с одной стороны, и отсутствие необходимых для закрытия этой уязвимости проверок — с другой.
Уязвимости были быстро подхвачены любителями самоутвердиться за счет создания вирусов. Skuller стала родоначальницей самого большого на сегодняшний день класса вредоносных программ для мобильных телефонов. Функциональность таких программ чрезвычайно примитивна и сводится к прямолинейной эксплуатации вышеуказанных особенностей Symbian. Если провести параллель с PC-вирусами, по соотношению абсолютной вредности и технической сложности представители этого класса вирусов аналогичны BAT-файлам DOS, выполняющим команду «format c:».
Второй троянец этого класса — Trojan.SymbOS.Locknut — появился через два месяца. Он эксплуатирует «доверчивость» (отсутствие проверок целостности файлов) Symbian уже более целенаправленно. После запуска вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещается файл gavno.app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система, исходя только из расширения файла gavno.app, считает его исполняемым — и зависает, пытаясь запустить «приложение» после перезагрузки. Включение смартфона становится невозможным.
С этого момента начали появляться троянцы, эксплуатирующие уязвимость Symbian. Они регулярно появляются и по сей день, отличаясь лишь конкретным способом эксплуатации.
Trojan.SymbOS.Dampig, перезаписывающая системные приложения поврежденными.
Trojan.SymbOS.Drever, отключающая автоматический запуск некоторых антивирусов путем перезаписи их загрузчиков.
Trojan.SymbOS.Fontal, подменяющая системные файлы шрифтов на другие, абсолютно работоспособные, но не соответствующие данному языковому дистрибутиву операционной системы файлы шрифтов, в результате чего телефон перестает загружаться.
Trojan.SymbOS.Hobble, заменяющая системное приложение File Explorer на поврежденное.
Trojan.SymbOS.Appdisabler и Trojan.SymbOS.Doombot, повторяющие функционал Trojan.SymbOS.Dampig (вторая также инсталлирует в систему Worm.SymbOS.Comwar).
Trojan.SymbOS.Blankfont, практически аналогичная Trojan.SymbOS.Fontal.
Сплошная череда однотипных троянцев прерывается лишь червями Worm.SymbOS.Lasco (январь 2005) — дальним родственником Worm.SymbOS.Cabir, отличающимся от него наличием функции заражения SIS-файлов; и Worm.SymbOS.Comwar (март 2005), впервые реализующим технологию самораспространения при помощи MMS.
Название Дата обнаружения ОС Функционал Технологическая основа вредного функционала Кол-во вариантов Worm.SymbOS.Cabir Июнь 2004 Symbian Распространение по Bluetooth Bluetooth 11 Virus.WinCE.Duts Июль 2004 Windows CE Заражение файлов — (File API) 1 Backdoor.WinCE.Brador Август 2004 Windows CE Предоставление удаленного доступа по сети — (Network API) 1 Trojan.SymbOS.Mosquit Август 2004 Symbian Рассылка SMS SMS 1 Trojan.SymbOS.Skuller Ноябрь 2004 Symbian Подмена файлов иконок Уязвимость ОС 12 Worm.SymbOS.Lasco Январь 2005 Symbian Распространение по Bluetooth, заражение файлов Bluetooth, File API 1 Trojan.SymbOS.Locknut Февраль 2005 Symbian Инсталляция поврежденных приложений Уязвимость ОС 2 Trojan.SymbOS.Dampig Март 2005 Symbian Подмена системных приложений Уязвимость ОС 1 Worm.SymbOS.Comwar Март 2005 Symbian Распространение по Bluetooth и MMS Bluetooth, MMS 2 Trojan.SymbOS.Drever Март 2005 Symbian Подмена загрузчиков приложений-антивирусов Уязвимость ОС 3 Trojan.SymbOS.Fontal Апрель 2005 Symbian Подмена файлов шрифтов Уязвимость ОС 2 Trojan.SymbOS.Hobble Апрель 2005 Symbian Подмена системных приложений Уязвимость ОС 1 Trojan.SymbOS.Appdisabler Май 2005 Symbian Подмена системных приложений Уязвимость ОС 2 Trojan.SymbOS.Doombot Июнь 2005 Symbian Подмена системных приложений, инсталляция Comwar Уязвимость ОС 1 Trojan.SymbOS.Blankfont Июль 2005 Symbian Подмена файлов шрифтов Уязвимость ОС 1
Если обратить внимание на динамику изменения функционала появлявшихся после Cabir вредоносных программ для мобильных платформ, то история мобильных вирусов предстает разделенной на две «эпохи»: первые полгода с момента появления первого вируса — с июня 2004 по январь 2005 — период технологических прорывов; следующие же полгода — с января 2005 по настоящее время — период засилья примитивных троянцев для Symbian. А если учитывать, что первые упоминания о черве Worm.SymbOS.Comwar появились в интернете за два месяца до того, как его экземпляр попал в антивирусные компании, и что Worm.SymbOS.Lasco фактически является переработкой Worm.SymbOS.Cabir — граница между двумя эпохами выглядит особенно четкой.
Таким образом, на сегодняшний день качественное развитие области мобильных вирусов проходит стадию плато: последней вредоносной программой, воплотившей в себе принципиально новую технологию, была Worm.SymbOS.Comwar (март 2005). Количественное развитие равномерно: новые вредные программы под ОС для мобильных устройств (не считая модификаций уже известных вирусов) появляются в среднем один раз в месяц.
