Началом истории вирусов для мобильных телефонов можно считать июнь
2004 года. Именно тогда командой вирусописателей 29А был создан первый
вирус для смартфонов. Вирус распространялся посредством технологии
беспроводной передачи данных Bluetooth и заражал мобильные устройства с
операционной системой Symbian. Согласно классификации «Лаборатории
Касперского» вирус получил название Worm.SymbOS.Cabir. При запуске
зараженного файла «червь» выводит на экран надпись Cabir, за что,
собственно, и получил свое название. После того как «червь» внедрится
систему, он сканирует доступные устройства в сетевом окружении
Bluetooth, а затем выбирает «первую попавшуюся жертву», чтобы переслать
ей свою копию. Самое интересное заключается в том, что оригинальный
экземпляр Worm.SymbOS.Cabir по настоятельным рекомендациям
автора-созда-теля был разослан в антивирусные компании, однако спустя
некоторое время исходные коды «червя» появились в Интернете, что,
собственно, и явилось причиной создания различных модификаций
вредоносной программы. Публикация исходных кодов этого вируса сделала
его «свободным» — «червь» начал самостоятельно «странствовать» по
мобильным телефонам во всем мире.
Уже спустя месяц после появления Cabir антивирусные компании
констатировали появление нового вируса для мобильных телефонов —
Virus.WinCE.Duts, который примечателен тем, что является фактически
первым файловым вирусом для операционной системы Windows Mobile. Спустя
некоторое время коллекция вирусологов пополнилась утилитой удаленного
администрирования (классификацию вредоносных программ см. в гл. 5) —
Backdoor.WinCE.Brador. Через некоторое время мобильный мир узнал о новой угрозе — программа
QDial26 способна нанести реальный ущерб владельцу «сотового». QDial26,
содержащаяся в игре Mosquito 2.0, попав в телефон, берет его под
контроль, результатом чего является отсылка дорогих SMS на сервисные
номера. QDial26 представляет собой троянскую программу, которая
избирательно поражает мобильные телефоны, работающие под управлением
операционной системы Symbian OS 6.0.
Спустя несколько месяцев под видом установочного пакета значков и тем
Рабочего стола на некоторых форумах можно было встретить троянскую
программу Trojan.SymbOS.Skuller, которая примечательна тем, что при
установке способна полностью замещать программные файлы Symbian и
выводить на экран изображения в виде черепа. Появление данной
вредоносной программы можно считать символичным событием, так как
большинство последующих мобильных вирусов создавались при использовании
обнаруженной уязвимости Symbian OS (использована информация «Лаборатории
Касперского»):
? Trojan.SymbOS.Dampig, перезаписывающая системные приложения поврежденными;
? Trojan.SymbOS.Drever, отключающая автоматический запуск некоторых антивирусов путем перезаписи их загрузчиков;
? Trojan.SymbOS.Fontal, подменяющая системные файлы шрифтов на
другие, абсолютно работоспособные, но не соответствующие данному
языковому дистрибутиву операционной системы файлы шрифтов, в результате
чего телефон перестает загружаться;
? Trojan.SymbOS.Hobble, заменяющая системное приложение File Explorer на поврежденное;
? Trojan.SymbOS.Appdisabler и Trojan.SymbOS.Doombot, которые
повторяют функционал Trojan.SymbOS.Dampig (вторая также инсталлирует в
систему Worm.SymbOS.Comwar);
? Trojan.SymbOS.Blankfont, практически аналогичная Trojan.SymbOS.Fontal.
Безопасность мобильных устройств под угрозой
Говоря о безопасности мобильных устройств, следует отметить ряд
особенностей, благодаря которым распространение вирусов может носить
масштабный характер.
? Абсолютное большинство ныне существующих мобильных вирусов
являются «червями», что способствует их глобальному распространению и
заражению большого количества мобильных устройств.
? Cуществующие в настоящее время модификации «червей»
Worm.SymbOS.Cabir и Worm.SymbOS.Comwar (а таких большинство в общем
проценте мобильных вирусов) распространяются посредством технологии
беспроводной связи Bluetooth и MMS.
Самое интересное заключается в том, что в распространении вируса
через Bluetooth ключевая роль отводится человеческому фактору: «червь» и
его модификации (Worm.SymbOS.Cabir) при заражении не используют никаких
уязвимостей системы, а инсталлируются «добровольно». На экране
атакованного Symbian-телефона, вне зависимости от установленной в нем
операционной системы, появляется уведомление о входящем файле и запрос
на его загрузку. Пользователь, подтверждая запрос, фактически сам
заражает свой телефон. После установки «червь» начинает активно
сканировать окружающее пространство в поисках нового доступного для
заражения Bluetooth-устройства. Для более полного представления картины
заражения здесь уместно напомнить принципы организации Bluetooth. Bluetooth — технология беспроводной передачи данных, разработана в
1998 году. На настоящий момент технология получила широкое
распространение и активно используется для обмена данными между
различными портативными устройствами: телефонами и гарнитурами к ним,
КПК и настольными компьютерами и др. Радиус действия Bluetooth-связи
ограничивается 10-20 м, причем физические препятствия (стены и др.)
слабо прерывают связь. Теоретическая скорость передачи данных доходит до
721 Кбит/с.
Картина мобильных вирусов была бы неполной, если бы мы не упомянули
«червь» Worm.SymbOS.Comwar, который для своего распространения, помимо
технологии
Bluetooth, использует технологию MMS, рассылая по имеющимся номерам
телефонов адресной книги MMS-сообщения с «сюрпризом» — вложенной копией
своего инсталляционного файла.
Содержание рассылаемых «червем» сообщений целиком и полностью носит
«социально-инженерный характер» и представлен примерно такими
сообщениями: Symbian security update, Nokia RingtoneManager for all
models и т. д. Получив такое сообщение, Symbian-телефон автоматически
запускает на исполнение вложенный в него файл, после чего «червь»
устанавливается в систему.
Если рассуждать о том, какой из механизмов передачи данных —
Bluetooth или MMS — является более опасным, то ответ на этот вопрос,
скорее всего, останется открытым. Посудите сами: MMS-технология
поддерживается, несомненно, большим количеством телефонов, в то же время
Bluetooth обеспечивает универсальность, позволяя объединять устройства
различного типа.
Что же касается платформы заражения, то тут «приоритет» следует
отдать Symbian-телефонам, которые автоматически загружают и запускают
любой файл, оказавшийся в папке Входящие. Что же касается телефонов с
установленной операционной системой Windows Mobile, то такие аппараты
лишь сохраняют полученный файл в память, не запуская его.
Исходя из всего вышесказанного, можно было бы предположить, что
Symbian является наиболее уязвимой мобильной платформой, но не следует
забывать, что она всего лишь объект для нападения, как наиболее
распространенная мобильная операционная система, и поэтому все точки над
«i» пока еще ставить слишком рано.
Источник: http://telcomnet.ru/internet-novye-vozmozhnosti-tryuki-i-effekty-str150.html
| 