23:54 03.09.2009 Мобильная вирусология (часть 3-2) | |
Технологии и приемыДовольно большое количество вредоносных программ для персональных компьютеров используют технологию самокопирования на сменные диски или USB-флэшки. Примитивный способ размножения, к несчастью, оказался весьма эффективным. Мобильные вирусописатели решили не отставать от «модных» тенденций и начали использовать такой прием в своих вредоносных программах. Пример такой вредоносной программы — Worm.WinCE.InfoJack. Этот червь копирует себя на диск E:. В смартфонах, оснащенных операционной системой Windows Mobile, эта буква обозначает карту памяти мобильного устройства. Помимо способа размножения, червь InfoJack обладает еще несколькими интересными особенностями. Во-первых, вредоносная программа распространяется в cab-инсталляторе, куда, помимо копии червя, входят также различные легальные приложения и игры. Очевидно, что такой прием используется для маскировки активности вредоносной программы. Во-вторых, InfoJack отключает проверку подписи приложений (один из защитных механизмов ОС Windows Mobile). Это означает, что при попытке установки пользователем неподписанного приложения (которое может оказаться вредоносным), операционная система не выдаст предупреждения об отсутствии подписи у исполняемого файла. В-третьих, при подключении смартфона к интернету червь пытается загрузить из Сети дополнительные модули для своей работы. Таким образом, InfoJack содержит в себе загрузочный функционал. Ну и на закуску у нас осталась отсылка персональных данных пользователя смартфона автору вредоносной программы. Что мы имеем в итоге? Вредоносную программу с функционалом размножения, загрузки сторонних файлов из Сети, отключения систем защиты ОС и шпионажа за пользователем. Плюс достаточно хорошая маскировка. Червь Worm.WinCE.PMCryptic.a также может служить примером использования копирования на карту памяти. Однако его уникальность заключается в другом: это первый полиморфный червь и вирус-компаньон для смартфонов! К счастью, этот китайский червь не был обнаружен «в дикой природе» и является только «доказательством возможности существования». Однако сам факт возможности создания полиморфных вредоносных программ для смартфонов не сулит ничего хорошего. Различные примитивные троянские поделки, портящие или уничтожающие пользовательские данные на смартфоне, также доставили немало проблем владельцам смартфонов. Один из примеров — Trojan.SymbOS.Delcon.a. Это троянская программа для смартфонов под управлением ОС Symbian размером всего лишь 676 байт! После запуска sis-архива происходит перезапись файла contacts.pdb, хранящего все контакты пользователя, на файл с аналогичным именем из вредоносного архива. Вредоносный contacts.pdb содержит следующие слова: «If you have installed this programm you are really stupid man :D
Series60 is only for professionals...(c) by KoS. 2006 ))» «Если вы установили эту программу, вы действительно глупы :D Series 60 — только для профессионалов… (c) KoS. 2006 ))» До появления not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, которая осуществляет звонки на международные платные номера, подобные программы были лишь компьютерной реалией. Программа not-a-virus:Porn-Dialer.SymbOS.Pornidal.a работает следующим образом: при запуске пользователем sis-файла появляется текст лицензионного соглашения, в котором говорится, что приложение будет осуществлять звонки на международные платные номера для получения полного доступа к сайту, содержащему порнографические материалы. Номера, на которые осуществляются звонки, расположены в различных страх мира (4 страны в Европе, 4 — в Африке, 1 страна — в Океании). Опасность подобного рода программ заключается в том, что, во-первых, подобное ПО может быть изменено злоумышленниками таким образом, что оно станет вредоносным и будет использовано для получения нелегальной прибыли. Например, если в приложении убрать предупреждение о том, что звонки производятся на платные номера. А во-вторых, большинство пользователей невнимательно читают лицензионное соглашение, соглашаясь с ним почти автоматически. В результате они не знают, каков функционал приложения (в данном случае — звонки на платные номера).
Trojan-SMS: главная угрозаЕсли сравнить поведение вредоносных программ последних двух лет с их предшественниками, то можно заметить, что в их функционале явно преобладает отправка SMS на дорогие премиум-номера без ведома хозяев телефонов. Если три года назад такая функция была только у двух семейств вредоносных программ, то в настоящий момент ею могут похвастаться уже 32 семейства! Отправкой SMS занимались около 35% всех обнаруженных вариантов вредоносных программ для мобильных устройств. Это значит, что Trojan-SMS являются лидирующим вредоносным поведением в современном мобильном мире. Причины такой ситуации были описаны в аналитическом отчете о развитии угроз в первом полугодии 2008 года. ФункционалОсновная платформа существования Trojan-SMS — это Java 2 Micro Edition. SMS-троянцы, написанные для J2ME, опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем. Абсолютное большинство J2ME-троянцев имеют следующую структуру: jar-архив, в котором есть несколько class-файлов, один из которых и осуществляет отправку платного SMS-сообщения на короткий номер. Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем — эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений. Сразу после запуска Trojan-SMS.J2ME осуществляет попытку отправить SMS с определенным текстом на короткий номер. Java-машина в этом случае выдает пользователю предупреждение о том, что приложение пытается отправить SMS. Это может вызвать подозрения у человека, и он не разрешит отправку сообщения. Некоторые вирусописатели, поняв это, начали более тщательно маскировать вредоносные действия своих творений, иногда довольно оригинальными способами. Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета. Вот текст с одного из сайтов, где злоумышленники предлагают свои услуги по созданию подобных вредоносных программ — разумеется, за деньги: «Очень прибыльная программка, в виде фотоальбома. При запуске появляется красивая картинка, затем она исчезает, и появляется текст "Для продолжения просмотра Вам должно быть 18 лет. Вам есть 18 лет?". Если пользователь нажмет "Да", то он отошлет SMS на короткий номер...». Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), по структуре и задачам практически ничем не отличаются от J2ME-троянцев. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные файлы, служащие для маскировки основной деятельности вредоносной программы. Между различными модификациями Flocker’а не обнаруживалось практически никаких различий (в основном они отличались лишь коротким номером, на который отправлялись SMS-сообщения). Такая идентичность говорила о том, что исходные тексты скрипта, который используется в данном семействе вредоносных программ, возможно, лежат в общем доступе. Эта гипотеза подтвердилась. На одном из форумов в общий доступ был выложен текст скрипта на языке Python, фрагменты которого были идентичны скриптам из вредоносных программ, уже известных нам. Интересен также тот факт, что тот скрипт, который можно было скачать, способен заражать другие скрипты, хранящиеся на телефоне и написанные на языке Python. РаспространениеВ России использование разнообразных Trojan-SMS было поставлено вирусописателями на поток. Самый популярный (из числа немногих) способ распространения таких вредоносных программ — через WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируется либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного интернета, либо под приложения эротического или порнографического характера. Возникает вопрос: почему именно WAP-сайты? А потому, что Россия входит в четверку стран-лидеров, где наиболее активно пользуются услугами мобильного интернета. И многие пользователи посещают WAP-обменники для загрузки на телефон различного мобильного контента. Большинство сайтов, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации или ее отсутствие и в большинстве случаев бесплатный доступ к подобным ресурсам позволяют злоумышленникам распространять свои примитивные поделки безо всяких препятствий. Вирусописателю нужно лишь дать файлу как можно более заметное для потенциальных жертв имя (free_gprs, sms_besplatno, super_porno и так далее), написать привлекательный комментарий и ждать, пока кто-либо из посетителей решит «бесплатно отправить SMS» или «посмотреть эротические картинки». После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди — потенциальные жертвы. Финансовая схемаИменно SMS стали практически единственным (пока) способом нелегальной наживы для мобильных вирусописателей. Еще в середине 2007 года, расследуя инцидент с появлением первого SMS-троянца для Symbian — Viver, мы детально исследовали связанную с ним финансовую схему. В общих чертах она остается актуальной до сего времени и используется всеми Trojan-SMS. Для того чтобы получить нелегальный доход, злоумышленнику необходимо взять в аренду префикс на том или ином коротком номере. Многие вирусописатели вместо того, чтобы самостоятельно арендовать префикс на коротком номере, принимают участие в так называемых партнерских программах. Регистрируясь в партнерской сети, злоумышленник получает в свое пользование не весь префикс целиком, а сочетание «префикс + ID партнера». В этом случае деньги, исчезнувшие со счетов хозяев зараженных мобильных устройств, делятся между участниками партнерской программы. SMS-мошенничествоМобильные вредоносные программы — не единственный источник угроз для телефонов. К несчастью, SMS-мошенничество становится все более популярным среди кибепреступников. Причем угроза уже давно приобрела международный характер. Так, в 2007 году было опубликовано сообщение департамента телекоммуникаций Индии, в котором говорилось об обеспокоенности развитием SMS-фишинга в стране и рассмотрении вопроса о запрете для операторов обработки SMS-сообщений, отправленных из-за границы через веб-шлюзы. В мошеннических сообщениях, распространявшихся в Индии, говорилось о необходимости перезвонить на определенный номер и «подтвердить» некоторые необходимые детали транзакций. При звонке пользователь попадал на автоответчик, спрашивающий реквизиты и другую конфиденциальную информацию. Естественно, автоответчик принадлежал мошенникам. Подобные схемы популярны не только в Индии, но и во многих других странах. Стоит отметить немаловажный факт: операторы сотовой связи уделяют внимание данной проблеме. Они достаточно активно информируют пользователей, публикуя информацию о подобных атаках, примеры фишинговых сообщений, а также советы о том, как надо поступать в случае их получения. В России злоумышленники используют несколько иные схемы. Рассмотрим их более подробно. Вариант 1. Злоумышленник формирует SMS-сообщение примерно такого содержания: «Привет. У меня проблемы, всего рассказать не могу.
Положи денег на этот номер или на +79xx-xxx-xx-xx, деньги верну чуть
позже». Отметим, что подобные сообщения не имеют ни обращения, ни
подписи, и каждый получатель может принять их на свой счет.
Естественно, при звонке на оба номера пользователь услышит что-то вроде «Абонент временно недоступен». После чего человек может подумать: «Может быть, и вправду с кем-то из моих знакомых/друзей/родственников что-то случилось?» и перевести деньги на мобильный телефон злоумышленника. Вариант 2. В другой схеме используются платные SMS на короткие номера. Тексты
мошеннических сообщений носят достаточно разнообразный характер. «Привет. Отправь SMS с текстом *** на номер 3649,
получишь бонус 150 рублей на свой счет! SMS бесплатное, я проверил, у
меня работает». Или: «Здравствуйте! Ваш номер выиграл! Для получения
приза отправьте SMS с текстом *** на номер 1171. Стоимость SMS: 3
рубля».
Основные черты подобной атаки следующие:
Стоит отметить также тот немаловажный факт, что подобные сообщения рассылаются не только пользователям мобильных телефонов, но и пользователям ICQ, кроме того, такие послания часто встречается и в обычной электронной почте, а также в сообщениях, распространяемых в социальных сетях. УязвимостиВ самом начале 2009 года была обнаружена новая уязвимость в смартфонах под управлением следующих версий операционной системы Symbian:
Что же это за уязвимость, и как она эксплуатируется? Если на телефон под управлением одной из перечисленных выше операционных систем отправить сформированное специальным образом SMS-сообщение, то атакуемый телефон перестанет принимать входящие SMS/MMS сообщения, равно как и отсылать их. Стоит отметить тот факт, что такое вредоносное сообщение не будет отображаться в списке входящих. Никаких видимых следов эксплойта тоже нет. Именно поэтому он получил название “Curse of Silence” («Проклятье тишины»). Служба коротких сообщений перестает функционировать, но в остальном телефон продолжает работать нормально, и пройдет какое-то время, прежде чем пользователь обнаружит, что что-то не так с его смартфоном. К сожалению, ни удаление предыдущих входящих и исходящих сообщений, ни перезагрузка телефона не могут разрешить проблему невозможности получения/отправки коротких сообщений. Поможет лишь hard-reset смартфона. Мобильные угрозы in-the-wildВ предыдущих частях «Мобильной вирусологии» мы приводили статистику по распространению Bluetooth- и MMS-червей в разных странах мира. Cabir и ComWar были наиболее распространенными мобильными угрозами, каждая из которых была обнаружена более чем в 30 странах мира. Наиболее громким инцидентом стало заражение одним из вариантов Comwar более 115 тысяч пользователей в Испании весной 2007 года. Однако повышенное внимание мобильных операторов к появившимся червям и внедрение средств антивирусной проверки MMS-трафика, позволили остановить распространение этих червей. Другими причинами исчезновения локальных эпидемий стало появление и распространение антивирусных продуктов для телефонов, включая их допродажную предустановку, новые средства защиты, реализованные в операционных системах (запуск только подписанных приложений) и постепенное исчезновение моделей телефонов, на которых Cabir и ComWar могли функционировать. Впрочем, за последние три года появился как минимум еще один мобильный червь, который смог распространиться в ряде стран Европы. Worm.SymbOS.BeseloВ конце декабря 2007 года в антивирусные базы попал очередной клон ComWar — вариант .y. Его появление в январе 2008 в мобильном трафике одного из крупных европейских мобильных операторов заставило более детально взглянуть на новый образец. Анализ, проведенный финской компанией F-Secure, показал, что на самом деле это совершенно новое семейство, не имеющее общих корней с созданным три года назад в России ComWar. Принцип действия червя, классифицированного как Worm.SymbOS.Beselo.a (чуть позже был обнаружен еще один вариант — Beselo.b), очень схож с ComWar и является классическим для червей такого типа. Распространение происходит через рассылку инфицированных SIS-файлов по MMS и через Bluetooth. После запуска на атакуемом устройстве червь начинает рассылать себя по адресной книге смартфона, а также на все доступные устройства в радиусе действия Bluetooth. К счастью, распространение Beselo удалось достаточно быстро остановить, и с тех пор мобильные черви в Европе в «дикой природе» обнаружены не были. Но тут к делу подключилась Азия, во главе с родиной большинства современных компьютерных вирусов — Китаем. Worm.WinCE.InfoJackВ начале того же 2008 года стали поступать сообщения о заражении пользователей неизвестной программой, функционировавшей на Windows Mobile. Этой программой оказался троянец InfoJack.a, о котором мы уже упоминали выше. Распространение вредоносной программы происходило с одного из китайских сайтов, размещающего различный софт (легальный). Троянец был добавлен в состав дистрибутивов мобильных продуктов, таких как клиент для Google Maps и игры. Владелец сайта, с которого происходило распространение троянца, заявил, что он не преследовал никаких криминальных целей, а производил сбор информации о своих посетителях только с целью улучшения сервиса и анализа рынка мобильных приложений. Спустя несколько дней деятельность сайта была прекращена, вероятно, в ходе расследования, проводимого китайской полицией. До сих пор основной мишенью китайских хакеров являлись пользователи, играющие на персональных компьютерах в онлайн-игры. Однако случай с InfoJack показал, что в Китае существует возможность для организации массовых эпидемий и мобильных вирусов. Китай стал первой страной, пострадавшей от Windows Mobile троянца. Возможно, автор InfoJack действительно не преследовал криминальных целей, но начало было положено… Worm.SymbOS.YxeСпустя год, в январе 2009, мы обнаружили новую вредоносную программу
для мобильных телефонов, работающих под управлением ОС Symbian.
Казалось бы, что тут может быть нового или интересного? Однако этот
червь оказался весьма примечательным.
Worm.SymbOS.Yxe стал первым новым семейством Symbian-червей за
долгое время. Его отличием от предшественников был способ
распространения. Не через Bluetooth, не через MMS, а с помощью
SMS-сообщений!
Worm.SymbOS.Yxe посылал SMS-сообщения (весьма фривольного содержания) со ссылкой на себя http://www*****.com/game
по всему контакт-листу зараженного телефона. По ссылке находился
обычный Symbian-инсталлятор с двумя файлами внутри: исполняемым
exe-файлом и вспомогательным rsc-файлом. Если пользователь соглашался с
установкой приложения, то через некоторое время червь начинал рассылку
SMS-сообщений пользователям из контакт-листа зараженного телефона,
генерируя таким образом вредоносный SMS-трафик.
Судя по всему, именно червь Worm.SymbOS.Yxe стал причиной множества
публикаций в электронных китайских СМИ, а также многочисленных
обсуждений на китайских форумах, жалоб на непонятные SMS-сообщения и т.
д. В публикациях речь шла об SMS-сообщениях порнографического
содержания с непонятной ссылкой внутри, несанкционированной рассылке
коротких сообщений по контакт-листу и потере денег на мобильном счете в
результате отправки таких SMS-сообщений..
Но этому червю удалось отличиться еще одним способом. Он создан для
смартфонов под управлением ОС Symbian S60 3rd edition и подписан
легальным сертификатом. Это значит, что червь без проблем сможет
установиться практически на любой смартфон с ОС Symbian S60 3rd edition.
Сведения о сертификате:
Интересен тот факт, что, судя по подписи, сертификат был выдан на 10
лет. Удалось выяснить, что вредоносное приложение прошло процедуру
автоматической подписи.
 Одна из модификаций Trojan-SMS.Python.Flocker Все новые модификации Flocker’а отправляли SMS на короткий номер
151, который не зарегистрирован в России. Более того, нам не
встречались до этого трехзначные короткие номера. Текст сообщения тоже
имел свои особенности: TP <12 цифр> <4 или 5 цифр>.
Что же мы имеем? Несколько вредоносных программ, которые отправляют
SMS-сообщения на один и тот же короткий номер с достаточно похожими
текстами. Возникает старый вопрос: где деньги?
Задолго до обнаружения новых версий Flocker’а был опубликован
пресс-релиз одного из индонезийских сотовых операторов, в котором
говорилось, что у владельцев определенных сим-карт есть возможность
перевода денег со своего мобильного счета (баланса) на счет своего
родственника/друга/знакомого с такой же сим-картой. Для этого
необходимо отправить сообщение на короткий номер 151 со следующим
текстом: TP <телефонный номер абонента> <сумма перевода в
рупиях.
Этой возможностью воспользовались мошенники, и троянец, имевший
российское происхождение, был кем-то модифицирован под работу с
индонезийскими мобильными операторами и распространен среди
пользователей в Индонезии.
Все вышеперечисленные случаи свидетельствуют о том, что мобильные
угрозы продолжают распространяться по миру, однако с важным изменением
тенденции: вместо глобальных эпидемий червей мы наблюдаем локальные
вспышки заражений, ориентированные на жителей одной конкретной страны
или одного региона. Это полностью соответствует текущей ситуации с
компьютерными вирусами.
Регионами, для которых проблема мобильных вирусов является наиболее
актуальной, являются Россия, Китай, Индонезия и страны Западной Европы.
Популярность смартфонов, все более активное их использование в
рабочих целях, для доступа к интернету, для доступа к банковскому
счету, для оплаты товаров и услуг — все это приведет к росту числа
мошенников, которые хотели бы незаконно нажиться на этом.
Современные вредоносные программы могут делать множество вещей:
сохранять и отсылать содержимое телефонной книги и другие данные,
полностью блокировать аппарат, предоставлять удаленный доступ
злоумышленникам, отправлять SMSи MMS и т.п. На предприятиях смартфоны в
рабочих целях используют те, кто работает удаленно, кто ездит в
командировки. Даже просто выведенный из строя телефон (вследствие атаки
вредоносного ПО) — уже серьезная проблема. А в тех случаях, когда
злоумышленник заполучил доступ к корпоративной сети (или электронной
почте), возникает брешь в безопасности сети предприятия.
Что касается iPhone (4% мирового рынка мобильных телефонов и 20%
американского) и Android — для этих платформ потенциальная возможность
вредоносной атаки очень разная. Для iPhone заражение наиболее вероятно
только в том случае, когда пользователь взломал свое устройство и
устанавливает на него приложения из неофициальных источников. Android
(вероятно) не будет иметь столь жесткой привязки к официальным
источникам файлов, и пользователи «легальных» телефонов смогут ставить
на свои устройства все что угодно.
В любом случае говорить сейчас о том, что будет с вредоносными
программами на iPhone и Android, пока еще рано. На наш взгляд, для них
основную опасность будут представлять уязвимости в используемом софте и
возможности по доступу злоумышленников через эти уязвимости.
Крайне важным является начинающееся рыночное противостояние между
нетбуками и смартбуками. Отличие первых от вторых заключается в том,
что смартбуки основаны на совершенно другой архитектуре — аналогичной
мобильным телефонам. По оценкам специалистов, 98% процессоров для
мобильных телефонов, включая Apple iPhone, базируются на процессорах
архитектуры ARM.
По замыслу создателей, смартбук должен воплотить лучшие черты
нетбука и смартофона: обладать полноценной клавиатурой, сравнительно
большим дисплеем, быть легким и способным к длительной автономной
работе. И главный плюс — платформа изначально поддерживает мобильные
сети, смартбуки изначально имеют модемы в составе процессоров. Это
гарантирует легкую и прозрачную интеграцию сетевых служб и сервисов в
программную оболочку.
С другой стороны, Intel пытается создать рынок мобильных устройств,
основанный на собственном процессоре Atom. К концу текущего года
процессоры Atom будут выпускаться в виде чипов-сборок (SoC). На
практике это означает, что привычная множеству программистов
x86-совместимая микропроцессорная архитектура будет встраиваться во что
угодно: в авточипы, в чипы для холодильников и микроволновых печей, в
пылесосы и часы, телевизоры, кофейные автоматы и так далее.
Все эти факторы и ожидаемые технологические войны могут изменить
ситуацию до неузнаваемости. Смартбуки могут оказаться более
привлекательным объектом для вирусных атак, чем смартфоны. В то же
время, проникновение x86 процессоров в бытовые устройства может
расширить потенциальную область атак до невиданных ранее масштабов.
| |
|
| |
| Всего комментариев: 0 | |