Ай Ком Сервис 03.09.2009 Мобильная вирусология (часть 3) - 3 Сентября 2009 - Ай Ком Сервис
Главная » 2009 » Сентябрь » 3 » 03.09.2009 Мобильная вирусология (часть 3)
23:55
03.09.2009 Мобильная вирусология (часть 3)

Введение

Со времени написания первых двух статей цикла «Мобильная вирусология» прошло почти три года. Такой большой интервал между публикациями был вызван практически полной остановкой эволюции в мире мобильных угроз.

За первые два года существования мобильных угроз (в 2004-2006 годах) произошел их стремительный рост, приведший к появлению целого спектра вредоносных поведений для мобильных телефонов, практически идентичного компьютерному: вирусы, черви, троянские программы, в том числе шпионы, бэкдоры, рекламные программы.

Технологическая база для массированной атаки на пользователей смартфонов была создана. Однако такой атаки не произошло. Вызвано это было стремительным изменением ситуации на рынке мобильных устройств. Два года назад ситуация характеризовалась так: есть абсолютный лидер — платформа Symbian, и есть все остальные. Сохранись такое положение дел до сих пор, мы бы имели дело с массой вредоносных программ для Symbian-смартфонов. Но все изменилось. Производители телефонов и операционных систем смогли фактически сместить Symbian (и Nokia) с ее лидерских позиций. На данный момент у Nokia около 45% рынка смартфонов.

Первый вклад в эту борьбу был внесен Microsoft и ее мобильной платформой Windows Mobile. Начало было положено очень удачной версией Windows Mobile 5, которую поддержало много крупных производителей телефонов, затем была шестая версия, публикация исходных кодов ОС. Как следствие, сейчас Windows Mobile занимает около 15% мирового рынка смартфонов, а в некоторых странах мира — лидирующие позиции. Windows Mobile была лицензирована у Microsoft четырьмя крупнейшими производителями телефонов (кроме лидера — Nokia), и в настоящий момент объем продаж таких устройств может составлять более 20 млн трубок в год.

Весьма значительно усилились позиции и компании RIM, чьи устройства BlackBerry на собственной операционной системе очень популярны в США. Напомним, что для данной платформы до сих пор не было обнаружено ни одной вредоносной программы, за исключением концептуального бэкдора BBproxy, созданного исследователями уязвимостей.

Но самым ярким и заметным событием последних лет стал выход на рынок устройства iPhone от компании Apple. Базирующийся на собственной разработке — мобильной версии Mac OS X, телефон стремительно стал одним из самых продаваемых коммуникаторов в мире. Заявленная Apple цель — продать 10 млн устройств к концу 2008 года — была выполнена. На данный момент продано уже более 21 млн iPhone всех моделей, а если к этому числу прибавить еще iPod Touch («iPhone» без телефона), то общее количество проданных устройств составит 37 млн.

Добавьте сюда уже состоявшийся выход первого телефона на платформе Android, разработанной Google, с массой возможностей для создания приложений и использования сервисов Google — и вы получите картину полной неопределенности в том, какую платформу рассматривать в качестве «базовой».

Ситуация в корне отличается от персональных компьютеров, где определенно доминирует Windows. А именно популярность операционной системы является крайне важным фактором для вирусописателей при выборе объекта атаки.

Столкнувшись с проблемой отсутствия лидера на рынке мобильных ОС и, как следствие, с невозможностью одновременной атаки на большинство пользователей, вирусописателям пришлось, во-первых, значительно сократить разработки в направлении какой-то конкретной платформы и, во-вторых, попробовать решить проблему «кроссплатформенности» своих творений.

О том, что из этого у них получилось, мы и поговорим ниже.

Семейства и модификации. Статистика и изменения

Каталог вредоносных программ для мобильных телефонов, приведенный в первой части «Мобильной вирусологии», был датирован 30 августа 2006 года и насчитывал 5 платформ, подверженных заражению. За прошедшие три года к числу платформ, атакованных мобильными вирусами, добавилась всего одна — ею стала платформа S/EGOLD (SGold, по классификации «Лаборатории Касперского»), на которой работают телефоны Siemens. Платформа является открытой, что позволяет пользователям устанавливать на телефон собственные приложения.

Платформа Число
семейств 		Число
модификаций
Symbian 62 253
J2ME 31 182
WinCE 5 26
Python 3 45
SGold 3 4
MSIL 2 4

Эти данные можно представить в виде диаграммы:


Распределение модификаций детектируемых объектов по платформам

Стоит признать, что вирусописатели смогли найти решение проблемы выбора целевой платформы, о которой мы говорили выше. Произошло это в ходе попыток реализации «кроссплатформенности». Отказавшись от создания приложений под конкретную платформу, они обратили свое внимание на Java 2 Micro Edition.

Дело в том, что практически все современные телефоны, не говоря уж о смартфонах, имеют поддержку Java и позволяют запускать java-приложения, которые могут быть загружены из интернета. Освоив создание вредоносных Java-приложений, вирусописатели не только вырвались за пределы какой-то одной платформы, но и смогли значительно увеличить «зону поражения» — ведь под угрозой оказались не только пользователи смартфонов, но и практически каждый владелец обычного мобильного телефона.

В конце августа 2006 года было 31 семейство и 170 модификаций. На середину августа этого года мы зафиксировали 106 семейств, 514 модификаций детектируемых объектов для мобильных устройств. Таким образом, за три года число детектируемых объектов для мобильных устройств выросло на 202%. Число семейств при этом выросло на 235%.


Рост числа известных модификаций (2004-2009)


Динамика появления новых модификаций по месяцам (2004-2009)

Детектируемые объекты для мобильных устройств, появившиеся в период с 09.2006 по 08.2009, по семействам:

Семейство Дата
обнаружения 		Платформа Краткое описание
функционала 		Коли-
чество
модифи-
каций
Wesber сен.06 J2ME Рассылка SMS 1
Acallno сен.06 Symbian Кража информации 2
Flerprox окт.06 Symbian Подмена системных загрузчиков 2
Hidmenu окт.06 Symbian Скрытие меню 1
Unlock.a окт.06 Symbian Снятие блокировки телефона 1
Smarm янв.07 J2ME Рассылка SMS 10
Mead фев.07 Sgold Заражение файлов 2
Mrex мар.07 Symbian Подмена цветовых схем 1
Viver май.07 Symbian Рассылка SMS 2
Feak май.07 Symbian Рассылка SMS с ссылкой на себя в zip-архиве 1
SHT авг.07 Symbian Хакерская утилита 1
Konopla авг.07 Sgold Cбой настроек, подмена тем и картинок 1
Reboot авг.07 Symbian Перезагрузка устройства 2
Delcon авг.07 Symbian Удаление контактов 1
SMSFree окт.07 J2ME Рассылка SMS 10
Flocker окт.07 Python Рассылка SMS 44
Deladdr ноя.07 Sgold Удаление файлов с телефона (адресная книга, приложения, SMS, wap-профили) 1
HatiHati дек.07 Symbian Распространение через карты памяти MMC, отправка SMS 1
Fonzi янв.08 Symbian Удаление файлов 1
Killav янв.08 Symbian Удаление антивирусов 3
Beselo янв.08 Symbian Распространение через Bluetooth и MMS 2
Swapi фев.08 J2ME Рассылка SMS 44
SrvSender мар.08 Symbian Отвечает на все входящие сообщения и звонки случайным SMS, удаление сообщений 1
Kiazh мар.08 Symbian Вымогательство денег, удаление всех входящих и исходящих SMS-сообщений 1
InfoJack мар.08 WinCE Копирование на сменные диски, кража информации, загрузка ПО без ведома пользователя, отключение защиты 3
Gpiares апр.08 Symbian Рассылка SMS 2
Kuku май.08 Symbian Рассылка SMS 1
SmsSpy май.08 Symbian Отсылка пользовательских сообщений на номер, записанный в cfg-файле 1
Forvir май.08 Symbian Вывод ложных сообщений об ошибках в системе и телефоне, установке вируса 1
Hoaxer май.08 J2ME Рассылка SMS 6
KillPhone май.08 Symbian Невозможность запуска телефона после его перезагрузки 3
Xanel май.08 J2ME Рассылка SMS 4
SMSi май.08 J2ME Рассылка SMS 15
Konov май.08 J2ME Рассылка SMS 14
Kros июн.08 Symbian Подмена исполняемых файлов 1
Blocker июн.08 Symbian Блокировка некоторых функций ОС телефона 1
Boxer сен.08 J2ME Рассылка SMS 15
Redoc сен.08 WinCE Рассылка SMS 19
Espaw сен.08 J2ME Рассылка SMS 7
KaspAV авг.08 J2ME Поддельный антивирус 3
PMCryptic окт.08 WinCE Полиморфный вирус-компаньон, червь (карта памяти) 1
MultiNum окт.08 Symbian Рассылка SMS 1
Razan окт.08 J2ME Вывод ложного сообщения о заражении телефона 1
Onro окт.08 J2ME Рассылка SMS 3
DoctorW ноя.08 J2ME Поддельный антивирус 1
SMSSender ноя.08 J2ME Рассылка SMS 1
Sspy дек.08 Python программа-шпион 1
Tagsa дек.08 Symbian Рассылка SMS 1
Small дек.08 J2ME Рассылка SMS 7
Noti янв.09 J2ME Мобильный контент за SMS 1
Okpon янв.09 J2ME Рассылка SMS 1
Yxe янв.09 Symbian размножение через SMS, сбор информации 4
CoS янв.09 Symbian Хакерская утилита для отправки специально сформированных SMS 2
Kinap янв.09 Symbian Подмена шрифтов, иконок, логотипов 7
Vers фев.09 Symbian Рассылка SMS 1
Yakki фев.09 Symbian Удаление шрифтов 1
Disabler фев.09 Symbian Блокировка SMS, MMS, звонков 1
Getas фев.09 J2ME Имитация вируса 1
Xef фев.09 J2ME Рассылка SMS 2
GameSat фев.09 J2ME Рассылка SMS 1
Rebrew фев.09 J2ME SMS-Flooder 1
Mexasa мар.09 J2ME Рассылка SMS 4
Xavava мар.09 J2ME Рассылка SMS 3
Kblock мар.09 Symbian Блокировка телефона 1
Garlag мар.09 J2ME Рассылка SMS 2
Redrob мар.09 J2ME Рассылка SMS 4
Fnusob мар.09 J2ME Рассылка SMS 1
Pornidal апр.09 Symbian Звонки на платные номера 2
SMSRtap апр.09 Symbian мониторинг SMS, звонков и т.д. 3
Trojan-SMS.Agent май.09 J2ME Рассылка SMS 4
Caneo июн.09 Symbian мониторинг SMS, звонков и т.д. 2
Crymss июн.09 J2ME Рассылка SMS 1
Smypa июн.09 Python SMS-Flooder 1
Enoriv июл.09 Symbian Рассылка SMS 1
Smofree авг.09 J2ME Звонки на платный номер 1

Итого: 75 новых семейств

С 2006 по 2009 год произошло утроение числа вредоносных программ для мобильных устройств. Это означает, что темпы роста, показанные в период «первой стадии» (2004-2006 гг.), сохранились.

Что нового?

Составленный нами три года назад список того, что умеют делать мобильные вредоносные программы, выглядел так:

  • Распространение через Bluetooth, MMS
  • Отправка SMS
  • Заражение файлов
  • Возможность удаленно управлять смартфоном
  • Изменение или подмена иконок, системных приложений
  • Установка «ложных» или некорректных шрифтов, приложений
  • Борьба с антивирусами
  • Установка других вредоносных программ
  • Блокирование работы карт памяти
  • Кража информации

За прошедшие три года у мобильного вредоносного ПО появилось несколько новых технологий и приемов:

  • Распространение на сменных накопителях (флэш-картах)
  • Порча пользовательских данных
  • Отключение систем защиты, встроенных в ОС
  • Загрузка других файлов из интернета
  • Звонки на платные номера
  • Полиморфизм
Прордолжение >>>>>>


Категория: Защити и Безопасность | Просмотров: 571 | Добавил: Administrator | Теги: угроза, вирусы, аналитика, мобильные телефоны, Рейтинг, сетевые черви, Статистика, спам, заражение, трояны | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]