Мобильный вирус – это небольшая программа, которая исполняет вредоносные действия без разрешения пользователя. И если для написания компьютерного вируса особых умений не надо, то для создания вируса, который будет работать в мобильном телефоне, нужны незаурядные познания архитектуры этих устройств.
Первый «мобильный» вирус под названием «Cabir» был создан в середине 2004 года как проба пера – он просто копировал себя из одного устройства в другое без какой-либо противоправной активности. В ходе предварительного анализа кода вредоносной программы выяснилось, что «Cabir» доставляется на телефон в виде файла формата SIS (Nokia Phone Game File), маскируясь под утилиту для защиты телефона Caribe Security Manager. При запуске зараженного файла червь выводит на экран надпись «Caribe», внедряется в систему и активизируется при каждой загрузке телефона. После этого «Cabir» сканирует доступные устройства, использующие технологию передачи данных Bluetooth, выбирает первый из них и пересылает ему свою копию. Данный мобильный «червь» был создан специально для работы в операционной системе Symbian только для мобильных смарфонов Nokia.
Ближе к началу 2005 года компания SimWorks обнаружила очередной вирус, поражающий смартфоны на платформе Series 60. Судя по названию, к его созданию приложил руку славянин – он называется Gavno. Выявлены две версии трояна, распространяющегося в виде файлов с дополнениями к операционной системе Symbian OS 7.x (работает на смартфонах Nokia 6600 и 7610). Наивный пользователь, копирующий такие файлы к себе в мобильное устройство, активизирует вирус и в результате не может даже звонить по телефону, не то, что пользоваться другими программами. «Троян» отключает все приложения и заставляет смартфон непрерывно перезагружаться.
Судя по данным «Лаборатории Касперского», в настоящий момент в сотовых сетях циркулирует порядка 200 вирусов для смартфонов и коммуникаторов, причем более 98% из них – для ОС Symbian. Безусловно, в сравнении с сотнями тысяч вирусов для компьютеров это выглядит скромно, но эксперты телекоммуникационной индустрии уверены, что увеличение числа вирусов для мобильных телефонов будет стремительным. Для сравнения отметим, что еще в прошлом году счет таких вредоносных программ шел на десятки. Причем некоторые специалисты связывают рост количества вирусов для мобильников с совершенствованием защиты персональных компьютеров. Новый уровень безопасности для ПК может вынудить вирусописателей переключиться на создание программ для портативных телекоммуникационных устройств. То, что сегодня предлагает антивирусная индустрия, – скорее игра на опережение. При этом, рассматривая данную тенденцию в долгосрочном масштабе, можно с уверенностью предположить, что в будущем (примерно через год) эпидемии в среде мобильной телефонии станут столь же обычным явлением, как и компьютерные.
Опасности портативных устройств
О том, что можно синтезировать вирусы для мобильных телефонов, говорили еще в конце 90-х, когда создавали смартфоны, управляемые операционной системой. Именно наличие стандартной ОС с весьма предсказуемыми системными функциями позволяет вирусу проникать на терминал в виде стороннего приложения и не только заражать там другие программы, но и предпринимать попытки к саморазмножению. Однако в 2007 году, по мнению экспертов компаний McAfee и Sipera, развивающиеся мобильные технологии и активный рост популярности мобильных устройств делают их как никогда прежде привлекательными для хакеров. Согласно исследованию, проведенному подразделением McAfee Avert Labs, число атак, направленных на смартфоны и беспроводные КПК, к концу текущего года удвоилось – этому способствуют, в частности, уязвимости в стандартном ПО Symbian, которое поставляется с большинством подобных устройств. Несмотря на то, что существует огромное количество платформ для мобильных телефонов, большинство из них используют операционную систему Symbian. Это означает, что всего одна успешная хакерская атака может иметь весьма серьезные последствия. «Это как Windows. Она является доминирующей системой, следовательно, представляет собой очевидную цель», – считают в McAfee.
Миллиарды жителей планеты уже не представляют себе жизни без мобильных телефонов, причем значимая часть из них привыкла производить при помощи мобильных телефонов финансовые операции, а это делает телефоны крайне привлекательной целью для хакеров. К слову, основное отличие мобильных вирусов от компьютерных – скрытность работы и больший, по сравнению с компьютерами, реальный вред. Дело в том, что любой смартфон или коммуникатор – устройство с возможностью осуществления платных вызовов и просмотра страниц в сети Интернет
Следовательно, именно эти функции являются основными целями злоумышленников. Уже существуют вирусы, которые при значительном времени простоя терминала инициируют вызовы на платные голосовые номера контент-провайдеров (стоимость – 3-10 долларов в минуту), открытие веб-ссылок через прямой набор удаленного номера модемного пула в зарубежной стране, шпионские программы, предназначенные для слежения за действиями пользователей или для заманивания их на специальные сайты, а также «клавиатурные шпионы», которые воруют пароли, SMS-переписку и другие интересные, на взгляд их авторов, файлы. При этом мало какие владельцы мобильных телефонов придают значение опасности, исходящей от похитителей их персональных данных.
В этой связи интересно вспомнить исследования Стива Фернелла, профессора Плимутского университета, проведенные им в начале второго квартала 2007 года. Оказалось, что участники фокус-групп, с которыми он беседовал, совсем не защищают данные в мобильных телефонах, поскольку не видят для себя никаких угроз. В числе ответов респондентов попадались фразы наподобие: «Я не уверен, что кто-то захочет украсть мою информацию. Я не считаю себя настолько важной персоной». Однако в ходе дальнейших бесед организаторы исследования спрашивали респондентов, что бы те сделали, если бы их личные сведения оказались в чужих руках. «Вы действительно хотите, чтобы кто-то помимо вас получил доступ к вашему контакт-листу? Храните ли вы в своем телефоне пароли для доступа к различным услугам?» – интересовался Фернелл. Респонденты признавали, что действительно хранят в телефонах пароли и не желали бы, чтобы доступ к подобной информации получали посторонние лица. Таким образом, удалось выяснить, что лишь 66% обладателей мобильных телефонов защищают их хотя бы одним паролем (наиболее распространенная технология защиты – установка PIN-кода на включение сотового телефона). 44% процента оставляют пароль для разблокирования телефона «по умолчанию» (комбинации 0000 или 1111). Таким образом, несмотря на то, что у производителей мобильных терминалов имеются вполне адекватные технологии для информационной защиты аппаратов, их владельцы обращают мало внимания на подобные разработки.
Для мобильной версии Windows наиболее распространенными вирусами являются утилиты удаленного администрирования (backdoor). Обычно это небольшой файл (около 5-10 Кб), который после запуска «укореняется» в каталоге \Windows\StartUp\, получая таким образом управление при каждом запуске зараженного коммуникатора. При активности устройства он скрытно устанавливает соединение с Интернетом и отправляет IP-адрес жертвы по электронной почте автору, информируя его о том, что коммуникатор находится в сети и backdoor активен. После этого такая утилита открывает различные порты для приема команд, что позволяет автору вируса получить персональные данные пользователя или загрузить в зараженное устройство программу, уничтожающую все заложенные в него данные.
Основные типы вредоносного ПО для Symbian – троянские программы, занимающиеся разрушением или злонамеренной модификацией данных, нарушением работоспособности мобильных устройств и т. д. В этой же категории присутствуют и многоцелевые троянские программы, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику. Такие вредоносные программы при своем запуске начинают сканировать окружающее пространство на наличие доступных через Bluetooth устройств, и «по воздуху» отсылают им копию самого себя в виде SIS-архива. При этом на экране атакованного телефона, вне зависимости от установленной в нем операционной системы, появляется уведомление о входящем файле и запрос на его загрузку. Обычно, большинство пользователей разрешает такую загрузку, полагая получить картинку или файл с игрой. Далее, если пользователь Symbian-телефона отвечает на запрос положительно, файл сохраняется в память и автоматически запускается на исполнение. При этом система инсталляции SIS-файлов запрашивает у пользователя подтверждения установки, и после его получения червь инсталлируется в систему, начиная новый цикл сканирования и заражений. В дополнение он рассылает по номерам телефонов адресной книги MMS-сообщения с вложенной копией своего инсталляционного файла – поскольку загрузка таких сообщений у большинства пользователей включена по умолчанию, нетрудно представить себе скорость распространения подобных вредоносных программ, а специальное ПО, которое могло бы централизованно проверять циркулирующий в мобильной сети трафик, стоит далеко не во всех региональных подразделениях операторов сотовой связи.
Обычно мобильные вирусы распространяются по Bluetooth и MMS. Они способны вызвать очень быстрое заражение большого количества систем, нарушив работоспособность мобильной сети либо превратив ее в подконтрольную злоумышленнику распределенную сеть. Посылая команды по SMS или с помощью сообщений на веб-страницах (небольшая часть исполнительного кода, воспринимаемая вирусной программой при его загрузке), к которым пользователь регулярно обращается, хакер может совершать сотни и даже тысячи звонков, к примеру, на контактные телефоны коммерческих служб или государственных органов власти, блокируя таким образом их работу.
Таким образом, наличие специального ПО, которое обеспечит надежную защиту против самых современных мобильных вирусов и троянов, является критически важным, поскольку, по прогнозам, в 2008 году в мире число смартфонов сравнится с числом ноутбуков, что, в свою очередь может привести к тому, что именно смартфоны станут излюбленным объектом хакерских атак.
Защитное ПО
В настоящий момент практически все производители антвирусного ПО обратили свой взгляд на проблему безопасности мобильных устройств. Разработки в этом направлении ведут как отечественные, так и зарубежные компании: на рынке имеются такие решения, как антивирус Касперского Mobile, антивирус F-secure, BitDefender Mobile Security, F- Secure Mobile Anti-Virus, Norton Smartphone Security, Handy Safe для Windows Mobile Pocket PC, Trend Micro Mobile Security.
Обычно это кросс-платформенные решения, работающие на Symbian и Windows Mobile. Экзотические ОС, к примеру Linux, не поддерживаются крупными игроками из-за относительно слабой распространенности мобильных решений на базе этой операционной системы. Хотя, возможно, с широким распространением интернет-планшетов для WiMAX-сети Google и Sprint в США, которые используют именно Linux, ситуация в этом сегменте рынка изменится.
К слову, и характеристики таких программ весьма стандартны. Во-первых, следует отметить многофункциональность компоновки систем. Если год-два назад такое ПО состояло из простого анализатора кода и, возможно, программы-монитора, которая располагалась в оперативной памяти, то сейчас, кроме полноценного антивируса с возможностью «лечения» зараженных объектов, в мобильные антивирусы включают персональный брандмауэр, спам-фильтр для SMS и шифрование данных с парольным доступом к системе (более развитые функции настройки, а также стойкий алгоритм в сравнении со стандартными возможностями ОС). Подобное ПО по запросу пользователя может оперативно проверить внутреннюю память, карту памяти или всё устройство, удаляя зловредные файлы.
Во-вторых, мобильные антивирусы обеспечивают сканирование папок и архивов электронной почты в режиме реального времени. Особенно это актуально для сервисов push e-mail, которые с наибольшим успехом используются большинством корпоративных пользователей с помощью мобильных устройств. Аналогичным образом в режиме online сканируются все входящие файлы программ и документов, которые загружаются на компьютер с применением Bluetooth и MMS – два наиболее распространенных пути получения данных на мобильные устройства. Вдобавок антивирусный продукт контролирует запуск исполняемых файлов и другие каналы связи (к примеру, инфракрасный порт), а при запуске анализирует аппаратные возможности устройства и состояние их защиты (в частности, наличие пароля для приема файлов по Bluetooth) и подсказывает пользователю наиболее оптимальную для него стратегию защиты (так называемый детектор попыток проникновения). Когда программа обнаруживает зараженный файл, она обычно немедленно изолирует его, чтобы защитить все остальные данные в системе, и запрашивает разрешение на дальнейшие действия у пользователя.
В-третьих, современное антвирусное ПО поддерживает регулярное автоматическое обновление своих баз по беспроводной сети. Несмотря на развитые возможности детектирования вредоносных программ, антивирус работает более надежно при сравнении подозрительного кода с эталонными вариантами, которые содержатся в его базе данных. Дополнительные библиотеки повышают его результативность – обычно они появляются на сервере производителя сразу же после обнаружения нового образца «в диком виде». Обновление антивирусных баз и функциональных модулей продукта должно происходить автоматически, в соответствии с периодом, заданным пользователем, или по умолчанию один раз в неделю. Доступно как мобильное обновление по WAP/HTTP (GPRS, EDGE, 3G), так и загрузка обновлений через ПК.
В-четвертых, защитное ПО от вирусов оптимизировано специально для мобильных устройств. Учитывая тот факт, что смартфоны и коммуникаторы обычно обладают более слабыми по сравнению с настольными компьютерами ресурсами, антивирусное ПО может работать с моделями, у которых частота процессора составляет от 200 МГц, оперативная память – от 64 Мб. Занимают они до 10-12 Мб на карте памяти. При этом установка возможна непосредственно через мобильное интернет-подключение или через подключение к настольному компьютеру, а минимально потребляемые ресурсы не сильно уменьшают срок работы аккумулятора. Учитывая не очень глубокую погруженность владельцев мобильных устройств (к слову, их в мире больше, чем персональных компьютеров) в тонкости информационных технологий, интерфейс у таких систем обычно простой и дружественный, не требующий вмешательства пользователей для запуска продукта.
Источник: http://mnovosti.ru |
