Петр Ташков - Работа в Интернете. Энциклопедия

Немного из истории мобильных вирусов

Первой записью в истории вирусов для мобильных телефонов можно считать событие июня 2004 года. Именно тогда командой вирусописателей 29А был создан первый вирус для смартфонов. Вирус распространялся, используя технологию Bluetooth, а объектами заражения были мобильные устройства с операционной системой Symbian. По классификации «Лаборатории Касперского» вирус получил название Worm.SymbOS.Cabir. При запуске зараженного файла «червь» выводит на экран надпись Cabir (за что он и получил свое название). Как только «червь» внедряется в систему, он начинает сканирование и ищет доступные устройства в сетевом окружении Bluetooth. Потом он произвольно выбирает жертву, чтобы переслать ей свою копию. Интересно, что оригинальный экземпляр Worm.SymbOS.Cabir был разослан в антивирусные компании, но спустя некоторое время, исходные коды «червя» появились в Интернете, что и стало причиной создания различных модификаций вредоносной программы. Это сделало вирус «свободным»: он начал самостоятельно «путешествовать», заражая все больше мобильных телефонов во всем мире.

Не прошло и месяца после появления Cabir, как антивирусные компании заявили о появлении нового вируса для мобильных телефонов – Virus.WinCE.Duts. Он фактически стал первым файловым вирусом для операционной системы Windows Mobile. Не заставил себя долго ждать и следующий вирус – утилита удаленного администрирования Backdoor.WinCE.Brador.

Через некоторое время мир узнал о новой мобильной опасности – программе QDial26. Она способна нанести реальный финансовый урон владельцу зараженного телефона. QDial26, которая находится в игре Mosquito 2.0, попав в телефон, начинает отсылать SMS на платные сервисные номера. QDial26 является троянской программой, которая избирательно поражает мобильные телефоны с операционной системой Symbian OS 6.0.

Несколько месяцев спустя под видом установочного пакета значков и тем Рабочего стола на некоторых форумах можно было скачать троянскую программу Trojan. SymbOS.Skuller. Ее установка приводила к полному замещению программных файлов Symbian и выводу на дисплей изображения в виде черепа. Это событие стало символичным, так как следующие мобильные вирусы использовали найденную уязвимость Symbian OS (использована информация «Лаборатории Касперского»):

• Trojan.SymbOS.Dampig – вирус, перезаписывающий системные приложения и повреждающий их;

• Trojan.SymbOS.Drever – программа, отключающая автоматический запуск некоторых антивирусов, перезаписывая файлы-загрузчики;

• Trojan.SymbOS.Fontal – изменяет системные файлы шрифтов, не соответствующие выбранному языковому дистрибутиву операционной системы. Итог – телефон перестает загружаться;

• Trojan.SymbOS.Hobble – вирус, заменяющий системное приложение File Explorer на поврежденное;

• Trojan.SymbOS.Appdisabler и Trojan.SymbOS.Doombot – программы, повторяющие функционал Trojan.SymbOS.Dampig (вторая также устанавливается в систему Worm.SymbOS.Comwar);

• Trojan.SymbOS.Blankfont – программа, аналогичная Trojan.SymbOS.Fontal.

Безопасность мобильных устройств

Почему распространение вирусов носит масштабный характер? Причины этого следующие.

• Большинство существующих мобильных вирусов – это «черви», что способствует их широкому распространению.

• Существующие модификации «червей» Worm.SymbOS.Cabir и Worm.SymbOS. Comwar (а это большинство современных мобильных вирусов) распространяются с помощью технологии беспроводной связи Bluetooth и MMS.

Интересно, что в распространении вируса через Bluetooth виноваты сами пользователи, так как «червь» и его модификации (Worm.SymbOS.Cabir) при проникновении не используют уязвимость системы, а устанавливаются «добровольно». На экране появляется уведомление о входящем файле и запрос на его загрузку. Пользователь, подтверждая запрос, фактически сам заражает свой телефон. После установки «червь» сканирует окружающее пространство в поисках доступного для заражения Bluetooth-устройства.

Карта мобильных вирусов была бы неполноценной, если бы мы не вспомнили «червь» Worm.SymbOS.Comwar. Для своего распространения этот вирус дополнительно использует технологию MMS, рассылая MMS-сообщения с «сюрпризом» – копией своего инсталляционного файла.

Сообщения замаскированы под обновления и другие «нужные» приложения и представлены сообщениями типа Symbian security update, Nokia RingtoneManager for all models и т. д. Получив такое сообщение, Symbian-телефон автоматически запускает вложенный файл, что и дает шанс «червю» закрепиться в системе.

Если говорить о приоритетной платформе заражения, то пальму первенства следует отдать Symbian-телефонам, которые автоматически загружают и запускают любой файл, оказавшийся в папке Входящие. Если говорить о телефонах с установленной операционной системой Windows Mobile, то в данном случае они лишь сохраняют полученное сообщение в памяти, не запуская приложенный файл.