Эпидемии Попробуем разобраться, насколько распространены мобильные вирусы в современном мире. Довольно часто приходится слышать упреки и от пользователей и от журналистов в том, что антивирусные компании искусственно раздувают истерику и преувеличивают опасность. Мол, шансов на распространение Cabir крайне мало из-за того, что для его запуска пользователю необходимо три раза нажать подтверждение (прием, запуск, инсталляция). А ComWar не может получить большого распространения, потому что MMS не очень популярен и им мало кто пользуется (назывались цифры в 2% от общего числа пользователей мобильной связи). Об опасности заражения троянцем-вандалом, вроде Skuller, многие даже слышать не хотят — ведь для этого (полагают они) его необходимо самостоятельно скачать из интернета, скопировать на телефон и там запустить.
Да, с точки зрения теории — эти доводы логичны и действительно убедительны. Но мир компьютерных и мобильных вирусов, равно как и сами люди, имеющие дело с компьютерами и мобильными телефонами, постоянно опровергают любые подобные тезисы. Вероятность того, что пользователь примет и запустит Cabir — точно такая, как вероятность того, что пользователь примет и запустит файл, присланный ему по электронной почте неизвестно кем и неизвестно зачем. Запускают! Вспомните все гигантские по своим масштабам эпидемии почтовых червей последних лет: Mydoom, NetSky, Sober. Антивирусные компании без устали твердили: «Не запускайте файлы из почты, проверяйте их антивирусом». Но это не помогало — человеческое любопытство и несоблюдение элементарных правил безопасности оказываются сильней.
Cabir Cabir был прислан в антивирусные компании в июне 2004 года. Спустя всего месяц стало известно о том, что на Филиппинах уже зафиксированы случаи заражения им. Это было удивительно. В тот момент мы считали, что Cabir является «коллекционным» червем и никогда не выйдет за пределы коллекций антивирусных компаний. На практике оказалось, что Cabir попал не только в антивирусные компании, но и к вирусописателям. Червь вырвался на свободу и начал свое победное шествие по миру.
Мы давно и очень успешно сотрудничаем с финской компанией F-Secure, которая стала одной из первых, кто обратил внимание на проблему мобильных вирусов и занимается иследованиями в этой области, посвящая им значительную часть своих публикаций. F-Secure сразу стала вести список стран, в которых был обнаружен Cabir. Менее чем за год, к лету 2005 года, этот список насчитывал уже 20 стран мира. Со своей стороны мы тоже вели подобную статистику, и сейчас в этом списке есть и наши данные. Кроме того, мы получали подтверждения о случаях заражения из различных стран, уже включенных в список. Таким образом, можно считать его действительно отражающим реальное положение дел и заслуживающим полного доверия.
Примерно год назад мы сбились со счета и прекратили пополнение этого списка. Понятно, что счет уже идет на десятки, и среди стран, пострадавших от Cabir, не только те, которые относятся к числу самых компьютеризированных.
1. Philippines 2. Singapore 3. UAE 4. China 5. India 6. Finland 7. Vietnam 8. Turkey 9. Russia 10. UK 11. Italy 12. USA 13. Japan 14. Hong Kong 15. France 16. South Africa 17. The Netherlands 18. Egypt 19. Luxembourg 20. Greece 21. Ukraine 22. New Zealand 23. Switzerland 24. Germany Список стран, в которых был обнаружен Cabir, по состоянию на сентябрь 2005 года (обобщенные данные F-Secure и «Лаборатории Касперского»).
Я приведу некоторые конкретные примеры случаев заражения Cabir. Девятой в списке стран значится Россия. Это произошло в январе 2005 года. К тому моменту мы уже имели информацию о том, что Cabir атакует владельцев телефонов в московском метро. Аналогичная информация была у нас и в отношении соседней Украины. Там Cabir «проявился» в Киеве и Харькове. Однако мы не могли считать эти случаи подтвержденными, поскольку у нас не было ни одного зараженного телефона и ни один пользователь не обратился в «Лабораторию Касперского» с этой проблемой. В январе этот «пробел» был устранен. Одна из сотрудниц фирмы, находящейся в том же офисном здании, что и «Лаборатория Касперского», напрямую обратилась в нашу службу технической поддержки с жалобой на то, что несколько дней назад ее телефон стал себя «странно вести» и началось это после того как она, находясь в метро, приняла через Bluetooth какой-то файл. Мы тут же осмотрели ее телефон в нашей вирусной лаборатории, и наши подозрения подтвердились — это был Cabir.a.
Позже, в течение всего 2005 года, мы еще неоднократно видели зараженные телефоны. Кроме этого, около 10 сотрудников нашей компании сами подвергались атакам со стороны Cabir, когда на их телефоны приходили запросы на прием файла с именем caribe.sis. Последний такой случай был зафиксирован нами в феврале 2006 года.
Наверное, самым показательным, массовым и известным случаем возникновения локальной эпидемии Cabir стал инцидент, произошедший в Хельсинки в августе 2005 года. В это время там проходил 10-й Чемпионат Мира по легкой атлетике. В Хельсинки находится штаб-квартира F-Secure, и они первыми стали получать сообщения о том, что на стадионе, где происходил Чемпионат, зафиксированы случаи заражения Cabir. В условиях, когда на небольшом пространстве оказались десятки тысяч человек со всего мира, одного зараженного телефона вполне хватило для того, чтобы червь стал быстро распространяться. На поле стадиона устанавливались спортивные рекорды, а в это время на трибунах Cabir ставил свои рекорды по скорости размножения. К счастью, сотрудники F-Secure действовали очень быстро: на стадионе, в зоне Customer Service Center, было отведено специальное место, куда мог прийти любой человек, подозревавший, что его телефон заражен вирусом. Там его телефон специальным образом проверяли и «очищали» от вируса. Если бы эпидемию не удалось локализовать, то в дальнейшем зараженные болельщики разъехались бы по своим странам, увозя с собой зараженные телефоны, и число стран, охваченных червем, могло бы заметно увеличиться.
Это ярчайший пример того, какие условия являются наиболее благоприятными для распространения Bluetooth-червей:
большое количество людей; ограниченное пространство. В зону риска попадают кафе, кинотеатры, аэропорты, вокзалы, метро, стадионы.
Bluetooth-черви имеют следующие особенности распространения:
радиус заражения ограничен радиусом действия Bluetooth-соединения (примерно 10-20 метров); Bluetooth-червь не может заражать очередную жертву целенаправленно, например по заранее подготовленному списку или случайно сгенерированному номеру мобильного телефона. Заражение распространяется спонтанно — если уязвимый субъект обнаружен в радиусе действия заражения, то осуществляется попытка его заражения. ComWar Вторым мобильным червем, который был зафиксирован in-the-wild, является ComWar. В отличие от Cabir, который был сначала послан в антивирусные компании и только потом оказался на свободе, ComWar был обнаружен уже после того, как от него пострадали пользователи в нескольких странах и прислали подозрительные файлы на анализ в антивирусные лаборатории. Мы «познакомились» с ComWar в марте 2005 года, однако расследование инцидента выявило упоминания о нем на различных форумах пользователей мобильных телефонов (например, в Голландии и Сербии), относящиеся еще к январю 2005 года. Таким образом, можно с уверенностью констатировать, что ComWar как минимум два месяца распространялся по миру, не будучи известным антивирусным компаниям. Это показывает, насколько еще слабо налажено взаимодействие между пользователями и антивирусными компаниями в мобильной сфере. Если на обычных компьютерах любые подозрительные действия системы тут же ведут к возникновению у пользователя подозрения на вирус и обращению к нам, то для того чтобы подобная практика стала нормой у пользователей смартфонов, потребуется еще много времени.
F-Secure, так же как и в случае с Cabir, сразу стала фиксировать информацию о странах, в которых был обнаружен ComWar. И мы тоже сверяли их данные с нашими. Последнюю версию этого списка можно датировать сентябрем 2005 года.
1. Ireland 2. India 3. Oman 4. Italy 5. Philippines 6. Finland 7. Greece 8. South Africa 9. Malaysia 10. Austria 11. Brunei 12. Germany 13. USA 14. Canada 15. UK 16. Romania 17. Poland 18. Russia 19. Netherlands 20. Egypt 21. Ukraine 22. Serbia Вот список стран, в которых был обнаружен ComWar, по состоянию на сентябрь 2005 года (обобщенные данные F-Secure и «Лаборатории Касперского»).
Примечательно, что оба списка остановились на похожих цифрах (23 страны для Cabir и 22 — для ComWar). ComWar появился на восемь месяцев позже, чем Cabir, однако его более опасный способ распространения (напомним, что ComWar распространяется через MMS-сообщения, которые могут отсылаться на любое расстояние) очень быстро позволил ему «нагнать» Cabir. В настоящее время число стран, зараженных ComWar, вероятно уже больше, чем зараженных Cabir.
Однако необходимо сделать важное уточнение. В список попадали страны, в которых был отмечен хотя бы один инцидент с данными червями. На основании этого списка нельзя сделать вывод о масштабах распространения червя в каждой конкретной стране. Можно только строить догадки, исходя из косвенных показателей.
К счастью, проблема MMS-червей волнует не только антивирусные компании, но и операторов мобильной связи. Они озаботились проблемой защиты своих пользователей от зараженных MMS и некоторые из них (в России) реализовали в своих сетях наши антивирусные решения — весьма схожие с теми, что используются для проверки традиционной электронной почты.
С этого момента нам стала доступна статистика с конкретными цифрами и динамикой. Оказалось, что в MMS-трафике присутствуют не только мобильные зловреды, но и традиционные компьютерные черви. Это связано с тем, что они посылают себя на адреса электронной почты, которые могут быть адресами MMS. Но сейчас нас интересуют именно мобильные черви.
Мы впервые публикуем часть этих данных в открытой печати. Они были получены в результате проверки всего MMS-трафика одного из российских мобильных операторов. Общее число проверенных MMS не разглашается по соглашению с данным оператором.
Название вредоносной программы Количество зараженных MMS Worm.SymbOS.ComWar.a 4733 Worm.SymbOS.ComWar.c 450 Trojan-SMS.J2ME.RedBrowser.b 1 Статистика за 11-17 июня 2006 года.
Название вредоносной программы Количество зараженных MMS / изменение по сравнению с прошлым периодом Worm.SymbOS.ComWar.a 5498 (+765) Worm.SymbOS.ComWar.c 854 (+404) Trojan-SMS.J2ME.RedBrowser.b 1 Статистика за 18-24 июня 2006 года.
Название вредоносной программы Количество зараженных MMS / изменение по сравнению с прошлым периодом Worm.SymbOS.ComWar.a 4564 (-934) Worm.SymbOS.ComWar.c 756 (-98) Статистика за 25 июня — 1 июля 2006 года.
Название вредоносной программы Количество зараженных MMS / изменение по сравнению с прошлым периодом Worm.SymbOS.ComWar.a 4837 (+273) Worm.SymbOS.ComWar.c 698 (-58) Worm.SymbOS.ComWar.d 6 (+6) Статистика за 1-7 июля 2006 года.
Обратите внимание на наличие в статистике ComWar.d. Этот вариант был создан где-то в испаноязычной стране и тем удивительней видеть его в российском MMS-трафике. Кроме того, ComWar.d был обнаружен в марте 2006 года. Спустя всего 4 месяца он добрался до России.
И я не могу обойти вниманием примечательный случай заражения ComWar’ом, который был зафиксирован сотрудниками нашей компании. В июне 2006 года «Лаборатория Касперского» проводила очередную партнерскую конференцию. Она проходила в Греции. По ее окончании некоторые из наших сотрудников отправились отдыхать на яхте по Эгейскому морю. В один из дней к ним обратился капитан и владелец яхты с жалобой на то, что его на его смартфон Nokia постоянно приходят странные сообщения о недоставленных MMS, хотя он никаких MMS не оправлял. Тут же из Интернета была загружена бета-версия нашего антивируса KAV Mobile, и при ее помощи установили причину такого поведения телефона — он был заражен ComWar. Сам факт того, что червь распространялся с яхты, находящейся посреди моря (покрытого сетью мобильной связи) — выглядит весьма забавным.
Кроме Cabir и ComWar мы относим к in-the-wild-вирусам некоторые варианты троянцев Skuller, Drever, Appdisabler, Cardtrap, PbStealer, RedBrowser, Doombot, Flexispy и червь StealWar. Многие из них были опубликованы на специализированных сайтах пользователей Symbian-телефонов под видом игр, полезных приложений. Часть мобильных троянцев размещается в файлообменных сетях. Особенно вирусописатели любят выдавать свои творения за новые версии антивирусных программ для мобильных телефонов.
«Родина» вирусов Когда заходит речь о компьютерных вирусах, то неизбежно встает вопрос о том, в каких же странах мира создается наибольшее их число. В западных средствах массовой информации бытует стереотип о превалирующей «русской угрозе». Но это — миф, который полностью разваливается при более внимательном взгляде. Одни авторы вирусов, вызывавших эпидемии последних лет, были арестованы, для других довольно легко установить страну их проживания:
черви Sasser и NetSky (Германия); червь Zafi (Венгрия); черви Bozori (Турция / Марокко); бэкдоры Agobot и Codbot (Нидерланды); червь Slammer (Восточная Азия); червь Sober (Германия). На долю «русских» приходятся, пожалуй, только черви Bagle, да и то, скорее всего, мы имеем дело с международной группировкой киберпреступников.
Согласно нашим наблюдениям, в настоящее время пальма первенства в этом печальном соревновании принадлежит Китаю, за которым следует Бразилия. Весьма значительный процент современных вирусов создается в Турции. Страны бывшего СССР можно сравнить именно с Турцией по числу создаваемых вирусов.
Если посмотреть на мобильные вирусы, то выяснится, что довольно похожая картина наблюдается и там. Для большинства вирусов из 31 семейства мы можем установить страну происхождения с большой степенью достоверности.
Как мы помним, Cabir был создан французом Vallez. После того как этот червь попал в компьютерный андеграунд, его модификации стали появляться как грибы после дождя. Наибольшую активность в создании новых вариантов проявили жители стран Юго-Восточной Азии: Филиппин, Индонезии, Малайзии, Китая. Когда бразилец Веласко стал создавать вирус Lasco — он тоже попутно создал несколько модификаций Cabir.
Бывший СССР отметился в мобильной вирусологии четырьмя зловредами. Правда, три из них стали концептуальными и первыми в своем роде. Первый бэкдор для WinCE, получивший название Brador, был создан программистом из Украины, известным под ником BrokenSword. Червь ComWar, которому в нашей статье уделено столь много внимания, несомненно был создан в России. Об этом свидетельствуют как тексты внутри самого червя, так и имеющаяся у нас информация о человеке с ником e10d0r. И третьим является троянец RedBrowser, автор которого неизвестен, но тексты в самом троянце и номера телефонов, на которые идет отправка SMS, однозначно указывают на его российское происхождение.
Что же касается троянца Locknut, то впервые он был обнаружен новозеландской антивирусной компанией SimWorks, а вывод о российском следе был сделан на основании весьма неблагозвучных текстов внутри самого троянца и имен его файлов.
Как мы уже отмечали, ряд вариантов ComWar содержит тексты на испанском языке. Исходя из этого можно было бы сделать предположение об Испании, однако у нас нет данных, подтверждающих наличие ComWar в этой стране (что могло бы стать косвенным признаком).
На долю Турции приходится несколько модификаций Skuller, Cardtrap, а также единственный известный нам троянец семейства Arifat.
Но наибольшее число мобильных зловредов, несомненно, создано в Китае и, возможно, Южной Корее. Тут мы не пришли к определенному выводу, поскольку мы имеем дело с весьма специфичной ситуацией. Проблема в том, что подавляющее большинство мобильных троянцев за последний год впервые были обнаружены и присланы в антивирусные компании именно из Южной Кореи. Однако расследование ряда инцидентов выявило следующие факты: троянцы были размещены на корейских серверах, которые были взломаны, и взлом их осуществлялся именно с территории Китая. В Китае были созданы такие вирусы, как PbStealer, StealWar и некоторые из вариантов практически в каждом из прочих троянских семейств.
И нельзя не отметить повышенную активность одного из вирусописателей в Малайзии. Его «перу» принадлежит большая часть из Skuller, возможно включая самый первый из них.
О чем говорят все эти факты? О том, что мир мобильных вирусов развивается по тем же законам, что и мир компьютерных зловредов. И те, и другие вирусы создаются в одних и тех же странах.
Проблемы ОС Важнейшим фактором развития вредоносных программ на мобильных устройствах являются уязвимости в используемом программном обеспечении и самих мобильных операционных системах. В ситуации с персональными компьютерами почти все крупные вирусные эпидемии последних лет были вызваны именно наличием уязвимостей в ОС Windows. У злоумышленников существует всего два способа для проникновения в систему: человеческий фактор (социальная инженерия) и ошибки в программном обеспечении (уязвимости). Эти же вектора атак полностью применимы и для мобильных устройств.
Следует рассматривать как минимум три основных источника уязвимостей:
операционная система Windows CE; операционная система Symbian; беспроводные протоколы (Bluetooth, WiFi, инфракрасные порты). Windows CE представляет собой крайне уязвимую, с точки зрения безопасности, систему. В ней не существует никаких ограничений для выполняемых приложений и их процессов. Запущенная программа может получить полный доступ к любым функциям ОС — приему\передаче файлов, функциям телефонных и мультимедийных служб и т.д.
Создание приложений для Windows CE крайне просто. Это весьма открытая для программирования система, позволяющая использовать возможности не только машинных языков (например, ASM for ARM), но и такой мощной среды разработки, как .NET.
Несмотря на то, что в настоящее время нам известны всего 4 семейства вирусов для Windows CE, не стоит недооценивать потенциал этой ОС — с точки зрения вирусописательства. Существующие вирусы в полной мере покрывают собой все самые опасные виды вредоносных программ: классический вирус, почтовый червь, бэкдор и червь, способный перебираться на телефон при его соединении с компьютером. Происходит стремительный взлет популярности платформ на основе Windows CE, и в ближайшие годы они могут занять первое место среди ОС для смартфонов, потеснив Symbian.
На фоне этого наблюдается рост интереса к этой платформе как со стороны вирусописателей, так и со стороны исследователей. Мы уже говорили о том, что в августе на конференции DefCon Collin Mulliner представил доклад об обнаружении уязвимости в обработке MMS на Windows CE 4.2x. На сегодняшний день Microsoft и ее партнеры ведут работы по устранению этой ошибки, но даже после выхода исправления будет необходимо уведомить всех пользователей уязвимых устройств о необходимости «перепрошивки» их смартфонов\КПК.
Не стоит забывать о том, что это только одна из серьезных уязвимостей в Windows CE, обнаруженная в последние месяцы. Существует возможность организации на мобильные устройства Denied of Service атак через уязвимости в ActiveSync и MMS\SMS.
Отдельную опасность представляют потенциальные уязвимости в Internet Explorer для Windows CE и программах преобразования форматов файлов. В том, что они существуют, у нас нет никаких сомнений. Вопрос только в том, кому первому удастся их обнаружить — вирусописателям или честным исследователям, вроде Collin Mulliner или Tim Hurman (последний обнаружил уязвимость Bluetooth stack remote code execution: информация об уязвимости полностью засекречена).
Первый вирус для Windows CE — Duts — использовал для своей работы одну из уязвимостей в файловом API, которая была неизвестна Microsoft (0-Day).
Подведем итог. Windows CE будет становиться популярней с каждым днем. Темпы появления вредоносных программ для этой платформы скоро могут сравняться с темпами symbian-malware. Основной средой для работы вирусов будет .NET. Значительная часть вирусов будет использовать те или иные уязвимости в WinCE.
Самой популярной embedded-OS сейчас является Symbian. Здесь ситуация с уязвимостями не столь угрожающа, как в Windows CE, однако эта защищенность кажущаяся. Сама архитектура Symbian Series 60 имеет ряд значительных ошибок-особенностей, которые мы считаем самыми настоящими уязвимостями. Мы уже говорили о том, что Symbian позволяет перезаписывать любые системные приложения без пользовательского согласия, а при возникновении проблем с нестандартным форматом файла система становится крайне нестабильной и может вызывать перезагрузку телефона. Кроме этого, уровни безопасности для приложений весьма похожи на аналогичные у Windows CE. Говоря проще, они просто отсутствуют. Если приложение попало в систему — оно имеет абсолютную власть над всеми функциями. К счастью, до сего времени не было обнаружено уязвимостей в обработке Bluetooth-соединений и MMS для этой платформы. Легко себе представить, что бы произошло, если бы Cabir или ComWar обладали возможностью для автоматического проникновения в систему и запуска.
Symbian более закрытая система, чем Windows CE. Для создания полнофункциональных приложений требуется специальный набор DDK стоимостью в несколько десятков тысяч долларов. Но, как видно по количеству троянских программ, при существовании уязвимостей в архитектуре ОС вирусописатели вполне обходятся средствами, доступными любому.
Сложилась довольно парадоксальная ситуация: Symbian популярней, чем WinCE, но серьезных уязвимостей для нее известно меньше. Как нам кажется, этому есть только одно объяснение: усилия исследователей пока еще не нацелены на Symbian в такой же мере, как на продукцию Microsoft. Однако даже беглый взгляд и простейшие эксперименты показывают, что ошибки в Symbian встречаются на каждом шагу. В подтверждение этих слов я представляю описание одной из них, которая может считаться еще неизвестной. Информация о ней была прислана нам одним из наших пользователей и была нами проверена и воспроизведена в нашей тестовой лаборатории.
Уязвимости подвержены телефоны, работающие на Symbian Series 6.x. Она была протестирована на Siemens SX-1 и Nokia 3650.
Достаточно создать файл с именем “INFO .wmlc”, где после INFO до точки находятся 67 пробелов. Содержимое файла может быть абсолютно произвольным (более 2 байт). Если этот файл послать на другое устройство через Bluetooth или инфракрасный порт (файл может быть послан в виде MMS, размещен на web-сайте и открыт при его посещении (не проверялось)), то получатель при открытии сообщения получит сообщение об ошибке «App. closed AppArcServerThread USER 8». После этого телефон начнет работать значительно медленнее и может происходить отказ в работе некоторых приложений с последующей перезагрузкой телефона.
Мы имеем дело с классической уязвимостью типа «отказ в обслуживании». Расширение «wmlc» связано со стандартным браузером, и при обработке нестандартного имени файла происходит ошибка в компоненте, отвечающем за запуск этого браузера. Нами не проводился детальный анализ уязвимости, возможно, что помимо отказа в обслуживании уязвимость позволяет выполнить произвольный код в системе.
Это сообщение можно считать официальным уведомлением для компании Symbian о существовании уязвимости.
Компания Symbian, сообщество производителей смартфонов на этой ОС, а также разработчики программ для нее уже обратили свое внимание на существование вирусов в этой операционной системе и прилагают все усилия, для того чтобы очередная версия Symbian была максимально защищена от любых вредоносных программ. Недавно был объявлено о том, что они реализуют архитектуру защиты приложений, похожую по своему устройству на технологию TrustingComputer, внедряемую на некоторых процессорах для PC. Планируется создать некую «защищенную область памяти», доступ к которой будут иметь только доверенные приложения. В принципе, такой подход может решить проблему с примитивными троянцами-вандалами типа Skuller, однако не избавит полностью от проблем с уязвимостями в самой ОС и ее приложениях. Кроме того, не стоит забывать еще об одном законе существования вирусов: «Вирус может делать в системе все то же, что может делать пользователь». А значит черви, рассылающиеся по Bluetooth и MMS, останутся реальностью и в будущем.
В этой статье мы не будем подробно останавливаться на уязвимостях в самих беспроводных протоколах Bluetooth и WiFi. Всех интересующихся этой стороной проблемы мы отсылаем к материалам исследований таких групп, как Trifinite или Pentest. Также мы уже публиковали результаты некоторых наших исследований в этой области. Отметим только, что несмотря на то что существует достаточное число уязвимостей в беспроводных протоколах на мобильных устройствах, пока еще вирусописатели не начали их использование в своих творениях. Однако в том, что это дело самого ближайшего будущего, у нас нет никакого сомнения.