Вирусы для мобильных телефонов. Защита телефона от вирусов. · Появление неизвестных подозрительных файлов и иконок

К сожалению, исходный код этого вируса был опубликован в Сети, чем не преминули воспользоваться другие разработчики вирусов. В течение короткого времени для программной платформы Symbian OS были написаны сотни разнообразных вирусов, в числе которых были как черви, так и трояны. Некоторые из них представляли реальную опасность для нормального функционирования мобильных устройств. Видоизменялись и совершенствовались средства распространения вирусов – помимо Bluetooth, заражение происходило за счет MMS-сообщений (первым таким вирусом стал ComWar, появившийся в марте 2005 года).

Понятно, что Symbian OS разработчики вирусов не ограничились. Уже спустя месяц после появления вируса Cabir появилось вредоносное приложение для платформы Windows Mobile – Duts, представлявшее угрозу для файловой системы коммуникатора или КПК. Вслед за этим последовали другие Windows Mobile-вирусы, в частности, Brador, ставший первым из мобильных вирусов, открывавшим доступ к зараженному устройству извне. Наконец, чрезвычайно неприятным стало появление в феврале 2006 года RedBrowser – первого мобильного вируса для телефонов с поддержкой Java, что резко увеличивало потенциальную аудиторию зараженных устройств. Вслед за ним появились другие вирусы, такие как, например, Webster.a, представлявший угрозу уже не только для функциональности зараженного телефона, но и для баланса самого владельца – речь идет о потере денег вследствие отправки SMS-сообщений. Если первые вирусы «грозили» в основном сокращением времени работы от аккумулятора, то впоследствии стала вполне реальна опасность потери всех личных данных (вирус CommWarrior), заражения ПК «настоящими» компьютерными вирусами и потери финансовых средств с баланса телефонного номера. Появились и кроссплатформерные вирусы, которые распространялись во время синхронизации с ПК. Если раньше вирусы писались энтузиастами, то постепенно стали появляться настоящие коммерческие разработки. Речь идет, в частности, о краже конфиденциальной информации вроде содержания телефонного справоч-ника или совершенных звонков (распространявшийся за 50$ троян Flexispy, а также похожий на него Acallno).

Современное состояние

Мобильные антивирусы

Возникает вопрос, а за что же платят деньги, причем немалые, доверчивые пользователи? Стоимость мобильного антивируса Касперского, к примеру, составляет 720 руб., и это только за первый год пользования. Антивирус Dr.Web для смартфонов и коммуникаторов бесплатен, однако он использует лицензионный ключ, полученный при покупке версии антивируса для ПК. Если говорить о каких-либо дополнительных функциях, таких как антиспам, то альтернативных решений хватает и среди прочих программ, в том числе бесплатных. Надо полагать, что антивирусные компании совсем не горят желанием афишировать истинное положение дел с мобильными угрозами сегодня. Придется сделать это за них, и повторить приведенные выше результаты некоторых независимых исследований – в настоящий момент мобильные вирусы в большинстве своем не представляют серьезной угрозы для современных сотовых телефонов, смартфонов и коммуникаторов, поскольку писались для прежних программных платформ. Число актуальных вирусов из известных на сегодня более чем 300 мобильных угроз исчисляется десятками, если не единицами. Другими словами – разработчики мобильных антивирусов всего лишь эксплуатируют неинформированность пользователей для получения дополнительного дохода.

Итоги

Автор статьи долгое время относился к проблеме существования мобильных вирусов с изрядной долей скепсиса, – до тех пор, пока в его руки не попал обычный мобильник среднего класса, заражённый неизвестным вирусом. Nokia 6085 был заражен со смартфона через Bluetooth (вредоносная программа была скопирована под видом игры). Работа телефона отличалась крайней нестабильностью. При попытке удаления вируса через меню мобильник глухо зависал. Вылечить телефон удалось, подключив его к и удалив заражённый файл с помощью файлового менеджера Диспетчера файлов Nokia PC Suite . Ни один антивирус – со свежайшими базами! – идентифицировать не смог…

***

Немного терминологии

Во-первых, определимся с вирусной терминологией: мобильными вирусами будем называть вирусы для мобильных телефонов (как простых, так и продвинуто-навороченных).

Во-вторых, определимся с аппаратной терминологией. Все мобильные телефоны можно разделить на 2 типа:

1) телефоны, использующие операционную систему (продвинуто-навороченные – смартфоны, коммуникаторы);

2) телефоны, работающие под управлением прошивки.

Основные операционные системы для продвинуто-навороченных мобильников: Symbian (на текущий момент занимает доминирующее положение на рынке) и Windows Mobile .

Прошивка – это программа, управляющая работой телефона, но «вшитая» в сам телефон. Каждый из производителей мобильников создает свои прошивки для конкретных моделей (предопределяя тем самым функциональность телефона).

Операционная система разрешает загрузку и запуск программ в телефон, а в прошивке такая возможность появилась только с появлением J2ME .

***

Что такое

J2ME – Java 2 Micro Edition – это версия популярного языка программирования Java (созданного Sun Microsystems ), предназначенная для выполнения приложений, написанных на языке Java , на устройствах бытовой электроники, например, мобильных телефонах, персональных органайзерах, цифровых телевизионных ресиверах и т. п. Основой J2ME является так называемая , способная исполнять байт-код языка Java (т.е. это среда для исполнения приложений).

Виртуальная машина Java , адаптированная специально для телефонов, настолько компактна по размеру, и, что самое главное, считается безопасной, что практически все производители телефонов стараются в своих прошивках обеспечить поддержку J2ME .

***

История возникновения мобильных вирусов

Разговоры о скором появлении вирусов для мобильных телефонов начались в конце 90-х гг. XX в. (тогда на рынке появились смартфоны).

В июне 2000 г. в Испании появилась программа, которую можно считать первым вирусом для мобильных телефонов. получил имя Timofonica (приставка «timo » в переводе на русский язык обозначает «мошенничество», «надувательство»), что по звучанию очень напоминало название крупнейшего пиренейского телекоммуникационного гиганта Telefonica . Вирус посылал с заражённых SMS -сообщения на телефоны местного оператора MoviStar , предоставляющего услуги в стандарте GSM . Эти сообщения содержали всего одну строку на испанском языке: «Информация для вас: Telefonica вас надувает!».

Российских пользователей мобильников Timofonica не затронула. Если быть точным, назвать Timofonica мобильным вирусом нельзя, ведь он базировался на и распространялся по электронной почте. Больше никакого действия на мобильные телефоны он не оказывал.

В августе 2000 г. всполошились абоненты японского оператора NTT DoCoMo . Причина крылась в странном поведении их мобильников, оснащённых поддержкой сервиса i-mode (быстрый доступ к развлекательным ресурсам Глобальной сети). В момент, когда происходило одно из типичных online -голосований при помощи wap -сервиса, при ответе на один из вопросов, трубки всех владельцев, участвующих в викторине, начали звонить на местный телефон полиции, что привело к существенной перегрузке сети.

Всего было зарегистрировано более 400 пустых звонков. В ходе расследования случившегося инцидента выяснилось, что во все телефоны абонентов NTT DoCoMo , поддерживающие i-mode , оператором был вшит « », разрешающий доступ к аппарату. Выяснить, для чего были совершены звонки именно на номер полиции, так и не удалось. Случай со временем был забыт…

В конце 2003 г. в интервью одному интернет-журналу Касперский заявил: «Нет вирусов для мобильников и вряд ли появятся. Обычным мобильным телефонам вредоносные программы никогда не угрожали и вряд ли будут угрожать в будущем. Java – хорошо защищенная среда, совершенно бесперспективная с точки зрения вирусописателей. Мелкие огрехи оперативно латаются, и поводов для беспокойства нет. То, что мы ошибочно именуем «телефонными вирусами», на самом деле представляет собой последствия некорректной обработки определённых команд. Действительно, можно вспомнить прославившегося «убийцу Сименсов», от которого пострадал не один десяток пользователей трубок 35-й серии: при попытке открыть SMS -сообщение с одним хитро оформленным словом телефон безнадёжно зависал (слово знаю, но не скажу!). Спасала только перестановка SIM -карты в любой другой аппарат, позволяющий стереть сообщение без его открывания. Со смартфонами ситуация неоднозначна. Для широкого распространения вредоносного кода требуется большая популярность определённой смартфонной и одновременно наличие дыр в её защите. Пока намного опаснее загрузка на смартфон заражённого файла, который впоследствии может быть перенесён на рабочий в обход антивирусных мониторов и брандмауэров. Однако в будущем адаптированная под смартфоны зараза вполне может появиться – почему бы и нет? Появится болезнь – появится и лекарство…».

14 июня 2004 г. на адрес электронной почты «Лаборатории Касперского» пришло письмо от известного коллекционера компьютерных вирусов, тесно связанного с некоторыми авторами вирусов, испанца VirusBuster . Письмо содержало файл с именем caribe.sis . Быстрый анализ файла показал, что файл является приложением для операционной системы Symbian и одновременно архивом-инсталлятором, содержащим в себе другие файлы.

За несколько часов аналитики смогли разобраться, что это за файл: это был червь для мобильных телефонов, рассылающий себя через Bluetooth . Выводы полностью подтвердились на следующий день, когда аналитики протестировали работоспособность червя на телефоне Nokia N-Gage , оснащённом операционной системой Symbian .

Червь был создан человеком, известным под псевдонимом Vallez . Он проживает во Франции и в тот момент входил в состав вирусописательской группы 29A . Эта группа ставила своей целью создание новых, концептуальных вирусов для нестандартных операционных систем и приложений. Её участники как бы демонстрировали антивирусным компаниям и другим вирусописателям, что существуют новые направления атаки.

В этот раз целью было создание вредоносной программы для смартфонов. Для размножения червя также был выбран нестандартный способ. Черви обычно распространяются по электронной почте, и логично было бы ожидать от Cabir такого же пути рассылки себя. Тем более, что одной из основных функций смартфонов является возможность работы с Интернетом и электронной почтой. Однако автор червя избрал другой способ – протокол Bluetooth . Это стало вторым ключевым моментом идеи.

Вирус Cabir сразу после попадания на чей-либо смартфон начинает постоянно сканировать эфир с целью поиска всё новых и новых жертв. Помимо банального самовоспроизведения никакой опасности для смартфонов Cabir не несёт, кроме увеличения быстроты разряда батареи, вследствие активного использования технологии Bluetooth .

При обнаружении потенциального «клиента» заражённое устройство отправляет ему файл caribe.sis объемом 15 кбайт. Для жертвы это выглядит так: на экране появляется предложение принять некое письмо, и, если пользователь даёт согласие, на его телефон пересылается файл с вирусом, после чего система спрашивает разрешения инсталлировать программу под названием Caribe . Если и на этот вопрос следует утвердительный ответ, червь устанавливается в систему, для верности копируя себя сразу в несколько директорий.

Так было положено начало мобильному вирусописательству.

Одними из первых обратили внимание на проблему мобильных вирусов финская компания F-Secure и «Лаборатория Касперского».

По разным подсчётам, на текущий момент известно около 50000 мобильных вирусов. Разночтения в количестве и названиях мобильных вирусов определяются разными подходами к классификации у разных антивирусных компаний.

Несмотря на сравнительное изобилие мобильных вирусов действительно опасных среди них пока немного.

***

Основные виды мобильных вирусов:

Черви, распространяющиеся через специфические протоколы и сервисы;

Трояны-вандалы, использующие ошибки для установки в систему;

Трояны, ориентированные на нанесение финансового ущерба пользователю.

Наиболее опасны черви. Черви – это самораспространяющиеся вирусы, они способны вызвать очень быстрое заражение большого количества систем, нарушив работоспособность мобильной сети или превратив её в подконтрольную злоумышленнику распределённую сеть («зомби»-сеть).

Краткий список «мобильных» вирусов:

Cabir – передаётся по Bluetooth . Рассылает свои копии на все доступные Bluetooth -соединения, из-за чего «смарт» может «тормозить».

Cardtrap – троян. Устанавливает на карту памяти телефона различные троянские программы для Win32 -систем.

Comwar – червь. Распространяется в виде MMS , стал самым распространённым вредоносным кодом в MMS -трафике.

Flexispy – первый полнофункциональный шпион, который его создатели продавали на своем сайте за 50$: устанавливает тотальный контроль над смартфоном и отсылает злоумышленнику информацию о совершённых звонках и отправленных SMS .

Cxover – первый кроссплатформенный вирус. При своем запуске проверяет, что это за операционная система. Запущенный на ищет доступные через ActiveSync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или ), вирус затем пытается проделать обратную процедуру – скопировать себя на . Кроме этого, он может удалять пользовательские файлы на мобильном устройстве.

Mobler.a – кроссплатформенный червь, способный функционировать на операционных системах Symbian и Windows . Копирует себя с телефона на и обратно.

WinCE4.Duts . Поражает карманные компьютеры на базе Windows CE . Особой опасности не представляет. Считается, что его создание было просто доказательством возможности существования вирусов для PDA .

Trojan-SMS.J2ME.RedBrowser – троян, может заражать практически все существующие модели мобильных телефонов (включая обычные мобильники!).

Wesber – троян. Может при помощи SMS красть с мобильного счёта абонента. Является вторым трояном, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах благодаря тому, что он написан для платформы Java (J2ME ).

Worm.SymbOS.StealWar – шпион Pbstealer и червь Comwar . Автор StealWar объединил их в одном модуле, и получился червь, имеющий черты обоих своих «родителей» (ворующий данные адресной книги и рассылающий себя через MMS ).

Metal Gear Solid – маскируется под установочный файл игры, после активации ищет и отключает антивирусные программы.

Commwarrior – MMS -червь. Распространяется через MMS и Bluetooth . Рассылает MMS -сообщения без ведома владельца. Быстро «сажает» аккумулятор.

Skulls . Заменяет все стандартные иконки в меню на стилизованное изображение черепа с костями. Открыть приложения посредством иконок становится невозможным. Распространяется в виде Extreme theme.sis .

icons v.1.00 . Меняет родные иконки на «битые».

Ozicom . После установки меняются иконки, все надписи под ними на иврите.

Doomboot-A – маскируется под игру DOOM 2.

Lasco – внедряет свой код во все sis -файлы, установленные на «смарте». Его создатели взяли за основу Cabir и добавили к нему функцию заражения файлов. Пока считается коллекционным вирусом (т.е. широко не распространён и не причиняет особого вреда).

***

Проблемы защиты от мобильных вирусов

Появление в феврале 2006 г. трояна RedBrowser стало неприятным сюрпризом. Впервые объектом заражения стали обычные мобильники, и, считавшаяся безопасной платформа J2ME , уже не может считаться таковой.

Ныне под угрозой оказались не только смартфоны, но и обычные телефоны, использующие приложения, написанные на языке JAVA , и имеющие доступ в Интернет. «Под эти параметры подпадают 90% новых моделей мобильников, – считает ведущий вирусный аналитик «Лаборатории Касперского» Гостев. – В перспективе это может привести даже к серьёзным сбоям в работе сотовых операторов. Если такие вирусы получат большое распространение, работа любой компании, предоставляющей услуги мобильной связи, может быть парализована в течение 15 минут».

Главная проблема заключается в том, что при прямом подключении телефона к Интернету использовать средства защиты нельзя. И если на смартфоны можно установить антивирусные программы, то оперативная память обычных мобильных телефонов этого не позволяет.

Весьма способствует распространению мобильных вирусов широкое применение Bluetooth и MMS (при несоблюдении элементарных правил безопасности).

В США был случай, когда мобильные телефоны Nokia 6600 с включенным Bluetooth , выставленные в витрине магазина калифорнийского города Санта-Моника, заразились вирусом Cabir от мобильников проходящих мимо людей.

***

Антивирусы

Антивирусные компании уже начали выпускать версии своих программ для защиты смартфонов: Symantec Client Security для смартфонов Nokia , Kaspersky Security для PDA , Kaspersky Anti-Virus для Symbian OS , KAV Mobile («Лаборатория Касперского»), WinMobile , Trend Micro Mobile Security (Trend Micro ), выпустили свои версии BitDefender и ESET , McAfee выпустила полнофункциональное решение для операторов и абонентов.

***

Причины распространения мобильных вирусов:

Уязвимости программного обеспечения;

Низкий уровень «мобильной» грамотности;

Отношение владельцев мобильных телефонов к мобильным вирусам, как к проблеме будущего;

Любопытство (а что будет, если я запущу этот файл/игру/программу?);

Несоблюдение элементарных правил безопасности.

Пути проникновения вируса в телефон:

С другого телефона через Bluetooth -соединение;

Посредством MMS -сообщения;

Ещё несколько лет назад термин «мобильный вирус» многими воспринимался как шутка, и не более того. Во времена расцвета Symbian, когда большая часть трубок оставались обычными телефонами, а немногочисленные смартфоны от Motorola и Nokia развивались медленно, действительно опасных и вредоносных приложений практически не было. Да и от пользователя потребовалась бы прямая их установка. А мобильные антивирусы слишком сильно загружали память телефона, поэтому многие отказывались их ставить.

Встречались и забавные ситуации, когда кому-то в ремонте рассказывали о том, что поломка вызвана воздействием вируса на мобильный телефон. Эти истории передавались от одного пользователя к другому. Сейчас же положение вещей кардинально поменялось, виной всему развитие технологий. Их используют не только во благо.

Вирусы для популярных мобильных платформ (и в первую очередь под Android) – реальная угроза для вашей безопасности! Часто программа маскируется под сторонние приложения. Например, пользователь хочет найти прослушку для телефона, вбивает такой запрос в поиск. На предложение «скачать прослушивание Android смартфона» в поисковике найдётся множество программ. И большая их часть – вредоносное ПО.

Интерфейс может быть тщательно замаскирован и стилизован, чтобы вызвать полное ощущение реально работающей программы. И владелец трубки не догадается о том, что фоновые процессы получают доступ к кредитным карточкам (используемым для оплаты Play Market), к контактной базе, к SMS-сообщениям и различным конфиденциальным данным. Достаточно лишь раз совершить ошибку и установить подобное ПО – и избавиться от него будет крайне трудно!

Итак, классификация мобильных вирусов выглядит следующим образом:

1. Программы-розыгрыши. Могли бы быть опасными, но создавались для вполне безобидных розыгрышей. Они могут вызывать перезагрузку аппарата, выводить на экране какой-нибудь текст, или даже анимацию. По принципу действия схожи с обычными вирусами, требуют высокий уровень доступа к настройкам смартфона. Очищаются простым удалением из памяти.

1. Программы для отправки SMS. Этот софт позволяет рассылать сообщения на короткие и платные номера. Естественно, не ставя пользователя в известность! А деньги снимаются с мобильного счёта. Внимательно проверяйте разрешения, которые программа запрашивает. Если увидите там «рассылку на платные SMS-номера», а само приложение является безобидной игрушкой, или служебной утилитой – задумайтесь! И перепроверьте источник, из которого была скачена программа.

1. Трояны . Такие приложения способны воровать личные данные. Например, для оплаты программ в официальном магазине Google используются кредитные карточки. Троянский конь способен перехватить эту информацию. Может перехватываться каждое нажатие на виртуальную клавиатуру, а все введённые данные отправятся на какой-нибудь сторонний ресурс. Туда же относятся пароли для Wi-Fi, настройки Интернета и т.п. Злоумышленник получит контроль над всей информацией. К счастью, большинством антивирусов трояны легко обнаруживаются.

1. Блокировщики экрана и приложения-вымогатели . Такое ПО потребует от владельца смартфона лично отправить SMS-сообщение на какой-то номер, чтобы разблокировать работу приложения. Вылечить можно либо через перепрошивку, либо доступом к Root-правам из безопасного режима.

Все описанные приложения не могут попасть в ваш Android смартфон самостоятельно! Их необходимо вручную установить, проигнорировав все предупреждения. Полезно иметь под рукой мобильный вирус, который просканирует каждую программу в момент установки. 90% угроз ликвидируются. Не используйте сторонние магазины софта, а лишь официальный Google Play.

Если же вирус всё-таки проник в память, постарайтесь отключить телефон от Интернета, запретить передачу данных, а затем просканировать антивирусным ПО. Или отнести в сервисный центр, описав специалисту возникшую проблему. И не верьте программам, которые якобы удалённо ставятся в телефон. Это 100% вирусы!

Как говорят специалисты и разработчики антивирусных программ, мобильные вирусы большие акселераты: если компьютерным вирусам до полного расцвета понадобилось 20 лет, мобильные «черви» проползли этот путь за 2-3 года.

К примеру, еще в 2003 году Евгений Касперский, чье имя, несомненно, знакомо каждому владельцу компьютера, говорил, что появление и угроза со стороны мобильных вирусов очень маловероятна, а всего через два года - по миру вовсю гремел первый мобильный вирус, который нанес ощутимый урон - Cabir, червяк для ОС Symbian.

Теперь вирусы разрослись, усовершенствовались и научились многим вещам. Вообще существует у авторов вредоносного софта неписанное правило, что «правильный» вирус обязан делать все, что может делать пользователь.

Поэтому сегодня вирусы умеют:

• рассылать незаметно для пользователя SMS и MMS, особенно с личными данными и фото
• взламывать и рассылать «облачные архивы»
• звонить незаметно для пользователя на платные номера (в режиме свернутого окна, бесшумно)
• уничтожение данных
• похищение паролей, номера счетов
• быстрая разрядка батареи
• рассылка самого себя через (e-mail, WiFi, Bluetooth)
• дает возможность автору вируса удаленно управлять вашим телефоном

Так что если вы скачали подозрительную, но прикольную игру, или кликнули на баннер «ускорь свой мобильник», «быстро разряжается? прокачай батарею» и прочее-прочее, то будьте готовы к первым симптомам вроде беспричинного «зависания», появления новых иконок, или отказу функций телефона.

Какие же вирусы от «старичков» до новейших вы можете словить на свой любимый телефон?

1. Cabir - самый первый и наиболее безвредный. Просто захламляет своими копиями все в пределах досягаемости по Bluetooth ,вызывая «торможение» телефонов.

2. Cardtrap - устанавливает на карту памяти трояны для взлома Win32-систем

3. Flexispy - считывает ваши звонки и SMS и отправляет злоумышленнику. Раньше даже продавался всяким ревнивцам и частным детективам за 50$.

4. Cxover, Mobler.a - вирусы, которые пробираются в ваш ПК посредством синхронизации с мобильным устройством, а затем аккуратно подчищают следы, удаляя себя с телефона. Оставаясь на ПК, воруют личную информацию.

5. Wesber - крадет деньги со счета, посредством SMS. Вирус распространяется в виде файла под названием pomoshnik.jar.

6. Metal Gear Solid - вы вроде как скачиваете известную игру, а на деле устанавливаете вирус, который не позволяет выключить телефон и отключает все антивирусы

7. Commwarrior - червь «специализирующийся» на рассылке платных MMS и рекордной посадке аккумулятора

8. Skulls - заменяет все иконки приложений на череп и кости, препятствует их открытию с рабочего стола

9. RedBrowser - загружается в виде настройки для посещения WAP-сайтов, а потом начинает рассылать платные SMS, скачивая к вам платные порнокартинки, мелодии на звонок и прочий мусор

10. Podec - новейший вирус, распространяется через ВКонтакте. Заражает пользователей Android и подписывает их на платные сервисы соцсети. Обходит защитную систему САРТСНА, которая проверяет реальный ли человек или программа, используя сервис по распознаванию текста Antigate.com. После установки начинает скрывать от пользователя реальную цену услуги, а также наделяет себя администраторскими правами, чтобы его было нельзя удалить.

Чтобы защитить от вирусов свой мобильник, прежде всего, необходима бдительность. Сегодня на телефоне, точно также как и на ПК нельзя тыкать по разным призывным баннерам и скачивать все, что показалось интересным. Также нелишним будет и антивирусный софт: для особо бдительных платный Касперский, или же бесплатные, но довольно неплохие и популярные Avast или Doctor Web (версии для мобильных телефонов).