Мобильные ботнеты, трояны и другие угрозы телефона

Данный материал посвящен итогам прошедшей конференции в США по актуальным проблемам информационной безопасности, связанных с массовым заражением сотовых телефонов вирусами.

Патрик Трейнор утверждает, что в 2009 году мобильные вирусы будут поражать не отдельные телефоны, уничтожая данные или расходующие денежные средства на счете, а будут превращать сотовые телефоны в компоненты бот-сетей.


«В то же время решение проблем с безопасностью в мобильном мире не так просто, как кажется», — заявляет он и приводит в качестве примера одну из таких побочных проблем. По его мнению, если на мобильный телефон установить антивирусное ПО, то оно будет серьезно истощать ресурс батареи и пользователь, в конце концов, просто откажется от этих программ. В таких условиях необходимы совместные усилия не только разработчиков программного обеспечения, но и сотовых операторов и производителей устройств, которые могли бы, с одной стороны, обеспечивать необходимое продвижение продуктов, а с другой – адаптировать их под конкретные мобильные платформы.

Тезис Тайнора о том, что в ближайшем будущем будут появляться мобильные ботнеты, имеет под собой очень серьезные обоснования. По результатам одного из исследований (The Informa Telecoms & Media (ITM), проведенного компанией McAfee в 2006 году, 83% сотовых компаний Европы и Азии подтвердили факт хотя бы одного инцидента, связанного с мобильными атаками (в котором было задействовано больше тысячи сотовых устройств) и этот показатель увеличился в 5 раз по сравнению с 2005 годом. При этом операторы отметили, что все чаще время на устранение сбоев измеряются тысячами часов (семикратный рост относительно 2005 года). Расходы, выделяемые на обеспечение безопасности сетей, уже давно перевалили за рубеж в 200 тыс долларов, где львиная доля (85%) выделяется на борьбу с вирусами, спамом и фишинговыми сообщениями, так называемым, SMiShing.

Главные уязвимые места сотового телефона сегодня – это приложения для работы с сообщениями и Java-интерпретатор, позволяющий запускать на устройстве мидлеты (JAVA-приложения). В августе 2008 года хакерам удалось найти две серьезных уязвимости в виртуальной Java-машине, установленной на J2ME аппаратах, а также 14 «дырок» в системе безопасности оболочки Nokia Series 40 5th Edition, на которой работают несмартфоны Nokia (порядка 40 млн устройств). Злоумышленники смогли поднять уровень привилегий вредоносного мидлета до низкоуровневого доступа к устройству (то есть до возможности, например, удаленного выключения или запуска в автозагрузке). Кроме того, уязвимости в оболочке системы позволили передавать в фоновом режиме файлы через MMS, читать SMS и управлять фотокамерой и диктофоном. Естественно, что сразу же нашлись желающие воспользоваться этими багами системы и в Сети появились JAVA-мидлеты, совершающие звонки и отсылающие SMS на платные короткие номера с целью оплаты игрового времени в браузерных играх по типу Second Life. Получив денежные средства, хакер имеет возможность обналичить их в реальной валюте согласно правилам игры.

Другой популярный вариант отъема денег наблюдался весной этого года в Китае – на смартфоны под управлением Symbian OS приходило сообщение, повествующее о том, что устройство заблокировано и для того, чтобы продолжить работу с ним, необходимо перечислить сумму эквивалентную 7 долларам на счет хакера. Интересно то, что перед тем, как вывести сообщение о блокировке, вирус собирал всю необходимую взломщику информацию (пароли от сетевого сервиса QQ, аналога ICQ, учетные записи почтовых служб, телефоны из записной книжки), пересылал ее на хакерский сервер, а после уплаты «дани» за работу аппарата затирал свои следы в системе.

Эксперты отмечают, что в самом ближайшем времени сотовые телефоны, инфицированные зомби-вирусами могут использовать не только для выведения из строя сотовых сетей, но и для организации атак на обычные вебсайты или, что совсем уже экзотично, для высчитывания паролей или криптографических алгоритмов (некий вариант мобильных распределенных вычислений на службе у хакеров). Бороться самостоятельно с такими угрозами пользователь может, если будет отслеживать активность сетевых соединений и отключать постоянную связь по GPRS/3G в настройках аппарата. Тем не менее, оптимизма не внушает то, что злоумышленники будут все чаще использовать социальную инженерию для того, чтобы заставить пользователя воспользоваться зараженной программой. Так было, например, с трояном RedBrowser, инсталлированным в многие мидлеты, предлагающие подборку анекдотов для мобильного телефона или бесплатную отправку SMS через Интернет.

В России мобильные вирусы распространены довольно широко – наверное, все помнят случай в прошлом году с одной программой, распространяемой по различным форумам, посвященным сотовой связи, которая «автоматически» отправляла несколько SMS на сервисные номера на сумму примерно 150 рублей, на которую обратили внимание в Лаборатории Касперского. Злоумышленникам тогда собрать только порядка 80 тыс. рублей, но история получила широкий резонанс. Однако совсем недавно, 16 октября, похожая программа уже была запущена для отъема у граждан уже 50 долларов (5 номеров по 10 долларов). Ссылки на нее пользователи получали в виде фальшивых сообщений от знакомых в соцсети «ВКонтакте», которые уже успели зайти с телефона на фишинговый сайт, на котором предлагалось ввести логин и пароль к своему профилю. Что же нас ждет дальше? В любом случае, будьте осторожны!