Ewolucja złośliwego oprogramowania I-VI 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania 2007

Jak wynika z raportu w ewolucji trojanów należy podkreślić następujące zjawiska:

1. Wzrost liczby szkodliwych programów wykazujących zachowanie Trojan-SMS
2. Wieloplatformowy charakter mobilnych trojanów - zagrożony jest każdy telefon komórkowy obsługujący aplikacje Java lub posiadający interpreter Python
3. Wzrost liczby stron WAP, na których umieszczone są takie trojany
4. Pojawienie się spamu ICQ, który reklamuje strony WAP oraz szkodliwe programy zlokalizowane na takich stronach
5. Wykorzystywanie szeregu różnych metod socjotechniki w celu rozprzestrzeniania i ukrywania szkodliwych programów
6. Identyfikacja krótkich numerów, na które wysyłane są potajemnie krótkie wiadomości

Analitycy z Kaspersky Lab postanowili przyjrzeć się bliżej tym i innym trendom.

Na początek zwrócili uwagę na wzrost liczby szkodliwych programów wykazujących zachowanie Trojan-SMS. W pierwszej połowie 2008 roku wykryto więcej takich programów niż od czasu wykrycia pierwszego takiego programu. (Trojan-SMS.J2ME.RedBrowser.a, pierwszy Trojan-SMS, został wykryty 27 lutego 2006 r.). W pierwszej połowie 2008 roku wykryto o 422% więcej nowych trojanów SMS niż w drugiej połowie 2007 roku.

Obecnie istnieje dziewięć rodzin szkodliwego oprogramowania atakującego platformę J2ME, trzy rodziny atakujące platformę Symbian i jedna atakująca Python. Trojany te to stosunkowo prymitywne twory.

W przypadku trojanów J2ME, ogromna większość z nich posiada następującą strukturę: archiwum JAR zawierające kilka plików klasy. Jeden z tych plików wysyła wiadomość SMS na krótki numer (naturalnie użytkownik nie jest pytany, czy taka wiadomość powinna zostać wysyłana, i nie jest informowany, ile kosztuje wysłanie takiej wiadomości). Inne pliki klasy znajdują się tam tylko po to, aby zamaskować szkodliwy program. Archiwum może zawierać wiele obrazów (w większości przypadków będzie to erotyka) oraz plik-wykaz, który w niektórych przypadkach jest również wykorzystywany przez szkodliwe oprogramowanie do wysyłania wiadomości.

W przypadku rodziny Trojan-SMS.Python.Flocker, jej prymitywna natura i funkcja szkodliwa są zasadniczo takie same - różnią się tylko platformą. Główny skrypt odpowiedzialny za wysyłanie wiadomości SMS na krótkie numery jest napisany w języku Python i zlokalizowany w archiwum SIS, które zawiera również dodatkowe skrypty, których celem jest maskowanie aktywności szkodliwego oprogramowania.

Jednym z powodów, dla których trojany SMS stanowią zagrożenie, jest ich wieloplatformowy charakter. Jeśli telefon (odnosi się to do telefonów, które nie są smartfonami) posiada zintegrowaną maszynę Java, Trojan-SMS.J2ME będzie mógł bez problemów działać na takim urządzeniu. W przypadku trojana Trojan-SMS.Python, wieloplatformowość dotyczy smartfonów działających pod kontrolą systemu operacyjnego Symbian. Jeśli telefon (który może działać pod kontrolą każdej wersji systemu operacyjnego) zawiera interpreter Python, Trojan-SMS.Python będzie mógł działać.

Najpowszechniejszą metodą rozprzestrzeniania takich szkodliwych programów są portale WAP, które oferują użytkownikowi możliwość ściągania dzwonków, obrazów, gier oraz innych aplikacji dla telefonów komórkowych. Ogromna większość programów trojańskich jest maskowana albo pod postacią aplikacji, które mogą być wykorzystywane do bezpłatnego wysyłania wiadomości SMS oraz korzystania z Internetu, albo aplikacji o charakterze erotycznym/pornograficznym.

Niekiedy twórcy wirusów wymyślają oryginalne sposoby maskowania szkodliwej funkcji swoich tworów. Na przykład, po tym jak użytkownik uruchomi trojana Trojan-SMS.J2ME.Swapi.g, w telefonie pojawia się komunikat zachęcający użytkownika do obejrzenia pornografii. W tym celu użytkownik musi wcisnąć przycisk "TAK", w czasie gdy gra melodyjka. (Archiwum JAR programu zawiera zarówno plik graficzny png, jak i plik muzyczny midi.) Skupiając się na tym, aby wcisnąć przycisk na czas, użytkownik nie zauważa, że za każdym razem, gdy wciskany jest przycisk (w czasie gdy gra muzyka lub gdy nie gra), wysyłany jest SMS na krótki numer, a za każdą wysłaną wiadomość pobierana jest opłata.

Prawie wszystkie strony, na których znajdują się szkodliwe programy, oferują użytkownikowi możliwość wrzucenia na stronę swoich plików. Rejestracja jest prosta - wystarczy tylko kilka kliknięć - a wolny dostęp pozwala twórcom wirusów bez przeszkód rozprzestrzeniać swoje prymitywne twory. Muszą tylko nadać swojemu plikowi możliwie najbardziej atrakcyjną nazwę (np. free_gprs_internet, otpravka_sms_besplatno [wyślij_sms_bezpłatnie], goloya_devushka [naga_dziewczyna] itd.), napisać kilka zachęcających linijek opisujących program, a później już tylko czekać, aż użytkownik zdecyduje się wysłać darmowego SMS-a lub obejrzeć zdjęcia erotyczne.