Szkodliwe programy mobilne: ewolucja

Przeczytaj także: Życzenia świąteczne od cyberprzestępców

Technologie i podejścia

Stosunkowo duża liczba szkodliwych programów, które atakują komputery PC, rozprzestrzenia się poprzez kopiowanie się na nośniki wymienne lub pamięci flash USB. Ta metoda rozprzestrzeniania się, mimo że prymitywna, okazała się bardzo skuteczna.

Metodę tę wykorzystali również twórcy mobilnych szkodliwych programów. Przykładem może być Worm.WinCE.InfoJack. Robak ten kopiuje się na dysk E:. W smartfonach działających pod kontrolą systemu Windows Mobile litera ta oznacza kartę pamięci urządzenia.

Oprócz procedury rozprzestrzeniania się InfoJack posiada również inne interesujące funkcje. Po pierwsze, robak ten powiela się w ramach plików instalacyjnych CAB, które zawierają również legalne aplikacje i gry. Najwyraźniej, sztuczka ta jest stosowana w celu ukrycia aktywności robaka. Po drugie, InfoJack wyłącza sprawdzanie podpisów aplikacji, które jest jednym z mechanizmów ochrony zaimplementowanych w Windows Mobile. W rezultacie, jeżeli użytkownik będzie próbował zainstalować niepodpisaną aplikację (która może być szkodliwa), system operacyjny nie powiadomi użytkownika, że aplikacja nie posiada podpisu. Po trzecie, jak tylko smartfon zostanie podłączony do Internetu, robak próbuje pobrać dodatkowe szkodliwe moduły. Tak więc InfoJack posiada również funkcjonalność downloadera. Ponadto, robak wysyła swojemu autorowi dane osobiste użytkownika.

Podsumowując, szkodnik potrafi rozmnażać się, pobierać pliki z Internetu, wyłączać zabezpieczenia systemu operacyjnego i szpiegować użytkowników. Jest również bardzo dobry w maskowaniu siebie.

Worm.WinCE.PMCryptic.a jest kolejnym przykładem robaka, który kopiuje się na karty pamięci. Jednak szkodnik ten zasłynął z innego powodu: jest to pierwszy robak polimorficzny i wirus towarzyszący dla smartfonów! Robak ten, stworzony w Chinach, nie został wykryty na wolności - jest to jedynie kod "proof of concept". Jednak już sam fakt, że możliwe jest stworzenie szkodników polimorficznych dla smartfonów, jest niepokojący.

Problemem dla właścicieli smartfonów są również różne prymitywne trojany, które uszkadzają lub usuwają dane użytkowników. Przykładem jest Trojan.SymbOS.Delcon.a - ten 676-bajtowy trojan infekuje smartfony działające pod kontrolą systemu operacyjnego Symbian! Po uruchomieniu archiwum SIS plik o nazwie contacts.pdb zawierający kontakty użytkownika jest zastępowany innym plikiem z zainfekowanego archiwum. Zainfekowana wersja pliku contacts.pdb zawiera komunikat w języku angielskim i rosyjskim.

Not-a-virus:Porn-Dialer.SymbOS.Pornidal.a jest szkodliwym programem, który wykonuje międzynarodowe połączenia na numery o podwyższonej opłacie. Przed pojawieniem się tego oprogramowania podobne szkodliwe programy atakowały tylko komputery PC.

Not-a-virus:Porn-Dialer.SymbOS.Pornidal.a działa w następujący sposób: po uruchomieniu pliku SIS wyświetlana jest umowa licencyjna, w której można przeczytać, że aplikacja będzie wykonywała międzynarodowe połączenia na numery o podwyższonej opłacie w celu uzyskiwania pełnego dostępu do stron pornograficznych. Aplikacja łączy się z numerami o podwyższonej opłacie w różnych krajach na świecie, w tym w czterech krajach europejskich, czterech afrykańskich i jednym kraju z regionu Australii/Pacyfiku.

Programy te są niebezpieczne, ponieważ mogą być modyfikowane przez cyberprzestępców, tak aby zawierały szkodliwą funkcję i były wykorzystywane do nielegalnego zarabiania pieniędzy. Na przykład, cyberprzestępcy mogą usunąć ostrzeżenie, że aplikacja będzie łączyła się z numerami o podwyższonej opłacie. Poza tym, wiele osób nie zwraca uwagi na umowy licencyjne oraz na to, jakie działania może wykonywać aplikacja.

Trojany SMS: główne zagrożenie

Wystarczy pobieżny rzut oka na ewolucję zachowań szkodliwego oprogramowania, aby zauważyć, że dominującą funkcją jest wysyłanie wiadomości SMS na numery o podwyższonej opłacie bez zgody użytkownika. Trzy lata temu funkcję tę posiadały tylko dwie rodziny mobilnego szkodliwego oprogramowania, obecnie - aż 32 rodziny. Około 35% mobilnych szkodliwych programów wykrywanych przez firmę Kaspersky Lab wysyła wiadomości SMS. Jak widać, trojany SMS są obecnie dominującym typem zagrożenia. Tendencje, które doprowadziły do tej sytuacji, zostały opisane w artykule dotyczącym ewolucji szkodliwego oprogramowania opublikowanym we wrześniu 2008 roku.