Троянец завтрашнего дня

В этом году свое десятилетие «отметил» первый в мире мобильный вирус Cabir. По подсчетам экспертов, за это время у виртуального паразита появилось немало сородичей — сейчас по планете «разгуливает» более 300 семейств вредоносных программ и более 400 тыс. опасных приложений Android. Каковы последние достижения хакерской мысли и что за вершины «мобильные паразиты» намерены покорить в ближайшем будущем, «Известиям» рассказали представители компаний, специализирующихся на антивирусной безопасности.

Представьте себе такую картину: вам срочно нужно позвонить, вы достаете свой мобильник, набираете номер, и вдруг выясняется — у вас на счету нет ни копейки. И это при том, что всего несколько часов назад на телефоне имелась «кругленькая» сумма. Куда делись целковые? Все просто — ваш девайс атаковал мобильный «паразит»...

Первая проба

Тот — первый — вирус Cabir считался относительно безвредным. Он был нацелен лишь на телефоны с операционной системой symbian и доставлялся на аппарат через Bluetooth-соединение в виде файла формата SIS (Nokia Phone Game File), маскируясь под утилиту для защиты телефона. При запуске зараженного файла внедрялся в систему и активизировался при каждой загрузке телефона. После этого Cabir сканировал доступные устройства, использующие технологию передачи данных Bluetooth, выбирал первый из них и пересылал ему свою копию.

Массовый случай заражения этим вирусом был зафиксирован в 2005 году на чемпионате мира по легкой атлетике в Хельсинки. На большом стадионе, где проводился чемпионат, Cabir буквально ставил рекорды по скорости распространения. К счастью, сотрудникам финской антивирусной компании F-Secure удалось с ним справиться. На стадионе было отведено специальное место, где телефоны «очищали» от вируса. Утешало одно — каких-либо деструктивных действий зловред не производил, просто из-за активной работы Bluetooth-модуля батарея телефона быстро истощалась, а сам аппарат работал нестабильно.

Однако с тех пор ситуация изменилась. Антивирусный эксперт «Лаборатории Касперского» Роман Унучек заметил: только в 2013 году было обнаружено около 143 тыс. новых модификаций вредоносных программ для мобильных устройств, а число образцов мобильных зловредов для кражи данных кредитных карт и хищения денег с банковских счетов пользователей увеличилось почти в 20 раз. В пятерку стран по количеству уникальных пользователей, подвергшихся атакам, вошли Россия (40% от всех атакованных), Индия (8%), Вьетнам (4%), Украина (4%) и Великобритания (3%).

Вымогатель с фантазией

Как уверяют эксперты, вирусы нового поколения преобразились до неузнаваемости — и по способам распространения, и по защищенности от уничтожения, и по собственной вредоносности. Подхватить такую «заразу» отныне можно едва ли не на каждом углу виртуального пространства. К примеру, взлом и инфицирование легальных веб-ресурсов позволяют распространять мобильные вредоносные программы через популярные интернет-сайты. Не меньшую опасность, по данным «Лаборатории Касперского», сулят альтернативные магазины приложений. Так, в Азии расположено множество компаний, выпускающих Android-устройства, и многие из них предлагают пользователям собственные магазины приложений, которые содержат программы, отсутствующие в Google Play. Конт­роль за файлами в таких «бутиках» нередко чисто формальный, что позволяет злоумышленникам размещать там своих троянцев под видом вполне невинных игр и утилит. Третий путь — распространение вирусов через так называемые ботнеры. Как правило, боты распространяют себя, рассылая SMS с вредоносной ссылкой по контактам жертвы.

«Функциональные возможности инновационных мобильных троянцев тоже весьма обширны — от скрытой отправки платных SMS до подписки пользователя на различные псевдоуслуги (тогда с его счета деньги будут утекать постоянно). Кроме того, здесь могут иметь место рассылка с инфицированного устройства спама, накрутка посещаемости различных сайтов (телефон сам открывает браузер и начинает «заходить» на страницы), кража конфиденциальной информации — адресной книги, СМС, данных GPS-приемника, — перечисляет эксперт компании «Доктор Веб» Алексей Михайлов. — Есть троянцы, которые устанавливают на телефон/планшет разные программы, а авторы этих троянцев получают вознаграждение за каждую установку. Есть банковские троянцы для Android, способные перехватывать mTAN-коды при работе с системами банк-клиент, с их помощью злоумышленники вообще могут воровать деньги прямо с банковского счета жертвы». Android, кстати, успел стать главной мишенью кибервредителей: по данным исследователей, до 98% всех инновационных мобильных вирусов «нацелены» именно на него.

При этом зловреды все чаще используют уязвимости в системе для самозащиты. Кроме того, они хорошо маскируют свою активность, их становится довольно сложно найти. «Мы предполагаем, что в ближайшее время продолжится рост банковских троянцев. Также мы ожидаем развития локеров/шифровальщиков/вымогателей», — рассказывает Роман Унучек.

Охота за банковским счетом

Как замечают специалисты, в области киберпреступности трудно предсказать, с какими напастями придется столкнуться через год, прогнозы же на более длительный срок — дело и вовсе неблагодарное. За прошедшее десятилетие мобильные угрозы преобразились кардинально, но злоумышленники продолжают искать новые и все более изощренные способы для атак. «Возможно, более широко будут распространены банковские вредоносные программы со специализацией на краже данных онлайн-банкинга пользователей», — предполагает ведущий вирусный аналитик компании ESET Артем Баранов.

Пока что «вершиной» мысли в этом направлении считается вирус Svpeng. Зловред распространяется с помощью SMS-спама и со взломанных легитимных сайтов, перенаправляющих мобильных посетителей на вредоносный ресурс. Там пользователю предлагают скачать и установить троянец под видом обновления Adobe Flash Player. «Поселившись» в телефоне, вирус собирает информацию о смартфоне (это нужно для определения круга банков, которыми может пользоваться жертва), крадет SMS-сообщения и информацию о голосовых вызовах.

Разжившись необходимыми для атаки сведениями, киберпреступник может дать Svpeng команду на перевод денег с банковского на мобильный счет жертвы. А дальше — «слить» деньги уже с мобильного счета, к примеру, переводом на электронный кошелек через личный кабинет в системе оператора связи или банальной отправкой сообщений на премиум-номера. Что любопытно — долгое время при этом жертва не чувствует подвоха: троянец умеет себя мастерски «скрывать»: он маскирует отправленные и полученные SMS-сообщения, а также блокирует вызовы и сообщения с номеров банка.

Пока что этот «паразит» распространен в России и странах СНГ. Что же касается пользователей за рубежом, то их третируют не менее хитроумные вредители. Тут прежде всего идет речь об Android-троянце Perkele. В силу специфического предназначения Perkele распространяется необычным методом. Заразивший ПК жертвы банковский зловред (ZeuS, Citadel) при заходе пользователя на сайт интернет-банкинга внедряет в загружаемый код страницы аутентификации запрос номера смартфона и типа его операционной системы. После ввода вся информация попадает к злоумышленникам, а на экран компьютера выводится QR-код со ссылкой якобы на сертификат интернет-банка.

Просканировав QR-код и установив загруженный по ссылке компонент, пользователь заражает свой смартфон троянцем, который обладает весьма интересным для злоумышленников функционалом. В частности, Perkele перехватывает mTAN (коды подтверждения банковских операций), присылаемые банком посредством SMS. Пользуясь похищенными из браузера логином и паролем пользователя, Windows-троянец инициирует поддельную транзакцию, а Perkele перехватывает и сообщает ему (через C&C-сервер) присланный банком mTAN. Деньги жертвы уходят со счета и обналичиваются без каких-либо внешних признаков.

Корейский зловред Wroba помимо традиционного вектора заражения через файлообменные сервисы распространяется через альтернативные магазины приложений. После заражения устройства Wroba ведет себя предельно агрессивно. Он ищет установленные приложения мобильного банкинга, удаляет их и загружает имитирующие их подделки. Внешне они неотличимы от легитимных приложений, но никаких функций обычного банковского приложения у них нет, они лишь похищают вводимые логины и пароли.

Самые известные мобильные вирусы

CommWarrior
Появился в 2005 году. Атаковал Symbian-аппараты на S60 и распространялся через Bluetooth или MMS. Было заражено более 115 тыс. мобильных телефонов и более 450 тыс. MMS было отправлено без ведома их владельцев. Вирус проникал в трубку и сразу начинал рассылать зараженные MMS всем контактам из адресной книги. То есть он не только выводил аппарат из строя, но и подрывал финансовое положение пользователей несанкционированной рассылкой MMS.

Троян Webster
Вирус распространяется в виде файла под названием pomoshnik.jar. Файл этот якобы призван расширить функциональные возможности телефона. Пользователи клюют на такое предложение, запускают «помощника», и вирус проникает в трубку. Как и RedBrowser, Webster поддерживает платформу JAVA. По своим функциям он тоже очень похож на RedBrowser.

Кросс-платформенный вирус Cxover
Первый мобильный вирус, способный распространяться в разных операционных системах. При запуске он определяет ОС, проникает в компьютер и ищет доступные мобильные устройства через ActiveSync. Затем вирус копирует себя на найденное устройство. Попав в смартфон, программа пытается проделать обратную процедуру — скопировать себя на персональный компьютер. Вирус может удалять пользовательские файлы на мобильном устройстве.

Троян RedBrowser
Поддерживает платформу JAVA. Вирус может быть загружен на телефон как из интернета с WAP-сайта, так и через Bluetooth-соединение. Троян маскируется под программу, позволяющую посещать WAP-сайты без настройки WAP-подключения. Авторы этой программы сообщают, что такая возможность достигается за счет отправки бесплатных SMS-сообщений. На самом же деле вирус начинает рассылать SMS на платные мобильные сервисы (например, на номера компаний, которые продают игры, мелодии или картинки для мобильников). Стоимость одного такого сообщения может достигать сотни рублей, а отправляются они непрерывно. Таким образом, после атаки вируса счет пользователя обнуляется, а в случае кредитной системы оплаты даже уходит в глубокий минус.

Вирус-шпион Flexispy
Эта программа продавалась в интернете за $50. Представляет собой полнофункционального шпиона, который устанавливает тотальный контроль над смартфоном и начинает исправно отсылать своему хозяину всю информацию о совершенных звонках и отправленных SMS.

DroidKungFu
Этот вирус сегодня считается одним из самых передовых вирусов в технологическом отношении. Программа включает в себя известный эксплойт-«корень», благодаря которому становится администратором телефона и получает полный контроль над устройством. Помимо этого она способна остаться незамеченной антивирусными программами.