Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

Wieści z frontu mobilnego

Z dnia na dzień zwiększa się zagrożenie ze strony mobilnych złośliwych programów. W 2005 roku trojany tworzone w celu infekowania urządzeń przenośnych pracujących pod kontrolą systemu Symbian stanowiły zaledwie strużkę; pod koniec roku ta strużka zmieniła się w strumyk. Obecnie analitycy Laboratorium Antywirusowego Kaspersky Lab każdego tygodnia dodają do antywirusowych baz danych do 10 nowych trojanów atakujących smartfony. Znaczna liczba tych trojanów jest pisana w Azji, w szczególności w Korei Południowej. Państwo to jest niewątpliwie liderem w tworzeniu wirusów dla telefonów komórkowych.

Wraz z nieustanną ewolucją technologii mobilnych następuje szybki rozwój złośliwego kodu. W lutym pojawiły się dwa zupełnie nowe złośliwe programy. Pierwszy z nich został wykryty przez Kaspersky Lab, po tym jak jeden z użytkowników poinformował firmę, że ogromna liczba stron przeznaczonych dla użytkowników telefonów komórkowych rozprzestrzenia program o nazwie RedBrowser. Według autorów programu, RedBrowser miał umożliwić uzyskanie dostępu do stron WAP bez nawiązania połączenia internetowego. Było to możliwe poprzez wysłanie i otrzymanie SMS-a zawierającego kod strony.

Użytkownik musiał tylko pobrać program na swój telefon komórkowy. Program rzeczywiście wysyłał SMS-y, nie umożliwiał jednak połączenia z Internetem. Wiadomości wysyłane były na płatne numery, a koszt jednego SMS-a wynosił 5-6 dolarów amerykańskich.

W wyniku analizy okazało się, że trojan jest plikiem JAR napisanym dla J2ME, systemu operacyjnego wykorzystywanego przez większość współczesnych telefonów. Do niedawna sądzono, że stworzenie programu, który potrafiłby infekować większość telefonów jest niemożliwe. Wyobrażenia te zmienił RedBrowser. Trojan ten występował na wolności już od pewnego czasu i zdążył spowodować infekcje. Otrzymał nazwę Trojan-SMS.J2ME.RedBrowser.a, a wkrótce po pojawieniu się pierwszej wersji wykryto kolejną.

Pojawienie się złośliwego programu dla J2ME miało takie samo znaczenie jak pojawienie się pierwszego robaka dla smartfonów w 2004 roku. Wciąż trudno jest ocenić stopień tego zagrożenia; jednak możliwość infekowania standardowych telefonów oznacza, że firmy antywirusowe będą musiały rozpocząć prace nad rozwiązaniami antywirusowymi dla takich urządzeń. Istnieje ponadtoteż niebezpieczeństwo, że podobne trojany wysyłające SMS-y na płatne numery zostaną stworzone także dla smartfonów z Symbianem.

Zwiększa się liczba smartfonów i urządzeń PDA z Windows Mobile. Do niedawna znane były tylko dwa złośliwe programy dla Windows Mobile/Pocket PC: wirus Duts oraz backdoor Brador. Jednak ich liczba znacznie wzrosła w lutym 2006 roku.
Cała historia zaczęła się od opublikowania przez organizację MARA (Mobile Antivirus Researchers Association) informacji prasowej o otrzymaniu wirusa od anonimowego autora. Był to kod typu Proof of Concept, który miał rzekomo infekować zarówno komputery PC działające pod kontrolą systemu Windows, jak i telefony z Windows Mobile. Wiadomość ta wzbudziła duże zainteresowanie zarówno mediów jak i branży antywirusowej, ponieważ wirusy dla Windows Mobile są rzadkością, a program ten posiadał pełną funkcjonalność wirusa wieloplatformowego.

Do organizacji MARA zgłosiły się zarówno media jak i firmy antywirusowe z prośbą o udostępnienie próbki do analizy w celu dodania sygnatury tego wirusa do antywirusowych baz danych. Wszystkie spotkały się jednak z taką samą odpowiedzią: najpierw należy wstąpić do MARA, ponieważ reguły organizacji zabraniają udostępniania próbek osobom nie będącym jej członkami.