Szkodliwe programy mobilne 2012

Przeczytaj także: Nowy trojan Vidro na urządzenia mobilne z Androidem

FinSpy

Mobilne wersje FinSpy stanowią część oferty Gamma International. Dane o istnieniu tego pakietu narzędzi do zdalnego monitoringu po raz pierwszy pojawiły się jeszcze w pierwszej połowie 2011 roku. Tego samego roku okazało się, że istnieją mobilne wersje FinSpy. Następnie, w 2012 roku, The Citizen Lab zdobyło do analizy mobilne wersje FinSpy’a dla Androida, iOSa, Windowsa Mobile, Symbiana oraz BlackBerry’ego.

Modyfikacje FinSpy’a dla różnych platform posiadają wiele wspólnych funkcji:

• rejestrowanie połączeń przychodzących i wychodzących;
• ukryte połączenia w celu podsłuchiwania otoczenia celu;
• kradzież informacji ze smartfonów (rejestry połączeń, wiadomości tekstowe i multimedialne, kontakty itd.);
• śledzenie współrzędnych geograficznych;
• komunikacja z centrum kontroli za pośrednictwem Internetu i wiadomości tekstowych.

Jednocześnie, każda wersja dla określonej platformy posiada również kilka specjalnych funkcji. Na przykład FinSpy dla Symbiana potrafi wykonywać zrzuty ekranu; FinSpy dla BlackBerry potrafi również monitorować komunikację za pośrednictwem komunikatora BlackBerry Messenger; wersja dla Androida może włączać i wyłączać tryb samolotowy, FinSpy dla iOSa może zostać zainstalowany z ograniczonym asortymentem urządzeń i określonych unikatowych identyfikatorów, natomiast wersja dla Windows Mobile zmienia polityki bezpieczeństwa.

Ciekawym aspektem wszystkich mobilnych wersji FinSpya jest tworzenie i wykorzystywanie pliku konfiguracyjnego 84c.dat. Wykorzystywane do wygenerowania go mechanizmy różnią się w zależności od systemu operacyjnego, ostatecznie jednak zawiera on dane niezbędne do działania modułu spyware (adres serwera kontroli, numer mobilnego C&C, wykorzystywane porty oraz inne dane).

Główna funkcja wszystkich modułów mobilnych FinSpy’a nie jest niczym nowym czy unikatowym. Podobny zestaw funkcji widywaliśmy już wielokrotnie w komercyjnym oprogramowaniu spyware takim jak FlexiSpy czy MobileSpy. Tym, co wyróżnia FinSpy’a, jest jego twórca: firma, która jest oficjalnie zarejestrowana w Wielkiej Brytanii i – jak wynika z informacji o firmie zamieszczonych na jej oficjalnej stronie internetowej – rozwija narzędzia do zdalnego monitoringu dla agencji rządowych.

Obecnie nie wiadomo, kto zamówił ataki przy użyciu FinSpy’a ani kim były konkretnie ich ofiary i wszelkie pytania prawdopodobnie pozostaną bez odpowiedzi. Jednak nawet przy braku tych informacji pojawienie się FinSpy’a otworzyło nowy rozdział w historii mobilnego szkodliwego oprogramowania.

Czerwony Październik

Pod koniec 2012 roku jeżeli ktokolwiek miał jeszcze wątpliwości odnośnie znaczenia mobilnego oprogramowania spyware, z pewnością zostały one rozwiane po pojawieniu się informacji o operacjach Czerwony Październik: urządzenia mobilne stały się – podobnie jak konwencjonalne komputery - celem ataków szpiegowskich.

Mamy dowody na to, że stosujące za tą operacją nieznane osoby są zainteresowane przechwytywaniem danych z urządzeń mobilnych. Dostęp do takich informacji mogą uzyskiwać nie tylko przy użyciu mobilnego szkodliwego oprogramowania ale również modułów dla Windowsa, które działają wtedy, gdy urządzenia są podłączone do zainfekowanego komputera. W tej sekcji podsumujemy informacje, jakie posiadamy na temat mobilnych modułów Czerwonego Października, jak również inne dane, które mogą być istotne.

Jeden z modułów Czerwonego Października – RegConn – odpowiada za gromadzenie danych o systemie i informacji o zainstalowanym i wykorzystywanym na zainfekowanym komputerze oprogramowaniu. Dane te są przechwytywane poprzez odczytywanie określonych kluczy rejestru (lista kluczy jest zawarta w samym module). Spośród kluczy wyróżniają się następujące:

W ten czy inny sposób wszystkie te klucze rejestru są powiązane z oprogramowaniem, które działa z urządzeniami mobilnymi (iTunes, Nokia PC Suite itd.), które może zostać zainstalowane na zainfekowanym komputerze.

Inny komponent Czerwonego Października został stworzony dla iPhone’a. Celem tego modułu jest przechwytywanie informacji ze smartfona, gdy jest podłączony do zainfekowanego nim komputera. Wykorzystuje on plik katalogu iTunes’a CoreFoundation.dll. Warto zauważyć, że moduł ten potrafi uruchomić jedną z dwóch różnych usług: jedną dla telefonów, które poddano jailbreakowi, i jedną dla telefonów, które nie zostały w ten sposób złamane.

W obu przypadkach moduł będzie próbował gromadzić:

• informacje dotyczące samego urządzenia, począwszy od EMEI, a skończywszy na wersji firmware’a;
• pliki z następującymi rozszerzeniami: .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg;
• zawartość plików z danymi dotyczącymi wiadomości SMS, kontakty, rejestry połączeń, notatki, kalendarz, pocztę głosową, historię przeglądarki Safari oraz pocztę e-mail.