От наживы до свободы. Самые известные sms-вирусы, ворующие деньги и создающие революции
В 2011 году треть вредоносных программ для смартфонов была нацелена не только на кражу персональной информации с устройства пользователя - контактов, sms-сообщений, GPS-координат, фотографий и прочего, но и спровоцировала волну арабских революций
Фокус.ua приводит девять самых неожиданных и вредоносных программ, терроризирующих мобильные устройства во всем мире в 2011 году, проанализировав данные исследования "Лаборатории Касперского".
1. Троянец, ворующий разговоры. Nickspy (Trojan-Spy.AndroidOS.Nickspy) является исключением из однообразных китайских поделок. Эта вредоносная программа способна записывать все разговоры владельца зараженного устройства в звуковые файлы и загружать эти файлы на удаленный сервер злоумышленников. Одна из модификаций Nickspy, маскирующаяся под приложение социальной сети Google+, может скрыто принимать входящие вызовы с телефонного номера злоумышленников, записанного в конфигурационном файле вредоносной программы. Когда зараженный телефон без ведома хозяина принимает такой вызов, у злоумышленников появляется возможность слышать все, что происходит вблизи зараженного устройства - в том числе разговоры его хозяина. Помимо этого, троянцу "интересны" тексты SMS-сообщений, информация о вызовах, а также GPS-координаты устройства. Все эти данные также отправляются на удаленный сервер злоумышленника.
2. Вирус, похищающий архивы. Antammi (Trojan-Spy.AndroidOS.Antammi) был создан российскими вирусописателями. Прикрытием для вредоносной активности троянца Antammi служил легитимный функционал приложения для загрузки рингтонов. Троянец мог украсть практически все личные данные пользователя: контакты, архив SMS, GPS-координаты, фотографии и пр. Далее он отправлял киберпреступникам по электронной почте журнал своей активности, а похищенные данные загружал на их сервер.
3. Программы, контролирующие смартфоны. Зловреды, задача которых - контроль устройства, получили широкое распространение в 2011 году. Сегодня среди вредоносных программ для Android бэкдоры по популярности несколько уступают только троянцам-шпионам. Китайские вирусописатели поставили создание бэкдоров на поток. Большинство этих бэкдоров содержат в себе эксплойты, единственная задача которых -получение привилегий суперпользователя или получение максимальных привилегий на данном устройстве. Это позволяет злоумышленнику получить полный удаленный доступ ко всему смартфону. Другими словами, после заражения злоумышленник сможет удаленно осуществлять практически любые действия со смартфонов. Самым ярким (и серьезным в плане функционала) примером бэкдора стал обнаруженный в самом начале 2012 года IRC бот Backdoor.Linux.Foncy. Этот бэкдор находился внутри APK-дроппера (Trojan-Dropper.AndroidOS.Foncy), в котором, помимо бэкдора, были еще эксплойт (Exploit.Linux.Lotoor.ac) для получения прав root на смартфоне и SMS-троянец (Trojan-SMS.AndroidOS.Foncy).
4. Подарок от Кати, выманивающий деньги. Начало 2011 года "порадовало" многих пользователей мобильных устройств регулярными SMS спам-сообщениями о том, что они получили MMS-подарок от некой Кати. Ничего удивительного в том, что этот "подарок" предлагалось загрузить, перейдя по ссылке в сообщении, не было. Ничего удивительного не было и в том, что находящийся по ссылке JAR-файл на самом деле был SMS-троянцем. Практически во всех зафиксированных экспертами рассылках вредоносные программы принадлежали к семейству Trojan-SMS.J2ME.Smmer. Это вредоносная программа, предназначенная для несанкционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на платные номера. Такие троянцы достаточно примитивны по своему функционалу, однако учитывая масштаб рассылок и их регулярность, эта примитивность не помешала злоумышленникам заразить немалое количество мобильных устройств.
5. Вредитель, сокращающий расход заряда телефона. До 2011 года SMS-троянцы в большинстве своем были нацелены на пользователей из России, Украины, Казахстана. Но в 2011 году китайские вирусописатели также стали активно создавать и распространять SMS-троянцев. Однако вредоносные программы с функционалом только SMS-троянцев не приобрели большой популярности у китайских вирусописателей. Функционал отправки SMS-сообщений на платные номера идет в довесок к прочему разнообразию поведений зловредов из Китая. Также были зафиксированы первые атаки, нацеленные на пользователей из Европы и Северной Америки. Одним из "пионеров" стал троянец GGTracker, нацеленный на пользователей из США. Приложение маскировалось под утилиту, сокращающую расход заряда аккумулятора смартфона, хотя на самом деле осуществляло подписку пользователя на платный сервис с помощью SMS-сообщений.
6. Шпион, посылающий на платные сайты. Еще одним ярким примером стало семейство SMS-троянцев Foncy. Несмотря на примитивный функционал, Foncy стал первым зловредом, нацеленным на пользователей из Западной Европы и Канады. А более поздние его модификации атаковали пользователей не только из западноевропейских стран и Канады, но и из США, Сьерра-Леоне и Марокко. Троянец Foncy имеет две характерные особенности. Во-первых, он способен определять, к какой стране относится SIM-карта зараженного устройства, и в зависимости от страны менять и префикс, и номер, на который отправляется SMS-сообщение. Во-вторых, троянец посылает отчет о проделанной работе злоумышленникам. Как правило, троянец без ведома пользователя отправляет SMS-сообщение на премиум-номер для оплаты той или иной услуги. Это может быть доступ к контенту сайта или архиву, подписка на рассылки с сайта и т.п. В ответ приходит SMS-сообщение с подтверждением оплаты, которое вредоносная программа прячет от пользователя. Foncy пересылает текст таких подтверждений и короткие номера, с которых они приходят, своим хозяевам. Сначала эта информация просто пересылалась в SMS-сообщении на номер злоумышленников. Последующие модификации троянца загружали ее непосредственно на их сервер.
7. Парный вредитель, взламывающий банковские аккаунты. Троянцы ZitMo (ZeuS-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile), работающие в связке с обычными ZeuS и SpyEye, являются одними из самых сложных мобильных зловредов, обнаруженных в последнее время. Сами по себе ZitMo или SpitMo - обычные шпионские программы, способные пересылать SMS-сообщения. Однако их использование в паре с "классическим" ZeuS или SpyEye позволило злоумышленникам преодолеть рубеж защиты банковских транзакций mTAN. Они пересылают на номер злоумышленников или на их сервер входящие сообщения с mTAN, которые затем используются киберпреступниками для подтверждения финансовых операций, осуществляемых со взломанных банковских аккаунтов. Обнаружены версии ZitMo для Symbian, Windows Mobile, Blackberry и Android; SpitMo — для Symbian и Android.
8. QR-коды, отправляющие на сайты с вирусами. QR-коды становятся все более популярными и широко используются в различного рода рекламе, бейджах и т.п. для обеспечения быстрого и простого доступа к определенной информации. Поэтому первые атаки с помощью вредоносных QR-кодов не стали большой неожиданностью. Многие вредоносные программы для мобильных устройств (особенно SMS-троянцы) распространяются на сайтах, где все ПО - вредоносное. На таких сайтах, помимо прямых ссылок на зловреды, киберпреступники стали использовать и вредоносные QR-коды, в которых зашифрованы ссылки на то же вредоносное ПО. Первыми эту технологию опробовали российские киберпреступники: за вредоносными QR-кодами скрывались SMS-троянцы для Android и J2ME.
9. Вирус, создающий революции. На протяжении всего 2011 года эксперты наблюдали небывалый всплеск активности компьютерных злоумышленников, которыми руководило не стремление к наживе, а чувство протеста или даже жажда мести по отношению к политикам, госорганам, большим корпорациям и государствам. Угроза, детектируемая экспертами как Trojan-SMS.AndroidOS.Arspam, нацелена на пользователей из арабских стран. Это протрояненное приложение-компас распространялось на арабоязычных форумах. Основной функционал троянца — рассылка по случайно выбранным контактам зараженного устройства SMS-сообщений со ссылкой на форум, посвященный Мохаммеду Буазизи. Напомним, Мохаммед Буазизи совершил акт самосожжения в Тунисе, после чего в стране начались массовые волнения, затем перешедшие в революцию. Помимо этого Arspam также пытается определить ISO-код страны, где используется смартфон. Если это значение равно BH (Бахрейн), то зловред пытается загрузить на смартфон PDF-файл, который содержит отчет BICI (Bahrain Independent Commission of Inquiry) о нарушениях прав человека.
Ольга Дидух, Фокус.ua