Два года назад при публикации обзора о вредоносных программах для мобильных устройств (см. «Сети», 2005, № 2, с. 28) мы не могли точно знать, к каким последствиям приведет появление первых вирусов, разработанных специально для заражения смартфонов.

Угрозы, описанные нами в начале 2005 года, имели скорее потенциальный характер. Большинство абонентов по сей день уверены, что вирусы, трояны и другие напасти — эксклюзивный атрибут мира персональных компьютеров. К сожалению, факты свидетельствуют об обратном.

В то время лидеры мировой индустрии антивирусного программного обеспечения осторожно прикидывали размеры потенциального бедствия и явно не торопились с выпуском средств защиты мобильных терминалов, чем воспользовались фирмы калибром поменьше, например финская F-Secure. В ту пору куда большую озабоченность проявляли производители мобильных телефонов и соответствующих аппаратных компонентов, а также отдельные операторы (достаточно упомянуть Intel, Nokia, NTT DoCoMo, Texas Instruments, Siemens, Sony Ericsson и Sun Microsystems). Теперь ситуация изменилась коренным образом: в новостных лентах постоянно появляются сообщения о выходе очередных версий средств защиты «Лаборатории Касперского», McAfee, Symantec, Trend Micro и других известных участников рынка антивирусного ПО. Они адресуют свои разработки как владельцам мобильных телефонов, так и операторам сотовой связи.

В бой идут старики

В феврале на проходившем в Барселоне 3GSM World Congress «Лаборатория Касперского» продемонстрировала шестую версию Kaspersky Anti-Virus Mobile. Этот продукт предназначен для защиты смартфонов, работающих под управлением OC Symbian и Windows Mobile (см. врезку «Мобильный антивирус от Касперского»). Не прошло и месяца, как на выставке CeBIT в Ганновере компания Trend Micro представила новую версию приложения Trend Micro Mobile Security 3.0, которое обеспечивает защиту смартфонов Nokia, функционирующих под управлением Symbian S60 3rd Edition. Совместимое со всеми моделями серии E и с большинством телефонов серии N программное обеспечение адресовано корпоративным абонентам, работающим в сетях разных операторов и активно использующим соединения Wi-Fi и Bluetooth. В третьей версии появился встроенный брандмауэр и улучшены средства детектирования вредоносного кода. В функциональном и архитектурном плане продукт аналогичен версии Trend Micro Mobile Security 3.0 для Windows Mobile 5.0, появившейся в ноябре прошлого года. Начиная с апреля, пользователи смартфонов Nokia могут приобретать новое приложение за 34,95 долл.

На выставке CTIA Wireless, проходившей в конце марта в Орландо, другой крупный поставщик антивирусных продуктов, Symantec, представил пятую версию Mobile Security Suite. Продукт ориентирован на ОС Windows Mobile 5.0. В нем появились функции брандмауэра для мониторинга всего входящего и исходящего трафика, организация VPN на базе протокола IPSec, фильтрации спама и защиты клиентского доступа. Новая функция LiveUpdate позволит администраторам настраивать периодичность процедур загрузки обновлений и сканирования телефона на наличие вирусов.

Установивший Mobile Security Suite 5.0 абонент получает возможность локализации утерянного смартфона. Сотрудники ИТ-департамента способны удаленно подключаться к этому устройству, проверять, не получил ли кто-то посторонний доступ к конфиденциальным файлам, активизировать шифрование всех данных на самом телефоне и в карте памяти по 256-разрядной технологии Advanced Encryption Standard (AES). После определенного числа неудачных попыток регистрации в телефоне активизируется функция стирания содержимого. Пользовательская версия Norton Mobile Security 5.0 for Windows Mobile будет доступна за 79,95 долл. уже в мае. Вслед за ней Symantec планирует выпустить аналогичное приложение под Symbian.

Указанная цена более чем вдвое превышает стоимость последних разработок Trend Micro и «Лаборатории Касперского», и не случайно. Уже из краткого описания возможностей Mobile Security Suite 5.0 понятно, что Symantec задалась целью достичь уровня безопасности мобильного терминала, сопоставимого со степенью защищенности современного ПК. Функциональные возможности предыдущих аналогичных продуктов этой фирмы были куда беднее. Скажем, приложение Mobile AntiVirus для Windows Mobile 5.0, корпоративная и пользовательская версии которого появились в конце прошлого года, представляло собой обычное антивирусное программное обеспечение. Для среды Symbian компания Symantec реализовала еще и функции брандмауэра.

Бурная активность ведущих разработчиков продуктов для защиты мобильных телефонов и стремительное расширение функциональности предлагаемых ими решений говорят сами за себя. Картину уточняют аналитические материалы, посвященные эволюции вредоносного кода для мобильных терминалов и текущей ситуации в данной области. «Лаборатория Касперского» представила на барселонском 3GSM World Congress подробное исследование на эту тему.

Портрет 2006 года

В июне исполнится три года с момента обнаружения антивирусными компаниями первых образцов вредоносного кода для мобильных телефонов. Сегодня счет мобильным троянским программам и червям идет на сотни, и в отдельные периоды еженедельно регистрируются десяток новых троянов с префиксом SymbOS. Три года назад трудно было предположить, что появление червей Cabir.A и Cabir B откроет ящик Пандоры. Сегодня это — свершившийся факт.

В конце 2005 года было известно 22 семейства мобильных вирусов (106 версий и модификаций). К тому моменту создатели вредоносного кода интересовались лишь двумя операционными средами — Symbian и Windows CE. Начало прошлого года ознаменовалось вспышкой активности вирусописателей и, как следствие, ростом числа вариантов вредоносного кода (см. рисунок). Однако летом этот процесс неожиданно пошел на спад, и ежемесячно в базы данных производителей антивирусных продуктов попадали лишь две-семь новых записей. Сократилось и число любителей вредоносного ремесла: по оценкам «Лаборатории Касперского», сегодня во всем мире основная часть мобильных программ создается одним-двумя «писателями». Большинство их «творений» свободны от технических инноваций и квалифицируются специалистами как примитивные трояны. Тем не менее к концу года мрачная статистика мобильных вирусов пополнилась 13 новыми семействами (см. таблицу), 80 вариантами и модификациями, а к двум освоенным ранее платформам прибавились J2ME и MSIL.

Однако основной итог года выражается не в количественных показателях, а в качественных изменениях рассматриваемой области. В прошлом году появились веские основания говорить о становлении криминального бизнеса, который нацелен на кражу данных, хранящихся на мобильных терминалах с ОС Symbian. В апреле в Internet была создана первая коммерческая (предлагаемая за 50 долл.) полнофункциональная программа Flexispy, предназначенная для этой цели. Проникнув на смартфон, Flexispy берет его под полный контроль и начинает пересылать злоумышленникам данные обо всех звонках и SMS. В сентябре появилась аналогичная программа, охватывающая все текстовые сообщения.

Вирусописатели стали использовать мобильные телефоны и для прямой кражи денег со счетов абонентов. Эксперты «Лаборатории Касперского» утверждают, что первыми эту дорожку проторили российские хакеры. В феврале 2006 года началось распространение трояна RedBrowser, который выдавал себя за утилиту доступа к Internet посредством SMS-сообщений. Эта программа отправляла SMS на специальный номер, причем каждое сообщение стоило абоненту 5 долл. Аналогичная вредоносная программа Wesber зафиксирована в сентябре 2006 года.

Определенную эволюцию претерпели и пути распространения вирусов. Еще недавно каналами заражения были лишь интерфейс Bluetooth и MMS-сообщения, но внедрение в Windows CE элементов платформы разработки .NET позволило хакерам реализовать традиционный способ заражения — через электронную почту. Так, вирусный червь Letum рассылает свои копии с зараженного смартфона по всем зафиксированным на этом устройстве адресам. Данную программу стоит отнести к кросс-платформенным вирусам, поскольку она способна поражать и компьютеры, на которых инсталлирована .NET.

Первым вирусом такого типа был Cxover. Попав на персональный компьютер, он пытается проникнуть на подключенное мобильное устройство через программу синхронизации ActiveSync. Оказавшись на смартфоне, Cxover выполняет обратную процедуру с целью заразить ПК. Еще дальше пошли разработчики червя Mobler. Он способен заражать как ПК, так и мобильные устройства, работающие под Windows и Symbian.

Еще одна неприятная новость прошлого года состоит в том, что «сфера поражения» более не ограничивается смартфонами. Троян RedBrowser стал первой вредоносной программой, работающей на стандартных мобильных телефонах, — правда, пока лишь с установленными на них средствами J2ME. По мнению аналитиков, в скором времени буквально любой сотовый телефон станет потенциальной жертвой злоумышленников. Из 13 новых семейств мобильных вирусов, обнаруженных экспертами «Лаборатории Касперского» в прошлом году, семь содержат принципиальные технические новшества, а два ориентированы на заражение новых платформ.

Как ни странно, Cabir и Comwar, исторически первые экземпляры мобильного вредоносного кода, и по сей день остаются основными источниками угроз. Число стран, в которых зафиксированы зараженные ими телефоны, перевалило за 30. К счастью, они изначально не предназначались для хищения средств, и хотя Comwar распространяется в составе отправляемых им же MMS-сообщений, потенциальный финансовый ущерб от него невелик. Появление троянских программ, отправляющих дорогостоящие SMS-сообщения на специальные номера, знаменует собой первые серьезные попытки добраться до кошельков абонентов. А данные, хранящиеся на мобильных телефонах, похоже, мало кого интересуют. Они обычно не представляют особой ценности, а добираться до них сложнее, чем до содержимого компьютерных жестких дисков.

Тем не менее снижение активности, наметившееся в середине прошлого года, можно считать затишьем перед бурей. Вирусописатели полностью освоили базовую функциональность вирусов в мобильной среде, и ни одну из популярных платформ сегодня нельзя назвать защищенной. Пока авторами вредоносных программ для сотовых телефонов преимущественно являются программисты-любители, которые генерируют новые разновидности в рамках известных семейств. Однако темпы эволюции в этой сфере свидетельствуют, что ситуация может довольно быстро измениться.

Краткосрочный прогноз

Некоторые эксперты отмечают, что, с точки зрения серьезности угроз, вирусы для мобильных телефонов за три года прошли путь, который занял у вирусов для ПК два десятилетия. Своему стремительному распространению они обязаны двум обстоятельствам. Во-первых, среднестатистический мобильный абонент уделяет вопросам защиты гораздо меньше внимания, чем пользователь компьютера. Во-вторых, хотя разговоры об угрозах со стороны мобильных вирусов идут без малого три года, подавляющее большинство абонентов еще не успели почувствовать их на своей шкуре, что неизбежно притупляет их бдительность.

Аналитики «Лаборатории Касперского» полагают, что в 2007–2008 годах опасности, исходящие от вредоносного кода для мобильных телефонов, существенно не возрастут. Хотя мобильные вирусы активно распространяются, они все еще находятся на начальной стадии эволюции, и в ближайшие пару лет вряд ли стоит ожидать глобальной эпидемии. Но угрозы будут нарастать по мере распространения смартфонов, которому способствуют их значительный функционал и наметившееся в конце прошлого года значительное падение цен на такие устройства. Пользователи все чаще задействуют смартфоны в ситуациях, в которых еще недавно они прибегали к помощи ПК. И уповать на то, что киберпреступники не заметят этого процесса, — попросту наивно.


Мобильный антивирус от Касперского

Программные средства защиты — едва ли не единственный сегмент мирового рынка программного обеспечения, одним из лидеров которого является отечественная компания. Очередной раз в этом можно было убедиться на 3GSM World Congress: «Лаборатория Касперского» демонстрировала новый продукт для защиты мобильных терминалов от вредоносного кода, немного ранее анонсированный на RSA Conference 2007 в Сан-Франциско.

Kaspersky Anti-Virus Mobile 6.0 устанавливается на смартфоны, работающие под управлением ОС Symbian версий 6.x, 7.x, 8.x и имеющие интерфейсы Series 60, 80 или UIQ, а также на устройства с ОС Windows Mobile 2003 и Windows Mobile 5.0. По данным производителя, это интегрированное решение обеспечивает защиту от вредоносных программ и несанкционированной отправки SMS/MMS-сообщений.

В последней версии реализованы несколько новых технологий и функций, что позволило повысить производительность приложения и сделать его более простым в работе. Так, появилась возможность сканирования файлов или папок и помещения зараженных объектов в карантин во избежание удаления ценной информации. Теперь программа может распаковывать и сканировать системные файлы с расширением .sis среды Symbian, которые нередко используются для распространения вредоносного кода. В составе продукта появился и специальный компонент противодействия спаму, рассылаемому в виде SMS/MMS-сообщений. Уровень фильтрации сообщений задает абонент: он может настроить «белые» и «черные» списки телефонных номеров, сообщения с которых будут приниматься либо блокироваться.

В новой разработке «Лаборатории» использована комбинация технологии защиты в режиме реального времени и метода сканирования объектов по требованию, стандартного для антивирусных программ. Предусмотрены постоянный мониторинг беспроводных соединений и сканирование данных, которыми телефон обменивается с ПК по синхронизованному каналу. Базу данных вирусных сигнатур можно обновлять по расписанию или по требованию пользователя; для загрузки актуальной версии служат протоколы WAP и HTTP.

По словам Сергея Невструева из «Лаборатории Касперского», стать пользователем Kaspersky Anti-Virus Mobile 6.0 можно несколькими способами: загрузить его с сайта оператора, предварительно отправив SMS на соответствующий номер, или оформить ежемесячную подписку. Стоимость единовременной загрузки (с возможностью последующего обновления базы данных) составляет 29,95 долл. Подписка, например, в сети салонов связи «Связной» обойдется в 3 долл. ежемесячно (без налогов). Наконец, в марте компания выпустила «коробочную» версию продукта.

Остается добавить, что «Лаборатория Касперского» предлагает инструментарий для разработчиков мобильного ПО под Windows Mobile и Symbian, который включает в себя библиотеки функций и средства использования обновлений баз данных сигнатур. Сотовым операторам адресовано серверное решение, позволяющее выполнять прокси-фильтрацию всего трафика, в том числе MMS-сообщений.

Поделитесь материалом с коллегами и друзьями