При этом, поставить под контроль “умные мобильные” для современных вирусов не такая уж и сложная задача. Дело в том, что в современных “мобильных” ОС существует возможность беспрепятственной перезаписи системных приложений. Кроме того, с одной стороны, присутствует не очень серьезная устойчивость операционной системы по отношению к поврежденным либо нестандартным (“неожиданным”) системным файлам. И отсутствие необходимых для закрытия этой уязвимости проверок — с другой.

Для загрузки необходимого обманного ПО на устройство “жертв” злоумышленниками применяется стандартная тактика рассылки SMS-спама со скрытой ссылкой на бесплатную загрузку, к примеру, версии популярной игры, или эротического контента, или интересной офисной утилиты. После того, как пользователь установил инфицированное ПО на свой смартфон или коммуникатор, от него, по большому счету, уже ничего не зависит — вирус перехватывает управление мобильным устройством и, учитывая, что оно почти никогда не выключается и может быть подключено к Интернету практически постоянно, принимается за дело.

В среднем создание вируса для “умных” мобильных устройств стоит гораздо дороже, чем для “обычных” компьютеров: программисту надо отлично знать архитектуру и особенности ОС Symbian, Windows Mobile или Android. Поэтому как “проба пера” такое ПО, особенно созданное с помощью свободно распространяемых компиляторов, идет на спад — дешевые поделки, которые, к примеру, перезаписывают системные приложения поврежденными, отключают автоматический запуск некоторых антивирусов путем перезаписи их загрузчиков, подменяют системные файлы шрифтов на абсолютно работоспособные, не играют для безопасности пользователя сколь-нибудь значимой роли: вероятность “подцепить” их на борт своего устройства минимальна.

А вот действительно серьезные мобильные “зловреды” и вирусы, создаваемые “под заказ”, изначально используются только как часть преступных комбинации для получения прямой финансовой выгоды. Наиболее распространенный вариант их эксплуатации — кража персональных данных пользователя. Обычно это почта, SMS, текстовые файлы на карте памяти, а также короткие видеоподкасты и фотографии. В целом при подключении устройства к скоростной мобильной сети пользователь даже не заметит нескольких мегабайт, “ушедших” на анонимный ftp-сервер, , приняв это в детализации счета за обычный сеанс веб-серфинга. Правда, тотальное копирование всех пользовательских данных вряд ли кому-то понадобится — скорее речь будет идти об экспресс-поиске, который по ключевым словам проведет вирус, попав на мобильное устройство пользователя. То есть передается в Сеть только интересное для злоумышленника — логин и пароль для почты (многие настраивают push e-mail), интересные SMS, пин-коды для банковских карт, файлы с расписанием встреч и т. д.

Второй вариант, который имеет высокую вероятность применения в странах с неразвитой финансовой системой (там, где платежи карточками через веб-пространство используются редко) — это кража денег пользователя с помощью оплаты премиальных SMS. Правда, для этого потребуется небольшая подготовка — к примеру, подключение к SMS-биллингу для частных лиц (чтобы полностью замести свои следы, преступной группе потребуется несколько похищенных паспортов), создание веб-сайта с какой-либо услугой, которую можно оплатить через SMS (для того чтобы пройти фильтр контроля службы безопасности SMS-агрегатора). Причем “дирижировать” такой схемой придется тоже осторожно, постепенно увеличивая трафик от premium-SMS, иначе можно угодить в антифрод-систему оператора сотовой связи и не получить даже минимального вознаграждения, которое выплачивается “частникам” (обычно раз в неделю).

Третий вариант, который вполне может быть использован мобильными вирусами, — это хищение денег с помощью систем мобильного платежа. Разумеется, операторы связи предусмотрели значительное количество защитных систем для того, чтобы подобные системы не могли быть задействованы в противоправных целях. К примеру, лимиты на перевод средств, невозможность их вывода “в нал”, специальные подтверждающие пин-коды, которые присылаются абоненту автоматически для подтверждения его желания отправить деньги. Но в целом ситуация эта решаемая — вирус может инициировать запрос на перевод небольшого количества средств, подавить звуковой сигнал ответного SMS, “вырезать” оттуда пин-код подтверждения (благо, формат таких сообщений у оператора не меняется) и подтвердить перевод еще одним SMS якобы от имени пользователя. Причем, деньги, полученные от таких операций, необязательно будут обналичиваться — с помощью таких же систем их переводят для оплаты терминалов в исправительно-трудовых учреждениях и тюрьмах: это вполне стабильный рынок со значительным оборотом.

Вполне перспективное направление для мобильных вирусов — включение смартфонов и коммуникаторов в мобильные ботсетиЕще один вид мобильных “зловредов” — старые вирусы-диалеры, основная задача которых состоит в организации сколь возможно длительного звонка на платную телефонную линию, скажем, с прогнозом погоды, спортивными новостями или всевозможными эротическими разговорами. Несколько экземпляров такого ПО присутствует для “умных мобильных”, где голосовой звонок можно организовать даже без участия пользователя (к примеру, инициировать его глубокой ночью). Ведь вся тонкость такого действия состоит в том, чтобы сделать звонок скрытым от пользователя, причем поступление счета за такие разговоры обычно отсрочено (звонок-то международный), что позволяет повторить такую операцию несколько раз, прежде чем вредоносное ПО будет обнаружено и вычищено.

Интересно, что жертвами такого ПО становятся не только владельцы смартфонов и коммуникаторов, а также пользователи dial-up-модемов, как это было раньше, но и владельцы мобильных USB-модемов, многие из которых могут осуществить набор телефонного номера для стандартного голосового звонка. Учитывая огромную популярность таких решений и реальное снижение цен на них операторами мобильной связи , подобная проблема может стать массовой. Попадая на компьютер пользователя, такие вирусы обычно укореняются либо в оперативной памяти компьютера с записью файла вируса в системный каталог операционной системы, либо действуют еще хитрее. Существует вероятность, что они записываются во встроенную память мобильного USB-модема (даже несмотря на то, что она защищена от записи, — ведь эта защита выставлена на логическом уровне) — туда, где хранятся драйверы, и заражают все те компьютеры, к которым подключают это устройство беспроводного доступа в Сеть. В таком случае уничтожить их намного сложнее.

PC Week/RE №33 (687) 8 — 14 сентября 2009

Автор: Максим Букин