Juste il ya quelques années, la notion de «virus mobiles" presque personne n'était pas vraiment perçue. Oui, il y avait métiers distincts, qui peuvent être des virus à peu près être considérés, mais leur prévalence a été négligeable, et tout semblait comme un relativement inoffensif délices programmation divertissante. Même la sagesse conventionnelle que les développeurs mobiles ont mis au point la menace de solutions anti-virus pour promouvoir leurs produits. La première expérience dans l'écriture "malware mobile" n'avait pas le principal moteur: l'intérêt financier des promoteurs. Maintenant, tout ce mobile parfaitement le mal appris à «gagner» l'argent pour leurs créateurs à travers tous le même contenu mobile. Qui a longtemps été le principal moyen et intermédiaire, la majorité des activités criminelles dans l'espace mobile. "
De la fraude mobiles affectées non seulement par les utilisateurs. Les systèmes techniques de facturation imperfection permettent aux fraudeurs de "lait en poudre» par quelques milliers de roubles à chacun des acquis spécifiquement pour la carte SIM. La moitié de cet argent est une perte directe de l'opérateur, jusqu'à 30% - "bonus" escroquerie. Bien que les utilisateurs des pertes frodovye disproportionnellement plus élevée. Vous pouvez être indigné de l'inaction des opérateurs et fournisseurs de contenu, mais la chose est absurde, les revenus largement supérieurs aux pertes. Ainsi, l'espoir pour «bon oncle» à nous, vous ne devez pas, nous ne pouvons que prendre soin d'eux-mêmes. Et cela nécessite non seulement périodiquement l'intelligence, mais aussi de se représenter, sur quels points il se doit.
Long et nudnovaty document intitulé «Kaspersky Security Bulletin 2008. Développement des menaces dans la première moitié de 2008 ", établi par Kaspersky Lab et publié au début de Septembre, l'étude a porté sur plus de professionnels. Fortement recommandé la lecture, mais nous sommes avec vous plus intéressé par son "mobile" coupole, qui apportent moins inchangé, et les abréviations. Ce n'est pas une publicité de solutions antivirus, nous avons du matériel de la catégorie des «tout le monde devrait le savoir." Lire pénétrer les statistiques et d'essayer d'imaginer le système de distribution décrit ce genre de choses. Car, comme une fois de plus, il s'avère, d'entrer dans le plus de problèmes, nous sommes s'aider eux-mêmes par leur propre «espiègle petites mains."
Sergei Golovanov, Alexander Gostev, Denis Maslennikov
"Mobile" menace: le début de la commercialisation
La première moitié de 2008 se leva avec un point de vue intéressant des menaces mobiles, ou plutôt, l'un de leurs espèces: les chevaux de Troie, secrètement l'envoi de SMS payés aux taux de primes à court.Dans ce contexte, il convient de noter:
- Le nombre croissant de programmes malveillants comportement Trojan-SMS.
- Plate-forme mobile chevaux de Troie de la Croix: en voie de disparition sont tous les téléphones qui prennent en charge des applications basées sur Java, ou d'avoir un interprète de Python.
- Le nombre croissant de sites WAP-chevaux de Troie d'accueil que de telles.
- Il apparaît dans les messages ICQ non sollicités vantant WAP-sites et les logiciels malveillants qui leur sont imposées.
- Une variété de techniques d'ingénierie sociale utilisées dans les logiciels malveillants de propagation et de masquage.
- nombre fixe de numéros courts qui utilisent les escrocs.
Commençons par le nombre croissant de programmes malveillants comportement Trojan-SMS. Pendant la première moitié de 2008, ces programmes ont été trouvés plus qu'à aucun autre moment de leur existence.Rappelons que le premier programme malveillant ce comportement a été zadetektirovana nous Février 27, 2006 (Trojan-SMS.J2ME.RedBrowser.a).
En général, dans les six mois de l'année 2008 a été découvert par 422% plus de nouveaux Trojan-SMS, que dans la seconde moitié de 2007. Actuellement, il existe 9 familles pour la plate-forme J2ME, 3 - pour Symbian et 1 pour Python. Quels sont ces chevaux de Troie? Par eux-mêmes, ces programmes malveillants - plutôt artisanat primitif.
Si nous parlons de J2ME-chevaux de Troie, la grande majorité d'entre eux ont la structure suivante: jar-archives dans lesquelles il ya plusieurs fichiers de classe. Un de ces fichiers et effectue l'envoi payés SMS-message au numéro (bien sûr, ne demande pas la permission d'envoyer le téléphone et ne l'informant pas de la valeur de ces messages). Le reste de la classe des fichiers ne servent qu'à dissimuler. L'intérieur de l'archive peut être quelques photos (la plupart du temps - contenu érotique), ainsi que le manifeste de fichier, ce qui dans certains cas, également utilisé un programme malveillant d'envoyer des messages.
Famille programme Trojan-SMS.Python.Flocker, écrite pour une autre plate-forme (Python), pratiquement indiscernable de J2ME-chevaux de Troie: primitivité du programme et de sa mission reste la même. Dans le SIS-archivage est le script principal, écrit en Python, qui effectue l'envoi de SMS au numéro court de la prime, ainsi que des scripts supplémentaires qui servent à masquer l'activité principale de programmes malveillants.
Trojan-SMS sont dangereux parce qu'ils sont des programmes multi-plateforme. Si le téléphone (qui est sur le téléphone, pas nécessairement un smartphone) est une machine Java construite, un tel dispositif, Trojan-SMS.J2ME être en mesure de fonctionner sans aucun problème. Comme pour Trojan-SMS.Python, alors voici une question de plates-formes dans le segment des smartphones basés sur Symbian OS. Si le téléphone (avec n'importe quelle version de Mac OS) dispose d'un interpréteur Python, le cheval de Troie-SMS.Python peut fonctionner sur n'importe lequel de ces modèles.
Le moyen le plus populaire (parmi les rares) pour diffuser ces programmes malveillants - à travers une variété de portails WAP, qui offrent au visiteur de télécharger des sonneries différentes, photos, jeux et applications pour téléphones mobiles. La grande majorité des chevaux de Troie sont déguisés soit comme des applications qui peuvent envoyer des SMS gratuits, ou de fournir de l'utilisation de l'Internet mobile gratuitement, ou par l'application à caractère érotique ou pornographique.
Parfois, les auteurs de virus trouver une façon assez originale pour cacher des activités de programme malveillant. Ainsi, après l'exécution de l'utilisateur Trojan-SMS.J2ME.Swapi.g le téléphone semble un salut pour afficher une image à contenu pornographique. Il faut avoir le temps de cliquer sur "OUI", jusqu'à ce qu'un signal sonore musicale court. (Dans le pot-archive du programme est stocké et le fichier png-image, et en Midi-tune.) Essayer d'attraper le temps presse, l'utilisateur ne sait pas que chaque clic (pas question de temps ou non) conduit à l'envoi de messages SMS au nombre et à d'annuler un certain montant de son compte.
Presque tous les sites que les logiciels malveillants d'accueil, permettant aux utilisateurs de télécharger leurs fichiers. Facile à inscrire (juste quelques clics) et le libre accès à ces services permettent auteurs de virus pour distribuer leurs métiers primitifs sans aucun problème. Un attaquant ne peut que donner le fichier le plus attrayant possible pour les victimes potentielles de ce nom (free_gprs_internet, otpravka_sms_besplatno, golaya_devushka et ainsi de suite), écrire le même commentaire attrayante et attendre que quelqu'un de l'utilisateur décide de "envoyer des sms gratuit" ou "regarder des photos érotiques" .
Après avoir placé l'attaquant de logiciels malveillants est nécessaire pour établir sa bonne publicité. Puis viennent les envois en masse d'aides ou de spam dans ICQ à divers forums. Pourquoi ICQ? Rappelons que ce service de messagerie instantanée est très populaire en Russie et les pays de la CEI.Beaucoup d'utilisateurs qui veulent avoir une capacité constante de communiquer, utiliser des clients mobiles ICQ. Pour un peuple comme attaquant - les victimes potentielles.
Ainsi, une chaîne d'intéressant:
- Création d'un malware
- Son placement sur le WAP-site avec un titre alléchant et commentaire
- de diffusion de masse conduite, qui peut affecter les utilisateurs de clients mobiles ICQ.
La popularité de ce type de cybercriminalité est causée par une exceptionnelle facilité de SMS-paiements.
Il est connu que les opérateurs cellulaires chambres à louer dans un bail à court. Personne privée de louer une chambre est trop cher. Mais il ya des fournisseurs de contenu qui sont des numéros courts à louer à la sous-location, en y ajoutant un préfixe spécifique. Ainsi, le même code court, mais avec des préfixes différents peuvent utiliser plusieurs locataires.
Par exemple, le numéro court 1171 appartient à l'un de ces fournisseurs, mais si le numéro 1171 sera envoyé à partir du «S1», alors le fournisseur de système de transférer une partie du coût d'un tel SMS pour le compte de la «S1» sous-locataire. opérateur de téléphonie mobile se relève de 45% à 49% de la valeur envoyée à un numéro court SMS, 10% se louer de ce fournisseur chambre. L'argent restant est envoyé à un sous-locataire - dans ce cas, le "mobile" imposteur.
Pour résumer: la première moitié de 2008, a caractérisé la première dans l'histoire de l'augmentation significative de logiciels malveillants dans des programmes malveillants pour téléphones mobiles qui envoient des SMS payés-messages à des numéros courts prime à l'insu des propriétaires de téléphone. Évidemment, tous ces programmes sont conçus avec un seul but: obtenir frauduleusement des utilisateurs de l'argent. Création facile et la diffusion de ces demandes peut conduire à la croissance de programmes malveillants Trojan-SMS comportement dans la seconde moitié de 2008. Nous allons surveiller la situation.