Infekcja przez słuchawkę

Na razie ataki wirusów paraliżujących telefony komórkowe i palmtopy są sporadyczne. Niestety, popularyzacja telefonii 3G i pojawienie się nowych generacji aparatów z całą pewnością spowoduje wzrost zagrożeń.

Na razie ataki wirusów paraliżujących telefony komórkowe i palmtopy są sporadyczne. Niestety, popularyzacja telefonii 3G i pojawienie się nowych generacji aparatów z całą pewnością spowoduje wzrost zagrożeń.

Dotychczas zarejestrowano zaledwie kilkanaście, raczej nieszkodliwych wirusów atakujących platformy Symbian i Windows Mobile. Użytkownicy powinni więc bardziej przejmować się eksplodującymi bateriami telefonów niż niebezpiecznym kodem. W rzeczywistości jednak autorzy wirusów mieli do tej pory niewielkie pole do popisu. Pojawianie się coraz większej liczby telefonów zbliżonych funkcjonalnie do komputerów, odbierających pocztę elektroniczną z załącznikami, umożliwiających instalowanie zewnętrznych gier i aplikacji, stanowi swoiste zaproszenie dla hakerów.

Spokój do 2006 roku?

"Administratorzy odpowiedzialni za bezpieczeństwo w korporacjach powinni uważnie śledzić wzrost zagrożeń związanych z platformami mobilnymi" - nawołuje Gartner Group. Trzy warunki sprzyjające rozwojowi wirusów na platformach telefonicznych to: pojawienie się dominującego systemu operacyjnego, popularyzacja nowej generacji aparatów umożliwiających uruchamianie zewnętrznego oprogramowania i coraz powszechniejsze wykorzystanie technologii mobilnych w przedsiębiorstwach.

Według przewidywań firmy Gartnera "sprzyjające warunki" dla mobilnego podziemia nastaną nie wcześniej niż u schyłku 2006 r. Niemniej warto już teraz zacząć traktować telefony i palmtopy jako standardowe elementy korporacyjnych systemów teleinformatycznych i przygotowywać się do ich zabezpieczania, podobnie jak chroni się obecnie serwery, stacje robocze, laptopy.

Podobną opinię wyraża Mikko Hyppönen, dyrektor laboratorium F-Secure, który przyznaje, że liczba infekcji telefonów jest na razie znikoma i nie stanowi dużego problemu, ale sytuacja już wkrótce może ulec radykalnej zmianie. W raporcie "TMT Trends: Technological Predictions 2005", opracowanym przez Deloitte Touche Tohmatsu, wśród najważniejszych trendów na najbliższe lata wymienia się właśnie spodziewany rozwój szkodliwych kodów (atakujących telefony komórkowe.

Carole Theriault z firmy Sophos PLC uważa, że na razie nie ma popytu na aplikacje antywirusowe dla telefonów komórkowych, a zagrożenie ze strony wirusów jest znacznie mniejsze niż prawdopodobieństwo utraty telefonu wskutek kradzieży. Mimo to większość znanych producentów już stanęła do wyścigu o rynek znacznie większy od rynku PC. F-Secure, Symantec, McAfee, Labs już opracowały wersje swoich narzędzi antywirusowych z myślą o platformach mobilnych.

Symbian liderem

Cabir, bodaj pierwszy zarażający telefony komórkowe, pojawił się w czerwcu 2004 r., a obecnie zarejestrowano już kilka jego mutacji. Dotychczas dał o sobie znać w 12 krajach, m.in. w Europie, we Włoszech, Finlandii, Wlk. Brytanii i Rosji.

Cabir infekuje telefony pracujące pod kontrolą systemu Symbian z graficznym interfejsem Series 60. Udaje aplikację Caribe i rozprzestrzenia się, przesyłając przez bezprzewodowy interfejs Bluetooth plik w formacie SIS (Symbian Installation System), który prezentuje się jako program do zarządzania zabezpieczeniami telefonu. Infekcja nie następuje automatycznie. Po pierwsze, telefon musi mieć włączony interfejs Bluetooth, a użytkownik musi zignorować pojawiające się na ekranie ostrzeżenie o próbie zainstalowania oprogramowania o nieznanym pochodzeniu.

Efektem działania Cabir widocznym dla użytkownika jest szybkie rozładowanie akumulatorów zasilających telefon, ponieważ po włączeniu aparatu program uruchamia interfejs Bluetooth i ciągły proces skanowania otoczenia w poszukiwaniu kolejnych ofiar.

Innym wirusem atakującym platformę Symbian jest Skulls.B, który udaje bezpłatny program do zarządzania grafiką ekranową. Wirus usuwa z telefonu wszystkie aplikacje, pozostawiając jednak możliwość odbierania i nawiązywania połączeń głosowych. Program zawiera robaka Cabir.B i jego funkcje umożliwiające propagację za pośrednictwem interfejsu Bluetooth.

Z kolei mutacja o nazwie Skulls.D wyłącza funkcje umożliwiające usuwanie lub instalowanie nowych aplikacji i ich przeglądanie, a następnie sam instaluje wirusa Cabir.M. Swoją obecność komunikuje, wyświetlając na ekranie migającą czaszkę. Wirus podszywa się pod aplikację Macromedia Flash.

Mosquitos to wirus, a właściwie koń trojański z funkcjami dialera, który został dołączony do pirackiej kopii gry o tej samej nazwie dostępnej w Internecie. Po zainstalowaniu, bez wiedzy użytkownika aparatu, Mosquitos wysyła wiadomości SMS na płatne numery telefonów w różnych krajach europejskich.

W grudniu 2004 r. pojawił się wirus MetalGear.a, który udaje grę Metal Gear Solid w wersji dla systemu Symbian. MetalGear.a instaluje w telefonie jedną z wersji robaka Cabir.

Lasco.A (zawiera plik Cabir) to pierwszy wirus, który wykorzystuje różne techniki propagacji - taką jak Cabir (przez interfejs Bluetooth), ale również może być dołączany do innych aplikacji, np. plików z grami wymienianymi za pośrednictwem złączy Bluetooth, IrDA, karty pamięci lub połączenia z PC. W tym ostatnim przypadku infekcja następuje niepostrzeżenie dla użytkownika, gdy nic nie podejrzewając, uruchomi on proces instalacji aplikacji.

Rosyjska inwencja

Dwa najnowsze wirusy atakujące niektóre modele telefonów z systemem Symbian mają znajomo brzmiące rosyjskie nazwy Gavno.a i Gavno.b. Programy te udają, że są poprawkami do systemu Symbian. Ich konstrukcja jest bardzo podobna, z tym że Gavno.b zawiera dodatkowo wirusa Cabir. Programy rozprzestrzeniają się za pośrednictwem interfejsu Bluetooth.

Są to pierwsze szkodliwe programy, które zakłócają podstawowe funkcje telefonów - nawiązywanie połączeń, ale uszkadzają również systemy wysyłania wiadomości SMS, książki adresowe i funkcje odbioru poczty elektronicznej. Do czasu usunięcia infekcji aparat staje się praktycznie bezużyteczny. Usunięcie wirusów wymaga zresetowania aparatu i powrotu do ustawień fabrycznych, czego efektem jest utrata informacji osobistych zapisanych m.in. w książce kontaktowej i kalendarzu.

Na razie wirusy Gavno nie pojawiły się jeszcze na wolności. Ich kod został dostarczony przez anonimowego nadawcę i przetestowany przez firmę SimWorks. Pliki z wirusami mają rozmiar ok. 2 KB, format SIS i są ukryte pod nazwami patch.sis (Gavno.a) i patch_v2.sis (Gavno.b). Infekują one telefony z systemem Symbian 7.0 i graficznym interfejsem Series 60 (np. Nokia 6600 i 7610).

W praktyce nie ma przeszkód, by wszystkie rodzaje klasycznych zagrożeń, jak wirusy uszkadzające system i pliki, automatycznie rozprzestrzeniające się robaki, spam, programy szpiegujące lub ich hybrydy mogły się pojawić również w wersjach atakujących nowe generacje platform telefonicznych i PDA.

Ataki na Windows CE

Mobilna wersja Windows, inaczej niż w świecie komputerów osobistych i serwerów, nie jest najbardziej narażona na szkodliwe działanie wirusów. Najwięcej wirusów napisano dla systemu operacyjnego Symbian (korzysta z niego m.in. Nokia), ale pojawiają się też pierwsze szkodliwe kody dla przenośnego Windows.

Brador (Backdoor.WinCE.Brador.a) jest przykładem konia trojańskiego atakującego palmtopy i telefony pracujące pod kontrolą systemu Windows CE/Windows Mobile. Program ma ok. 5,6 KB i nie wykorzystuje mechanizmów umożliwiających samopropagację - użytkownik musi otworzyć zainfekowany załącznik e-mail lub zainstalować zarażoną tym wirusem aplikację pobraną z Internetu. Po uruchomieniu Brador tworzy plik svchost.exe w systemowym katalogu Autorun, identyfikuje adres

IP palmtopa podłączonego do sieci, wysyła go na zewnątrz przez Internet i otwiera port 44299, oczekując polecenia hakera, który przejął te informacje. Program zawiera funkcje wysyłania i ładowania plików oraz wykonywania zewnętrznych poleceń, pozwalając na przejęcie pełnej kontroli nad komputerem.