Pierwsze robaki roznosiły się za pomocą interfejsu Bluetooth w systemie Symbian i wysyłały wiadomości SMS. Obecnie kradną informację i atakują telefony z Androidem oraz iOS.

Początki złośliwego oprogramowania dla telefonów komórkowych datuje się na rok 2004, gdy pojawił się pierwszy robak o nazwie Cabir przeznaczony dla systemów Symbian S60. Został napisany przez hakera o pseudonimie Vallez jedynie jako praktyczna demonstracja możliwości zarażenia telefonu przez przesłanie kodu w paczce instalacyjnej .sis za pomocą łącza Bluetooth. Metoda została podchwycona przez innych, którzy zaczęli działać w złej wierze.

Pod koniec roku 2004 w obiegu było kilka nowych, znacznie groźniejszych wariantów jego kodu. W grudniu pojawił się wirus o nazwie Skull, który nadpisywał pliki związane z aplikacjami w telefonie i podmieniał ikony wszystkich programów w systemie Symbian na ikony z czaszką i skrzyżowanymi piszczelami. W odróżnieniu od robaka Cabir, aplikacja Skull wymagała pobrania i instalacji przez użytkownika, gdyż była rozpowszechniana głównie w sieciach wymiany plików peer to peer pod nazwą "Extended Theme Manager". Celem był głównie telefon Nokia 7160, ale oprogramowanie działało także w innych telefonach z systemem Symbian s60. Po pierwszym sukcesie związanym z socjotechniką w sieciach peer to peer twórcy wirusa Skull dodali także kod wirusa Cabir, by ułatwić rozpowszechnianie go między telefonami za pomocą łącza Bluetooth. Kod ten niebawem stał się standardem rozpowszechniania złośliwego oprogramowania między telefonami w latach 2004-2005.

Pierwsze żniwa przestępców - płatne wiadomości SMS

W tym samym czasie przestępcy opracowywali sposoby zarabiania na złośliwym oprogramowaniu, które mogli zainstalować na wielu telefonach komórkowych. Koń trojański o nazwie Qdial był pierwszym przypadkiem, w którym przestępcy bezpośrednio pozyskiwali pieniądze kosztem swoich ofiar. Program rozpowszechniano jako złamaną wersję płatnej gry Mosquitos, a celem ataku były telefony z systemem Symbian s60. Po instalacji program niepostrzeżenie dla ofiary rozpoczynał wysyłanie wiadomości SMS premium, przeznaczonych do opłat za różne usługi wprost z telefonu komórkowego. Za wysyłane bez powiadomienia wiadomości płacił poszkodowany właściciel telefonu, a pieniądze zasilały konto przestępców.

Proceder początkowo odbywał się w Wielkiej Brytanii, Niemczech, Holandii i Szwajcarii, ale w ciągu kilku miesięcy stał się głównym schematem nielegalnego zarabiania pieniędzy przez podziemie przestępcze zainteresowane eksplorowaniem nieznanej dotąd niszy kradzieży.

Pierwsza kradzież danych

W 2005 zauważono trend kradzieży informacji z telefonów komórkowych, ale poziom tych ataków daleko odbiega od dzisiejszych średnio zaawansowanych zagrożeń. Początkowo zakładano, że ważne informacje właściciel zapisał sobie w książce telefonicznej. Wirus o nazwie Pbstealer kopiował wszystkie dostępne informacje z książki adresowej kradzionego urządzenia i próbował wysłać je do dowolnego dostępnego w zasięgu urządzenia. Wirus wykorzystywał część kodu wcześniejszego robaka Cabir.

MMS nowym nośnikiem wirusów

Rok później po powstaniu pierwszego wirusa wykorzystującego do rozpowszechniania wiadomości Bluetooth, hakerzy opracowali nowy kanał dystrybucji - były nim wiadomości MMS. Wirus o nazwie Commwarrior nie przenosił tą drogą żadnego złośliwego kodu, był pierwszym z kilku znanych później przykładów wykorzystania wiadomości MMS do przenoszenia treści między telefonami bez zgody właścicieli.

Od Symbiana do Javy 2 Micro Edition

Wszystkie wymienione dotąd przykłady złośliwego oprogramowania były przeznaczone do telefonów z systemem Symbian, ale nie była to jedyna atakowana platforma. Hakerzy opracowali także wirusy dla urządzeń Microsoft Windows CE i Windows Mobile, które były o wiele mniej bezpieczne od Nokii, ale były to systemy niszowe, więc atakowano je rzadko.

Najatrakcyjniejszym obszarem eksploracji cyberprzestępców okazały się aplikacje napisane dla platformy J2ME (Java 2 Micro Edition). Dzięki szerokiej bazie wspierających tę technologię telefonów można było uniknąć przepisywania złośliwego oprogramowania pod kątem wielu telefonów. Od 2009 większość złośliwego kodu dla telefonów komórkowych stanowiły aplikacje właśnie dla platformy J2ME, które mogły znaleźć zastosowanie przy infekcji różnych telefonów. Mechanizmy koni trojańskich wbudowanych w specjalnie opracowane aplikacje obejmowały głównie wysyłanie wiadomości SMS Premium, ale zdarzały się ataki, w których aplikacja nakazywała użytkownikowi połączenie z numerem o podwyższonej opłacie, by potwierdzić sfingowaną transakcję lub rzekomy zakup usługi.

Android oraz iPhone na celowniku

W 2010 krajobraz zagrożeń zmienił się radykalnie, gdyż zanotowano wzrost udziału telefonów klasy smartphone (według Gartnera o 70% w stosunku do 2009) i telefony z systemami iOS oraz Android zdominowały rynek. Obecnie Android dysponuje światowym udziałem rynkowym rzędu 50% ogółu smartfonów, zatem jest bardzo lukratywnym celem ataków.

Pierwszego konia trojańskiego dla Androida wykryto w sierpniu 2010. Korzystał on ze sprawdzonego schematu wysyłania wiadomości SMS Premium. W tym samym miesiącu w grze Tap Snake wykryto złośliwy kod, który wysyła lokalizację pozyskaną z modułu GPS oraz pierwszego wirusa dla telefonów Apple iPhone.

Na podstawie materiału "A Brief History of Mobile Malware" dostarczonego przez firmę Trend Micro.