Вчера исполнилось 10 лет со дня обнаружения первой вредоносной программы для смартфонов. Червь Cabir по нынешним временам выглядит безобидно: деньги со счета не крадет, пароли не похищает, пользовательские данные не удаляет. Разве что сажает батарейку за неприличные по меркам 2004 года, зато вполне допустимые в 2014-м 2-3 часа.
Сегодня мы расскажем, как мы этот вирус нашли, почему назвали именно так, что было дальше, и чем вся эта история закончилась. Впрочем, конец истории наступил только для отдельных персонажей – например, для платформы Symbian. Для всех остальных – в смысле, для производителей смартфонов, пользователей, и, увы, киберпреступников, все только начинается.
История нулевая. Собственно, вся история обнаружения Cabir, рассказанная главным антивирусным экспертом «Лаборатории Касперского» Александром Гостевым, в этом видео:
История первая. Все случается в конце рабочего дня.
Думаю, большинству читателей Хабра это знакомо. Серверы имеют привычку падать, баги в софте активизироваться, а новые вирусы – обнаруживаться ровно в половине седьмого. Как правило – в пятницу. В июне 2004 года все произошло не в пятницу, но – как раз в конце смены у команды вирусных аналитиков. На следующую смену и был передан недавно упавший на “вирусный” e-mail файл с комментарием «нечто странное».
Позднее выяснилось, что загадочный файлик был отправлен многим антивирусным вендорам, но большинство, видимо, удовлетворились тем, что это не исполняемый файл для Windows и угрозы обычным ПК он не представляет. Заступивший на смену Роман Кузьменко довольно быстро выяснил, что это программа для архитектуры ARM и для платформы Symbian Series 60, которой в тот момент было всего два года.
Анализ файла продолжался, а в “Лаборатории” тем временем развернулась полномасштабная поисковая операция. Искали телефоны на Symbian, а так как смартфоны тогда были еще в новинку, и стоили недешево (первый смартфон Nokia 7650 стоил около 600 евро), то прямо сразу такой телефон ни у кого не обнаружился.
Пока искали телефоны (легенда гласит, что были даже отправлены гонцы на ближайший радиорынок), стало понятно, что одним смартфоном не обойдешься, нужно два: подтвердить на практике факт самостоятельного распространения червя через Bluetooth. Тут надо отдать должное Роману: анализ совершенно новой программы на незнакомой платформе он провел достаточно быстро, и ключевые особенности вируса предсказал еще до запуска на реальных устройствах. Шестью месяцами ранее, при подведении итогов 2003 года, Александр Гостев предсказал, что мобильные вирусы появятся очень скоро. Собственно, так все и произошло.
История вторая. Почему Cabir назвали Кабиром?
Вообще-то почти все вредоносные программы так или иначе поименованы их анонимным (зачастую) автором. В случае с Cabir название можно было просто взять из имени файла: caribe.sis. Но по негласному соглашению, так никогда не делают. Ну, во-первых, под разными названиями может распространяться один и тот же вирус (при этом нужно соблюдать классификацию). Во-вторых, не следует и поощрять вирусописателей, распространяя их собственные названия: некоторые деятели занимаются разведением заразы лишь для того, чтобы получить с помощью антивирусных вендоров свои пять минут славы.
При этом в большинстве случаев финальное название все же имеет нечто общее с творческими порывами вирусописателей. Так произошло и в случае с Cabir, но простой перестановкой букв дело не ограничилось. В самый разгар споров о наименовании первого смартфонного червя в вирлаб зашла сотрудница компании Елена Кабирова. Евгений Касперский, заметив ее, немедленно предложил назвать вредоносную программу в ее честь, на что Елена благосклонно ответила согласием (но сначала уточнила, что событие действительно важное, случается не каждый день).
История третья. Железная комната и коллекция устройств.
Итак, первый червь для смартфонов был успешно найден. Мир узнал о том, что не все присылаемые на телефон файлы одинаково полезны, и что вирусы теперь могут рассылаться не только через интернет и флешки, но и, почти как грипп, воздушно-капельным путем. Несмотря на то, что Cabir передавался только через Bluetooth, и мог заразить другой смартфон только в радиусе 10 метров, на его счету есть пара эпидемий. Чаще всего это происходило в местах массового скопления людей, например в августе 2005-го волна заражений прошлась по стадиону в Хельсинки во время Чемпионата мира по легкой атлетике.
Да что говорить, даже в московском метро можно было получить сообщение с вредоносным аттачем. Относительной «популярности» Cabir способствовала и публикация исходных кодов создателями – известной в узких кругах группой под кодовым названием 29А. Благодаря этому в нашей базе есть целых 18 модификаций червя, созданных последователями. Они практически не отличаются друг от друга, разве что появившийся в апреле 2005-го Cabir.k использовал для распространения MMS-сообщения (помните такие?), причиняя уже реальный убыток владельцу зараженного смартфона.
Так причем тут железная комната? Исследование новых модификаций Cabir, равно как и аналогичных зловредов приводило к локальным инцидентам в «Лаборатории». Представьте: вирусный аналитик запускает на тестовом смартфоне очередной вариант червя, а этажом ниже разработчики мобильного антивируса внезапно получают приглашение принять файл. Возникла необходимость в изолированной зоне для экспериментов. В результате, в «Лаборатории Касперского» появилось помещение, в котором не ловилась сотовая сеть и WiFi, и где можно было отдохнуть в тишине испытать новый вирус, не рискуя заразить телефоны коллег.
Благодаря Cabir у нас появилась и постоянно пополняемая коллекция мобильных устройств. Одним из первых стал смартфон Nokia 3650:
Тот самый! Правда уже неживой. Помимо сомнительной привилегии второго в истории смартфона Nokia, этот телефон запомнился еще и невероятно неудобной клавиатурой.
И Nokia N-Gage:
С более современной версией ПО телефон все же уточняет — вы мол, уверены, что хотите установить непонятно что? Впрочем, и многие более поздние троянцы для смартфонов и обычных мобильников выживали за счет пользователей, которые на любой подобный вопрос отвечают «да». Плюсом этого телефона была возможность поиграть в неплохие для того времени мобильные игры. Минусом – необходимость прикладывать телефон к уху торцом во время разговора, уподобляя себя эдакому Чебурашке-Ван-Гогу.
История четвертая. Не блютусом единым.
Сам метод распространения через Bluetooth хоть и был оригинальным, но прожил недолго. Сначала появились смартфонные вирусы, распространявшие себя по адресной книге через MMS, потом была длительная эпидемия рассылок SMS на платные номера (а это уже приносило доход киберпреступнику), а дальше вся вредоносная деятельность окончательно ушла в интернет – так быстрее, надежнее, и радиус поражения ничем не ограничен. Та самая «железная комната» относительно недолго была любимым местом медитации наших экспертов: в новый офис ее перевозить не стали, не было смысла.
Правда, было одно исключение. Это Flame – сложнейший инструмент кибершпионажа, обнаруженный нами в 2012 году. Модуль, задействующий Bluetooth, у него не основной, но возможности интересные. Во-первых, он собирает информацию о доступных устройствах (примерно таким же образом вы можете узнать модель смарт-телевизора и ноутбука/смартфона в квартире соседа). Во-вторых, Flame может превратить Bluetooth-модуль в своего рода маячок, сигнализирущий тому-кто-в-курсе о наличии рядом зараженного компьютера.
История пятая. Взлет и падение Symbian-зловредов и наступление светлого (?!) будущего.
За всю историю наблюдений «Лаборатория Касперского» зафиксировала 621 модификацию вредоносных программ для Symbian. Это если считать зловреды, которые хоть чем-то отличаются друг от друга по функциональности, а не только названием и иконкой. И это, на самом деле, немного. Примерно до середины 2008 года почти все новые изделия киберпреступников (и различных энтузиастов вирусописания) угрожали только владельцам Symbian-смартфонов. Потом ситуация изменилась. Во-первых, Nokia, как основной производитель устройств на данной платформе, начала принимать меры. Появилась, например, цифровые подписи для программ (многие помнят, сколько головной боли они принесли пользователям). Во-вторых, внезапно выяснилось, что гораздо выгоднее писать вирусы под платформо-независимую Java ME. Потенциальными жертвами Java-зловредов оказалось гораздо больше людей – владельцев обычных телефонов. Но и смартфоны оказались тоже подвержены – как минимум те, что поддерживали Java. Двойной удар!
В августе 2010 года в нашей базе появляется запись о первой вредоносной программе для Android. Собственно теперь это основная цель киберпреступников: всего мы располагаем информацией о более чем 370 тысячах модификаций вредоносных программ для этой платформы. Сравните с жалкими сотнями на Symbian.
Последний телефон на Symbian был выпущен в 2012 году. Платформа, к счастью, или к сожалению, мертва. Если Cabir был первым зловредом для смартфонов Nokia, то кто станет последним? Они появляются изредка и сейчас. Последняя более-менее уникальная вредоносная программа была обнаружена 6 мая 2014 года — то был довольно обыденный троян, рассылающий SMS на платные номера и скрывающий ответные сообщения от пользователя. Между обнаружением последнего и предпоследнего, кстати, прошло примерно 8 месяцев.
Впрочем, для мобильных устройств все только начинается. Несмотря на то, что за первые пару лет с обнаружения Cabir количество новых вирусов было сравнительно невелико, они стремительно совершенствовались. За два года были пройдены те же этапы развития (от простейших вирусов к самым сложным), которые на персональных компьютерах заняли лет 20. За 10 лет мобильные зловреды «научились» красть деньги со счета и пароли пользователя, взламывать онлайн-банкинг и угонять SMS с одноразовыми паролями, наконец (недавно) – шифровать данные пользователя и вымогать деньги. Что будет дальше – посмотрим. Но уже сейчас, 10 лет спустя, заметно, насколько “первенец” был безобидным. Созданный вирусописателями-альтруистами из любви к искусству, покушающийся только на батарейку смартфона, но не на деньги владельца. Забавное создание из позапрошлой эры – когда смартфоны были разные и с настоящими, теплыми и ламповыми кнопками.
А вам попадался Cabir?
Автор: Kaspersky_Lab