18 лет назад появился первый в истории мобильный червь — Cabir

Вредоносные программы для смартфонов появились едва ли не вместе с самими смартфонами. Однако в начале нулевых они еще считались экзотикой — тогда телефоны были устроены намного проще и не могли похвастаться широким набором функций. Даже на пике популярности Android первые вредоносы представляли собой классических троянов: проникая в телефон под видом какого-нибудь полезного приложения, они рассылали SMS на коммерческие номера или втихаря подписывали пользователя на платные сервисы. Тем не менее первый полноценный червь для мобильных телефонов был обнаружен задолго до этого, еще 15 июня 2004 года. Ему дали имя Cabir.

Разумеется, самой популярной среди вирусописателей (после винды) операционной системы Android в 2004 году еще не существовало, поэтому Cabir работал под Symbian OS. Впрочем, трояны для портативных устройств тогда уже были известны, правда, они представляли угрозу для карманных компьютеров. Так, трояна Phage для PalmOS обнаружили еще в 2000 году. Cabir считается одной из первых в истории вредоносных программ именно для мобильных телефонов, и он ко всему прочему является червем, что делает его и вовсе уникальным.

От троянов черви отличаются тем, что обладают способностью к саморепликации — они могут без участия пользователя копировать себя с одного устройства на другое, но в отличие от вирусов не умеют заражать исполняемые файлы. С этой точки зрения Cabir — классический червь. Запустившись на инфицированном телефоне, он первым делом выводил на экран текстовую строчку «Caribe», по созвучию с которой и получил свое название. Затем вредонос пытался передать свою копию по каналу Bluetooth на все доступные поблизости устройства, поддерживающие режим Object Push Profile. Эта технология разработана для передачи между различными девайсами фотографий, музыкальных клипов и других файлов, причем поддерживали ее не только телефоны, но и некоторые Bluetooth-принтеры. Cabir отправлял свою копию в виде файла с расширением .sis, и для успешного заражения владелец атакуемого телефона должен был, во-первых, согласиться принять файл, а во-вторых, запустить его. Тогда Cabir сохранялся в директорию приложений «Apps» и начинал рассылать себя уже с нового устройства.

Однако некоторые старые телефоны были по умолчанию настроены на прием по Bluetooth всех файлов без разбора. Кроме того, непрерывно повторяя отправку, Cabir мог постоянно демонстрировать на экране сообщения с предложением принять файл, что делало использование телефона невозможным, пока его владелец не согласится скачать червя.

Любопытно, но факт: изначально Cabir не распространялся «в дикой природе», его образец разослал в антивирусные компании сам разработчик, причем — в виде вложения в пустое письмо без темы и пояснительного текста. Обратный адрес позволил определить создателя Cabir: им оказался Valtezz — участник международной группы вирусописателей 29А, которая до этого уже отметилась распространением множества вредоносных программ. Предполагается, что Cabir, в котором не было предусмотрено никаких других вредоносных функций кроме самораспространения, был своего рода образцом proof-of-concept, доказывающим саму практическую возможность существования червей для процессоров ARM и операционной системы Symbian.

В виде лабораторного образца, не покидавшего сумрачных чертогов антивирусных компаний, Cabir не мог по-настоящему кому-нибудь навредить, разве что очень быстро высаживал батарею из-за постоянно работающего Bluetooth-модуля. Но спустя пару месяцев группа 29А выложила в публичный доступ исходники червя, и у него стали появляться многочисленные «родственники» в виде всевозможных клонов и форков. Это, в частности, привело к вспышке распространения Cabir на чемпионате по легкой атлетике, проходившем в Финляндии в 2005 году. Популярность телефонов на Symbian в Финляндии (в особенности — Nokia), а также большое число зрителей на трибунах, включая приезжих из других стран, едва не превратили этот локальный инцидент в эпидемию. Финская антивирусная компания F-Secure даже установила на входах в стадионы Bluetooth-сканеры, выявлявшие зараженные Cabir мобильники.

Вследствие публикации исходников со временем стали появляться другие модификации червя, например, Mabir — версия Cabir, рассылавшая себя через MMS. Благодаря этому вредонос смог преодолеть 10-метровое ограничение Bluetooth. Творчество группы 29А вдохновило многих вирусописателей на создание новых мобильных троянов, а с выходом Android их количество и вовсе стало расти в геометрической прогрессии. Но это — уже совсем другая история.