Интервью "Сотовика": Мобильная вирусология глазами Евгения Касперского

- В первую очередь, давайте разберемся, владельцам каких телефонов следует ждать атаки. Еще совсем недавно ходили слухи, будто бы какие-то вирусы распространяются даже посредством sms и даже телефонных звонков. Стоит ли думать об антивирусной защите пенсионерке с Nokia 3310? Другими словами, для кого опасны мобильные вирусы?

- Про бабушку и 3310 вы, конечно, загнули! Хотя, признаться, осведомленность основной массы пользователей не сильно отличается от слухов. За обычные телефоны, работающие не под управлением операционных систем, беспокоиться не стоит. То есть под прицелом оказываются пользователи продвинутые, с современными "умными" аппаратами. Бабушкам бояться нечего ? на "мозги" их собственности мобильные хакеры не смогут покуситься.

Из наиболее распространенных сегодня операционных систем для мобильных устройств (Windows CE (Pocket PC, Windows Mobile), Symbian OS, Palm OS и Linux), наиболее подверженной вирусным атакам и уязвимой кажется платформа Symbian. Symbian-телефон автоматически запускает любой попавший в папку "Входящие" файл, в том числе и полученный по Bluetooth или MMS ? будь это картинка, аудио-файл или инсталлятор. В то время как Windows Mobile-телефоны лишь сохраняют полученный файл в память (обычно ? в папку "Мои документы"). Но это не означает, что остальные платформы безопасны. Просто Symbian, как наиболее распространенная ОС для смартфонов, оказалась под ударом в первую очередь.

Вирусы распространяются при помощи технологии беспроводной передачи данных Bluetooth, при помощи MMS, их можно скачать из Интернета под видом программ и приложений для коммуникатора. Например, в ноябре 2004 года появился Symbian-троянец — Trojan.SymbOS.Skuller, который распространяли под видом установочного пакета иконок и "тем" рабочего стола. Запускаешь ? и все иконки в меню превращаются в черепа и одновременно с этим перезаписываются и перестают работать различные приложения.

С помощью коротких сообщений (SMS)современные вирусы для мобильных устройств не распространяются, однако могут сами рассылать такие сообщения. К примеру, Trojan.SymbOS.Mosquit представляет собой изначально безвредную игру для платформы Symbian (?Mosquitos?), при запуске которой смартфон начинает отправлять SMS на "зашитые" в самом коде вируса номера телефонов.

- Какие вредоносные программы наиболее опасны? Телефон еще можно спасти или нужно сразу отправляться за новым? Насколько вероятен несанкционированный доступ к конфиденциальной информации (номера кредиток, банковских счетов и т.п.).

Самую большую угрозу представляют самораспространяющиеся вирусы — черви. Такой вирус потенциально может заразить за короткий срок большое количество устройств, нарушив, таким образом, работоспособность мобильной сети, либо превратив их в большую распределенную сеть, подконтрольную злоумышленнику.
На сегодня вирусологии известно два червя, без учета их модификаций, для мобильных телефонов: Worm.SymbOS.Cabir, алгоритм распространения которого основан на использовании технологии Bluetooth, и Worm.SymbOS.Comwar, размножающийся как по Bluetooth, так и при помощи MMS.

Что могут сделать с мобильными устройствами вредоносные программы? Приведу лишь несколько примеров: Backdoor.WinCE.Brador открывает доступ к зараженному устройству ? КПК или смартфону ? по сети, ожидая подключения злоумышленника на определенном порту. Функционал понимаемых им команд позволяет, в том числе, передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к сети Интернет, бэкдор отсылает его IP-адрес по электронной почте своему хозяину.

Троянская программа SymbOS.Locknut эксплуатирует "доверчивость" (отсутствие проверок целостности файлов) операционной системы Symbian уже более целенаправленно. Будучи запущен, вирус создает в системной директории папку с неблагозвучным названием ?gavno?, внутри которой размещаются файлы, маскирующиеся под системные. Операционная система, исходя только из расширения файла gavno.app, считает его исполняемым ? и зависает. Включение смартфона становится невозможным.

Троянские программы для Symbian появляются регулярно, отличаясь лишь конкретным способом эксплуатации: Dampig перезаписывает системные приложения поврежденными, Drever отключает автоматический запуск некоторых антивирусов путем перезаписи их загрузчиков, Fontal подменяет системные файлы шрифтов на другие ? абсолютно валидные, но не соответствующие данному языковому дистрибутиву операционной системы файлы шрифтов, в результате чего телефон перестает загружаться; Hobble заменяет системное приложение File Explorer на поврежденное.

Современные вирусы не могут окончательно "убить" смартфон. Это прерогатива человеческой глупости. Самое страшное, что может случиться с телефоном ? ?hard reset", когда телефонКПК восстанавливает систему с дефолтовой конфигурацией. Но также есть риск потерять сохраненные документы, данные, установленные ранее приложения. Вирусы, рассылающие SMS и MMS, могут сказаться на размере счета от оператора владельцу телефона.

- Какими способами может произойти заражение в теории, и что чаще используют злоумышленники? Bluetooth, MMS, что-то еще? Есть ли случаи, когда вирус проникал в телефон под видом обновленной версии антивирусной программы?

Сложно сказать, какой из механизмов саморазмножения червей ? Bluetooth или MMS ? более опасен. Телефонов с поддержкой MMS больше, чем с Bluetooth, и область действия MMS шире — нет зависимости от того, насколько близко находится другое устройство. Но с другой стороны, технология Bluetooth более универсальна, автономна и позволяет объединять разнотипные устройства.

Например, червь Worm.SymbOS.Cabir использует технологию Bluetooth "честно", не эксплуатируя никаких уязвимостей. При запуске он отсылает доступным по Bluetooth устройствам копию самого себя в виде SIS-архива. Если пользователь Symbian-телефона подтверждает запрос на его загрузку, файл сохраняется и автоматически запускается на исполнение. При этом система инсталляции SIS-файлов запрашивает у пользователя подтверждения установки, и после его получения червь инсталлируется в систему, начиная новый цикл сканирования и заражений. Пользователям Windows Mobile-телефонов, загрузившим файл червя, ничто не угрожает ? вирус работает только на Symbian.

Червь Worm.SymbOS.Comwar, помимо Bluetooth, использует для самораспространения технологию MMS. Для этого он рассылает по номерам телефонов адресной книги MMS-сообщения с вложенной копией своего инсталляционного файла. При этом используется известный благодаря email-червям метод социальной инженерии, призванный усыпить бдительность пользователя: входящие файлы называются "Nokia RingtoneManager for all models", "Symbian security update" или как-нибудь в этом роде. Symbian-телефон, получив такое сообщение, автоматически запускает вложенный в него файл, и вирус устанавливается в систему. Windows-устройствам заражение не грозит.

- Как защищаться от "мобильных" вирусов? Ставить сложные пароли для bluetooth? Не открывать подозрительные MMS от незнакомых отправителей? Ваши советы пользователям телефонов и смартфонов.

На сегодняшний день есть несколько программных решений для защиты мобильных устройств от вирусов. В "Лаборатории Касперского" разработаны версии антивирусных программ для Windows CE (Pocket PC, Windows Mobile), Symbian (6, 7, 8 версий и UIQ), а также для Palm OS, последний вирус для которой был обнаружен в 2001 году. Подобные решения есть и у известных производителей PC-антивирусов (TrendMicro, Network Associates, F-Secure), и у молодых компаний, специализирующихся исключительно на мобильных антивирусных решениях (Airscanner, Simworks). С MMS-червями проще бороться оператору, который может пропустить MMS-трафик через Интернет-сервер с установленным на нем антивирусом.

Признаться, самый эффективный способ ? это бдительность и здравомыслие пользователя. Человеческий фактор может свести на нет все технические усилия по обеспечению безопасности системы. Как правило, для того, чтобы смартфон заразился, пользователю необходимо дважды подтвердить загрузку и запуск неизвестной программы, существует несколько общедоступных антивирусов, шумиха в прессе должна донести до любых ушей факт существования вирусной угрозы и информация о вирусах есть на любом сайте антивирусной тематики? Но! Вирусы продолжают шествие по мобильному миру.

Для защиты мобильного устройства от вирусов необходимо придерживаться нескольких весьма простых правил: установить антивирусное приложение и следить за обновлениями баз к нему, не закачивать неизвестные файлы от сомнительных адресантов и держать по возможности Bluetooth отключенным. Большинство производителей техники делают эту функцию включенной по умолчанию. Пользователь может даже не подозревать, что его мобильный телефон "видим" для всех владельцев Bluetooth-устройства в окрестности 10-20 метров и потенциально открыт для обмена информацией.

- Ваши прогнозы: чего следует ожидать от вирмейкеров в обозримом будущем?

Сфера мобильных устройств очень привлекательна для вирусописателей. Мобильные технологии, интегрированные с компьютерными, — исключительно удобная почва для спамерских рассылок и профессионального шпионажа, они связаны между собой и с внешним миром большим числом технологий, которые в настоящий момент могут обеспечить злоумышленнику степень анонимности, близкую к абсолютной.

Спрогнозировать дальнейшее развитие в области мобильных вирусов довольно сложно. После появления основных групп мобильных вирусов эта сфера пришла в стадию стагнации ? появляются лишь модификации известных вредоносных программ. Но доля смартфонов в общем объеме мобильных устройств растет. А чем более популярна технология, тем более интересно и выгодно ее атаковать. Смартфоны становятся все более мощными и функциональными, начиная вытеснять собой карманные компьютеры. Это значит, что больше возможностей появляется у вирусов и их авторов.

Совершенствование функционала устройства увеличивает объем потенциально интересной информации, которая в нем хранится. В отличие от обычного мобильного телефона с адресной книгой, в памяти смартфона могут храниться те же файлы, что на диске компьютера. А использование программ для доступа к защищенным паролем онлайн-сервисам (например, ICQ) ставит под угрозу безопасность личных данных.

Сегодня нет риска глобальной вирусной эпидемии. Угроза отступает в недалекое будущее. Примерно 1-2 года уйдет на достижение критической массы смартфонов и квалифицированных в данной области вирусописателей. Равномерный поток аналогов известных вирусов с вкраплениями технологических новшеств будет сохраняться еще как минимум полгода. Дополнительным толчком для хакеров станет экономическая выгода ? например, широкое использование мобильных телефонов для финансовых операций с системами электронных денег.

© СОТОВИК