17 июня 2014

Пять историй о Cabir, первом вирусе для смартфонов

Бизнес

Вчера исполнилось 10 лет со дня обнаружения первой вредоносной программы для смартфонов. Червь Cabirпо нынешним временам выглядит безобидно: деньги со счета не крадет, пароли не похищает, пользовательские данные не удаляет. Разве что сажает батарейку за неприличные по меркам 2004 года, зато вполне допустимые в 2014-м 2-3 часа.

Сегодня мы расскажем, как мы этот вирус нашли, почему назвали именно так, что было дальше, и чем вся эта история закончилась. Впрочем, конец истории наступил только для отдельных персонажей – например, для платформы Symbian. Для всех остальных – в смысле, для производителей смартфонов, пользователей, и, увы, киберпреступников, все только начинается.

История нулевая. Собственно, вся история обнаружения Cabir, рассказанная главным антивирусным экспертом «Лаборатории Касперского» Александром Гостевым, на этом видео:

История первая. Все случается в конце рабочего дня.

cabir_screen_smДумаю, большинству читателей Хабра это знакомо. Серверы имеют привычку падать, баги в софте активизироваться, а новые вирусы – обнаруживаться ровно в половине седьмого. Как правило – в пятницу. В июне 2004 года все произошло не в пятницу, но – как раз в конце смены у группы вирусных аналитиков. На следующую смену и был передан недавно упавший на «вирусный» e-mailфайл с комментарием «непонятно».

Позднее выяснилось, что загадочный файлик был отправлен многим антивирусным вендорам, но большинство, видимо, удовлетворились тем, что это не исполняемый файл для Windowsи угрозы обычным ПК он не представляет. Заступивший на смену Андрей Кузьменко довольно быстро понял, что это программа для архитектуры ARMи для платформы Symbian, которой в тот момент было всего два года.

Анализ файла продолжался, а в «Лаборатории» тем временем развернулась полномасштабная поисковая операция. Искали телефоны на Symbian, а так как смартфоны тогда были еще в новинку, и стоили недешево (первый смартфон Nokia 7650 стоил около 600 евро), то прямо сразу такой телефон ни у кого не обнаружился.

Пока искали телефоны (легенда гласит, что были даже отправлены гонцы на ближайший радиорынок), стало понятно, что одним смартфоном не обойдешься, нужно два: подтвердить на практике факт самостоятельного распространения червя через Bluetooth. Тут надо отдать должное Андрею Кузьменко: анализ совершенно новой программы на неисследованной ранее платформы он провел достаточно быстро, и ключевые особенности вредоносной программы предсказал еще до запуска на реальных устройствах. Шестью месяцами ранее, при подведении итогов 2003 года, Александр Гостев предсказал, что мобильные вирусы появятся очень скоро. Собственно, так все и произошло.

История вторая. Почему Cabirназвали Кабиром?

Вообще-то почти все вредоносные программы как-то проименованы их анонимным (зачастую) автором. В случае с Cabirназвание можно было просто взять из имени файла: caribe.sis. Но по негласному соглашению почти во всех антивирусных компаниях, так никогда не делают. Ну, во-первых, под разными названиями может распространяться один и тот же вирус (и нужно соблюдать классификацию). Во-вторых, не следует и поощрять вирусописателей, распространяя их собственные названия: некоторые деятели занимаются разведением заразы лишь для того, чтобы получить с помощью антивирусных производителей свои пять минут славы.

При этом в большинстве случаев финальное название все же имеет нечто общее с творческими порывами вирусописателей. Так произошло и в случае с Cabir, но простой перестановкой букв тут не ограничились. В самый разгар споров о наименовании первого смартфонного червя в вирлаб зашла сотрудница компании Елена Кабирова. Евгений Касперский, заметив ее, немедленно предложил назвать вредоносную программу в ее честь, на что Елена благосклонно ответила согласием (но сначала уточнив, что событие действительно важное, не каждый день случается).

История третья. Железная комната и коллекция устройств.

Итак, первый червь для смартфонов был успешно найден. Мир узнал о том, что не все присылаемые файлы одинаково полезны, и что вирусы теперь могут рассылаться не только через интернет и флешки, но и, почти как грипп, воздушно-капельным путем. Несмотря на то, что Cabirпередавался только через Bluetooth, и мог заразить другой смартфон только в радиусе 10 метров, на его счету есть пара эпидемий. Чаще всего это проявлялось в местах массового скопления людей, например в августе 2005 волна заражений прошлась по стадиону в Хельсинки во время Чемпионата мира по легкой атлетике.

Bluetooth_hazard

Да что говорить, даже в московском метро можно было получить сообщение с вредоносным аттачем. Относительной «популярности» Cabir способствовала и публикация исходных кодов создателями – известной группой товарищей под кодовым названием 29А. Благодаря этому в нашей базе есть целых 18 модификаций червя. Они практически не отличаются друг от друга, разве что появившийся в апреле 2005-го Cabir.kиспользовал для распространения MMS-сообщения (помните такие?), причиняя уже реальный убыток владельцу зараженного смартфона.

Так причем тут железная комната? Исследование новых модификаций Cabir, равно как и аналогичных зловредов приводило к локальным инцидентам в «Лаборатории». Представьте: вирусный аналитик запускает на тестовом смартфоне очередной вариант червя, а этажом ниже разработчики мобильного антивируса внезапно получают приглашение принять файл. Возникла необходимость в изолированной зоне для экспериментов. В результате в «Лаборатории Касперского» появилось помещение, в котором не ловилась сотовая сеть и WiFi, и где можно было отдохнуть в тишине испытать новый вирус, не рискуя заразить телефоны коллег.

Благодаря Cabirу нас появилась и постоянно пополняемая коллекция мобильных устройств. Одними из первых стали смартфоны Nokia 3650:

 

nokia1

Помимо сомнительной привилегии второго в истории смартфона Nokia, этот телефон запомнился еще и невероятно неудобной клавиатурой.

И NokiaN-Gage:

okia-n-gage

Плюсом этого телефона была возможность поиграть в неплохие для того времени мобильные игры. Минусом – необходимость прикладывать телефон к уху торцом во время разговора, уподобляя себя эдакому Чебурашке-Ван-Гогу.

История четвертая. Не блютусом единым.

Сам метод распространения через Bluetoothхоть и был оригинальным, но прожил недолго. Сначала появились смартфонные вирусы, распространявшие себя по адресной книге через MMS, потом была длительная эпидемия рассылок SMSна платные номера (а это уже приносило доход киберпреступнику), а дальше вся вредоносная деятельность окончательно ушла в интернет – так быстрее, надежнее и радиус поражения ничем не ограничен. Та самая «железная комната» недолго побыла любимым местом медитации наших экспертов: в новый офис ее перевозить не стали, не было смысла.

Правда, было одно исключение. Это Flame – сложнейший инструмент кибершпионажа, обнаруженный нами в 2012. Модуль, задействующий Bluetoothу него не основной, но возможности интересные. Во-первых, он собирает информацию о доступных устройствах (примерно таким же образом вы можете узнать модель смарт-телевизора в квартире соседа). Во-вторых,  Flameможет превратить Bluetooth-модуль в своего рода маячок, сигнализирущий тому-кто-в-курсе о наличии рядом зараженного компьютера.

История пятая. Взлет и падение Symbian-зловредов и наступление светлого (?!) будущего.

За всю историю наблюдений «Лаборатория Касперского» зафиксировала 621 модификацию вредоносных программ для Symbian. Это если считать зловреды, которые хоть чем-то отличаются друг от друга по функциональности, а не только названием и иконкой. И это, на самом деле, немного. Примерно до середины 2008 года почти все новые изделия киберпреступников (и различных энтузиастов вирусописания) угрожали только владельцам Symbian-смартфонов. Потом ситуация изменилась. Во-первых, Nokia, как основной производитель устройств на данной платформе, начала принимать меры. Появилась, например, цифровые подписи для программ (многие помнят, сколько головной боли они принесли пользователям). Во-вторых, внезапно выяснилось, что гораздо выгоднее писать вирусы под платформо-независимую JavaME. Потенциальными жертвами Java-зловредов оказалось гораздо больше людей – владельцев обычных телефонов. Но и смартфоны оказались тоже подвержены – как минимум те, что поддерживали Java. Двойной удар!

В августе 2010 года в нашей базе появляется запись о первой вредоносной программе для Android. Собственно теперь это основная цель киберпреступников: всего мы располагаем информацией о более чем 370 тысячах модификаций вредоносных программ для этой платформы. Сравните с жалкими сотнями на Symbian.

Последний телефон на Symbianбыл выпущен в 2012 году. Платформа, к счастью, или к сожалению, мертва. Если Cabirбыл первым зловредом для смартфонов Nokia, то каким был последний? Они появляются изредка и сейчас. Последняя более-менее уникальная вредоносная программа была обнаружена 6 мая 2014 года —  то был довольно обыденный троян, рассылающий SMS на платные номера и скрывающий ответные сообщения от пользователя. Между обнаружением последнего и предпоследнего, кстати, прошло 8 месяцев.

Впрочем, для мобильных устройств все только начинается. Несмотря на то, что за первые пару лет с обнаружения Cabirколичество новых вирусов было сравнительно невелико, они стремительно совершенствовались. За два года были пройдены те же этапы развития (от вирусов к троянам, далее к бэкдорам итд), которые на персональных компьютерах заняли больше десятилетия. За 10 лет мобильные зловреды «научились» красть деньги со счета и пароли пользователя, взламывать онлайн-банкинг и угонять SMS с одноразовыми паролями, наконец (недавно) – шифровать данные пользователя и вымогать деньги. Что будет дальше – посмотрим. Но уже сейчас, 10 лет спустя, заметно, насколько «первенец» был безобидным. Созданный вирусописателями-альтруистами из любви к искусству, покушающийся только на батарейку смартфона, но не на деньги владельца. Забавное создание из позапрошлой эры – когда смартфоны были разные и с физическими клавишами.

А вы встречали Cabir?

P.s. Обратите внимание на инфографику ниже. Фрагмент изображения кликабелен, ведёт на полную версию.

Click to open the full infographic.