ИСТОРИЯ РАЗВИТИЯ ВОЗМОЖНОСТЕЙ СОВРЕМЕННЫХ ВИРУСНЫХ ПРОГРАММ

История развития возможностей современных вирусных программТрояны, руткиты, буткиты, дропперы… Для кого-то каждое из этих слов представляет собой отдельное направление, а для кого-то это просто «вирусы».

Мы часто сталкиваемся с итоговым результатом деятельности вирусописателей и киберпреступников.

Например, когда сын знакомых «случайно» ловит порнобаннер, требующий пополнения виртуального кошелька за разблокировку системы. Заглянуть же на другую сторону получается далеко не у всех. Сегодня я бы хотел представить вашему вниманию некий исторический срез развития «вредоносов». Вторая и третья части же будут посвящены непосредственно обзору современных возможностей вирусов с «практическими вкраплениями» в виде скриншотов серверной части одного из популярных руткитов.

Эта песня хороша – начинай сначала

Не волнуйтесь, начинать с самых истоков никто не собирается. В качестве отправной точки возьмём эпоху мобильных вирусов. Тому есть несколько причин. Во-первых, сами по себе, мобильные зловреды показали, что многое в нашей жизни развивается по спирали. Телефоны оказались лишь новой областью, которая вместе с популярностью, привлекла интересы компьютерных вирусописателей. За первые два года (2004-2005) мобильные вирусы повторили «эволюцию» своих старших братьев, которую те вели ещё с 80-х: для «трубок» были написаны черви, вирусы, троянские и шпионские программы, бэкдоры и т.д.

Во-вторых, сегодня «умные лопаты» плотно вошли в нашу жизнь, став если не заменой, то серьёзным дополнением к ПК и ноутбукам. Другими словами, рассматривать возможности современного «вируса» без привязки к смартфонам нельзя.

Ну и в-третьих, историю нужно знать. И не только потому что это История. В отличие от мира компьютерного, в мобильном мире нет явной смены поколений. Если у вас в кармане мирно лежит новый iPhone, совсем не значит, что он есть у всех вокруг. Люди продолжают пользоваться телефонами (это те, которые не «смарт»), при этом, не используя iOS, WP или Android. Это, в свою очередь приводит нас к тому, что из-за обилия и разнообразия мобильных устройств, «старые» вирусы не отходят в прошлое, а становятся нишевыми, меняя регионы.

Поэтому давайте по порядку. Как уже было сказано выше, реальный интерес вирусописателей к мобильным телефонам массово «проклюнулся» в 2004 году. Правила выбора цели также не отличались от компьютерных: какая платформа популярнее, под ту вирусы и пишутся. В тот период безусловным лидером была и оставалась Symbian.

Следом с большим отрывом шли Windows Mobile и BlackBerry. Общее количество вирусных семейств едва ли превышало пару десятков, а количество модификаций – сотню-другую. Связано это было, в том числе, и с «трудностями перевода» - отсутствием универсального вируса. Под каждую платформу необходимо было придумывать что-то своё.

Тем временем, основным средством выкачивания денег из сознательных граждан выступали SMS, отправляемые вирусами на короткие номера. Верхушка айсберга выглядела так: зловред с телефона тайно отправлял SMS с неким текстом на определённый короткий номер, после чего у «жертвы» списывалась со счёта немаленькая сумма денег. Полная картина была интереснее. Так как арендовать у сотового оператора короткий номер самостоятельно было непозволительной роскошью, свою лепту в мошенническую схему вносили контент-провайдеры. Именно им была по карману аренда номера, который они сдавали всем желающим в субаренду через специальную партнёрскую программу. Последняя, в свою очередь, была нужна, чтобы установить «правила игры». Во-первых, примерно половину стоимости SMS забирал себе сотовый оператор, ещё 10% отходило контент-провайдеру, ну а остальное «честно» зарабатывал субарендатор. Во-вторых, количество субарендаторов могло исчисляться десятками. Поэтому, чтобы правильно делить прибыль, использовались префиксы. Уверен, что каждый читатель хотя бы раз в жизни слышал нечто вроде «отправь 123 на короткий номер 4567 и получи эту мелодию себе на телефон». Именно префикс «123» вносил ясность, кому из субарендаторов отойдут деньги. Как видите, схема была выгодна всем, кроме «жертвы», конечно.

Год 2006 внёс свои коррективы в намерения мобильных вирусописателей. Несмотря на то, что платформа Symbian по-прежнему имела самую большую аудиторию, лидерство это становилось крайне неустойчивым – своё место под солнцем активно отвоёвывали не только известные игроки (Windows Mobile и BlackBerry), но и новички (iOS и Android). На самом деле на этих 5 платформах разнообразие не заканчивалось и вирусописатели это отлично понимали. В итоге, настало время, когда подобно витязю на распутье, им предстояло принять решение, куда двигаться дальше. Как вы помните, идея «универсальности» витала в воздухе с самого начала мобильной эпохи вирусов, но катализатором для неё послужила лень. Чтобы не распыляться на множество различных платформ и не портировать вирусы под каждую из них, люди задумались, есть ли что-нибудь общее между ними (между платформами, а не между людьми). Оказалось, что есть – Java, а точнее Java 2 Micro Edition. Дело в том, что на тот момент не только все телефоны, не говоря уже о смартфонах, имели поддержку java, но и были в состоянии запускать java-приложения. На руку злоумышленникам сыграли и игроделы, также осознавшие прелести кроссплатформенности и наводнившие рынок java-играми. А самыми популярными способами заполучить игру были либо скачивание jar-архива из Интернет, либо отсылка платной SMS. Думаю, дальнейший ход мыслей понятен. Контент-провайдеры и ещё раз контент-провайдеры… К слову, игры по жизни являются спутниками вирусов. А вариантов заражения не так уж и много: либо вы получаете вирус в чистом виде, «слегка прикрытый» официальной иконкой игры, либо вы получаете «склейку». В последнем случае в качестве «утешительного приза» вам всё-таки удастся поиграть.

Тем не менее, в дальнейшем, по данным «Лаборатории Касперского» рост мобильных угроз измерялся сотнями процентов в год. К примеру, по оценке экспертов, с 2006 по 2009 год произошло утроение числа вредоносных программ для мобильных устройств.

В лидерах вирусной армии по-прежнему были SMS-трояны, тайно отсылающие сообщения на премиум-номера. Однако к ним в компанию пришёл новый способ мошенничества, который сегодня известен абсолютно каждому безопаснику. Речь идёт о фишинге. Его частность, SMS-фишинг, заключалась в введении «жертвы» в заблуждение посредствам специально составленного сообщения. «Мама, положи мне денег на номер +Х-ХХХ-ХХХ-ХХ-ХХ, потом всё объясню».

Были ваши, стали наши

Деньги и ещё раз деньги. Всё вертится вокруг них. Мобильные вирусы не стали исключением. С появлением новых платёжных возможностей, появлялись и новые вариации зловредов. Так, на рубеже 2008-2009 годов у сотовых операторов появилась новая услуга: с помощью специально составленного SMS-сообщения, абонент мог поделиться деньгами со своего счёта, например, с другом, которому они срочно понадобились на телефон. Вслед за здравой идеей пришло её нездоровое использование мошенниками. Уже в январе 2009 года антивирусные компании изловили новые модификации зловреда под названием «Flocker», основной задачей которого была отсылка SMS с определённым текстом на определённые номера. Другим знаменательным событием стал вирус, рассылающий с телефона «жертвы» SMS его контакт-листу. Кроме того, начала зарождаться мода удалённой работы со смартфонов. До бума было ещё пару лет, и в основном из-за отсутствия благоприятной почвы: мощностью смартфоны ещё пока не могли похвастаться, а выход в интернет с них оказывался не самым дешёвым удовольствием. Тем не менее, некоторые мобильные вирусы уже умели воровать информацию, выгружать контакты телефонной книги, SMS, а также просто блокировать телефон, требуя денег за код разблокировки.

Дальнейшее развитие привело к интересным особенностям. Во-первых, продолжая путь монетизации, зловреды научились не только отправлять SMS контент-провайдерам, но и совершать звонки на международные платные номера. Причины «эволюции» просты и банальны: как только власти и сотовые операторы сделали вид, что всерьёз борются с подобными мошенническими SMS, киберпреступники нашли новую лазейку. Но даже сегодня этот вид деятельности по прежнему остаётся самым лёгким вариантом заработка денег. Ведь что может быть лучше «прямого доступа» к кошельку жертвы, коим и является её телефон?

Во-вторых, так как проблема вирусов для мобильных телефонов и не думала терять актуальность, за её решение принималось всё больше «хороших» парней. Велась просветительская работа, подключались антивирусные компании. Ответным ходом преступного мира стало наделение вирусов возможностью получения от удалённого сервера обновлений и команд. По правде говоря, «всё новое – это хорошо забытое старое». Получение вирусом команд с удалённого сервера, как концепция, была реализована ещё в 2004 году. Однако на то время практического применения она не снискала в силу дороговизны и неповсеместной доступности мобильного интернета. Но уже спустя пару-тройку лет ситуация кардинальным образом изменилась.

Возможность обновлений серьёзно развязала руки мошенникам

В качестве демонстрации достаточно вспомнить вирус Lopsoy, главная «изюминка» которого как раз и заключалась в них. По функционалу это был обычный SMS-троян, отсылающий некоторый текст на премиум-номера. Однако за счёт заложенного функционала зловред осуществлял поиск точек доступа в интернет для соединения с удалённым сервером, от которого получал не только собственные обновления, но и тексты SMS вместе с премиумными номерами для их отсылки. Возможность удалённого управления стала настоящим эволюционным скачком, так как серьёзно увеличила срок жизни SMS-троянов. Если ранее вместе с закрытием номера, троян терял свою актуальность (так как премиум-номера были жёстко вшиты в тело вируса) и злоумышленникам приходилось искать новых жертв для заражения, теперь вирусы начали адаптироваться по ситуации.

Третьей особенностью развития мобильных вирусов стала их частичная переориентация на кражу информации. Мошенники продолжали искать новые способы монетизации своих детищ, что неизбежно уводило их от «кормушки», удлиняя цепочку «заражённый телефон-деньги». Осенью 2010 года был обнаружен «зловред», способный пересылать определённые входящие SMS-сообщения на заданный телефонный номер, при этом, как будто бы не нанося очевидного вреда. На самом деле вирус был лишь вспомогательной частью, отвечающей за перехват кодов аутентификации, присылаемых на мобильные устройства для подтверждения онлайн-банковских операций. Другими словами, теперь кража денег происходила в несколько шагов:

«Обычным десктопным» вирусом заражался компьютер «жертвы». В его задачу входила кража данных для доступа к онлайн-банкингу, а также выяснение телефонного номера, на которые отсылались коды аутентификации о подтверждении операций.

На мобильный телефон «жертвы» отсылалась SMS со ссылкой на вредоносное приложение (на этом этапе мошенники должны были проявить фантазию, чтобы убедить «жертву» в необходимости установки приложения).

В случае успешного выполнения второго шага, через некоторое время мошенник пытался совершить от имени «жертвы» перевод средств, в результате чего последней банк присылал сообщение с кодом, которое мобильный зловред скрытно пересылал на телефон злоумышленников.

Несмотря на кажущуюся сложность схемы, в то время она работала даже в силу собственной новизны.

Год 2010 также отметился в современной истории мобильных вирусов зарождением нескольких новых направлений, ставших сегодня чуть ли не самыми популярными.

Во-первых, в схемах мошенников появился шаг валидации «жертвы». Другими словами, сайт, с которого распространялось вредоносное ПО, проверял, откуда к нему пришёл человек. Если пользователь просматривал контент через настольный браузер, всё было в порядке, но если сайт просматривался через мобильный браузер, пользователю всеми способами предлагалось скачать «специальное приложение» для просмотра. Подобная мера позволяла продлить срок жизни сайта-распространителя в разы, так как антивирусы для мобильных телефонов находились ещё в зачаточном состоянии.

Во-вторых, рост популярности iOS и Android начал всерьёз будоражить умы вирусописателей. Как следствие, начали появляться не просто proof of concept, а реальные «боевые» вирусы для этих операционных систем, способные не только красть со смартфонов информацию любого толка, но и поддерживать удалённое управление заражёнными устройствами.

Своё развитие описанная концепция получила в третьем направлении – кражи информации. «Прямой доступ» к счёту абонента перестал быть главной целью мошенников. На телефонах стала появляться информация, дававшая злоумышленникам новые рычаги давления на «жертв». К примеру, рост популярности «Вконтакте» привёл к появлению ряда вредоносных программ, нацеленных именно на кражу логина и пароля от отечественной социальной сети. И так как некоторые люди были готовы отдать сотню-другую рублей за восстановление доступа к своей любимой страничке, схема «пошла в жизнь».

Источник: Daily.sec.RU - https://daily.sec.ru/publication.cfm?pid=41283

Опубликовано:10.07.2013


Вернуться к началу статьи ...