Cabir, prvi mobilni malver, slavi 10. rođendan

Mobilni telefoni, 27.01.2014, 08:23 AM

Ove godine će Cabir, prvi malver za mobilne telefone, proslaviti deseti rođendan. Umesto rođendanske proslave, koja ne bi bila prigodna u ovom slučaju, ovaj jubilej kompanija Fortinet je odlučila da obeleži podsećanjem na evoluciju malvera za mobilne telefone, koji su tokom prethodne decenije postali ozbiljna pretnja za korisnike mobilnih telefona.

Od Cabir-a do FakeDefend-a, svedoci smo eksplozije broja mobilnih malvera tokom prehodne decenije. Prošle godine, FortiGuard Labs je detektovao 1300 novih malicioznih aplikacija dnevno a trenutno prati više od 300 familija Android malvera i više od 400000 malicioznih Android aplikacija.

Osim brojeva, koji pokazuju tendenciju neprestanog i značajnog rasta, primetan je i trend da su mobilni malveri sledili evoluciju malvera za računare, ali je tempo bio značajno brži. Popularnost smart telefona kao i činjenica da oni mogu lako pristupati platnim sistemima (premijum telefonski brojevi), čini ih lakim metama koje, kada se inficiraju, brzo mogu doneti zaradu.

Pored toga, mobilni malveri pružaju i brojne mogućnosti za špijuniranje korisnika (geo-lokacija, mikrofoni, GPS i kamera).

Kao i malveri za računare, i mobilni malveri su se brzo razvili u efikasno sredstvo za generisanje profita, podržavajući široki asortiman poslovnih modela.

FortiFuard Labs je u svojoj hronologiji (pdf) izdvojio najznačajnije mobilne malvere koji su se pojavili u protekloj deceniji.

2004: Cabir - prvi pokušaj

Cabir je bio prvi mobilni crv, dizajniran za infekciju Nokia Series 60. Napadi ovog crva rezultirali su pojavom reči “Caribe” na ekranu zaraženog telefona. Crv se potom širio tražeći druge uređaje (telefone, štampače, igračke konzole) i to naravno one koji su se nalazili u blizini, koristeći Bluetooth kapacitet telefona.

Zato što je bio relativno bezopasan, stručnjaci veruju da je crv bio “proof od concept”, kao i da je bio delo hakerske grupe 29A.

2005: CommWarrior

Malver CommWarrior, otkriven 2005., nastavio je tamo gde je Cabir stao, uz dodatak kapaciteta za širenje i uz pomoć MMS-a, pored Bluetooth-a. Kada bi se instalirao na uređaju, CommWarrior bi pristupao kontakt fajlu zaraženog telefona i preko MMS servisa provajdera slao poruke svim kontaktima u telefonu. Korišćenjem MMS-a kao metoda širenja uveden je ekonomski aspekt u svet mobilnih malvera. Svaki poslati MMS provajder je mogao da naplati, a s obzirom da su neki operateri priznali da je 3,5% njihovog saobraćaja poticalo od CommWarrior-a, na kraju su se saglasili da nadoknade štetu žrtvama.

Ovaj malver je takođe bio dizajniran za Symbian 60 platformu, a registrovan je u 18 država Evrope, Azije i Severne Amerike gde je zarazio više od 115000 mobilnih telefona sa kojih je poslao više od 450000 MMS poruka bez znanja korisnika, pokazujući da se mobilni malveri mogu širiti brzo kao i malveri za računare.

U to vreme Symbian je bio jedna od najpopularnijih platformi, sa desetinama miliona korisnika širom sveta. Ipak, cilj CommWarrioir-a je bilo samo širenje bez zarade od naplate MMS poruka za čije je slanje bio odgovoran malver.

2006: RedBrowser

Posle mobilnih crva Cabir-a i CommWarrior-a, pojavio se Trojanac RedBrowser koji se razlikovao od svojih prethodnika. On je prvi mobilni malver koji je dizajniran za infekciju telefona preko J2ME (Java 2 Micro Edition) platforme. Trojanac je predstavljan kao aplikacija koja je navodno trebalo da olakša pregledavanje WAP sajtova. Ciljanjem na Java platformu, umesto na operativni sistem uređaja, autori Trojanca su mogli da ciljaju na mnogo veći broj korisnika, bez obzira na to ko je proizvođač telefona ili koji je operativni sistem na napadnutom telefonu.

Još jedna značajna razlika je i ta što je Trojanac bio dizajniran tako da iskoristi premijum SMS servise, a cena takvih poruka se najčešće kretala oko 5 dolara. Ovaj Trojanac je bio još jedan iskorak u pravcu generisanja profita od mobilnih malvera.

RedBrowser je bio prekretnica jer sve do pojave ovog malvera stručnjaci nisu verovali da bi jedan malver mogao da zarazi mobilne telefone različitih proizvođača sa različitim operativnim sistemima.

2007-2008: Period tranzicije

Tokom dve godine trajala je stagnacija u razvoju malvera, ali je rastao broj malvera koji su pristupali premijum servisima bez znanja korisnika.

2009: Mobilni botnet

Fortinet je 2009. godine otkrio malver Yxes (anagram od “Sexy”). Malver je bio maskiran u naizgled legitimnu aplikaciju “Sexy Views”.

Kada bi inficirao mobilni telefon, telefon je prosleđivao svoj adresar centralnom serveru. Server je tada slao SMS sa URL-om svakom kontaktu u telefonu. Oni koji bi kliknuli na link u poruci preuzeli bi i instalirali malver, a onda bi ceo postupak bio ponovljen.

Širenje ovog malvera je uglavnom bilo ograničeno na Aziju, u kojoj je inficirano najmanje 100000 mobilnih telefona tokom 2009. godine.

Yxes je još jedna prekretnica u evoluciji mobilnih malvera i to iz nekoliko razloga. Yxes se smatra prvim malverom za Symbian 9 operativni sistemu i prvim malverom koji je slao SMS poruke i pristupao internetu bez znanja korisnika. Najzad, što je verovatno i najvažnije, hibridni model za širenje i komunikaciju sa udaljenim serverom, dao je antivirusnim analitičarima razlog da strahuju da je Yxes najava za novu vrstu virusa - botneta na mobilnim telefonima. Događaji koji su usledili potvrdili su ovakve procene.

2010: Zitmo i Geinimi

2010. je bila prekretnica u istoriji malvera, godina tranzicije, kada su mobilni malveri koji su do tada bili posao pojedinaca ili manjih grupa iz pojedinih regiona u svetu postali biznis organizovanih sajber kriminalnih grupa koje su delovale širom sveta. To je bila i godina "industrijalizacije mobilnih malvera", kada su kriminalci shvatili da mobilni malveri mogu da im donesu mnogo novca pa su započeli da koriste ove pretnje mnogo intenzivnije nago ranije.

2010. je bila posebna i po tome što su se pojavili prvi mobilni malveri izvedeni iz PC malvera. To je bio slučaj sa malverom Zitmo, Zeus in the Mobile, koji je bio dodatak ozloglašenom bankarskom Trojancu Zeus koji je napadao personalne računare. Radeći zajedno sa Zeus-om, Zitmo je korišćen za zaobilaženje SMS poruka u online bankarskim transakcijama i prevaru sigurnosnog procesa.

Od ostalih malvera koji su se istakli te godine, najznačajniji je Geinimi, jedan od prvih malvera koji je bio namenjen napadima na Android platformu i koji je koristio inficirani telefon kao deo mobilne bot mreže. Kada bi se instalirao na telefonu, on bi komunicirao sa udaljenim serverom i odgovarao na komande sa servera, kao na primer da instalira ili deinstalira aplikacije, što mu je omogućavalo da kontroliše telefon.

2011: DroidKungFu i Plankton

Napadi na Android platformu su se intenzivirali, pa su se 2011. godine pojavili malveri mnogo moćniji od do tada viđenih.

DroidKungFu se pojavio sa nekoliko novih jedinstvenih karaktersitika zbog kojih se i danas smatra jednom od tehnološki najnaprednijih malvera koji postoje. Malver sadrži dobro poznati exploit za "root-ovanje", odnosno dobijanje administratorskih privilegija na telefonu (uDev ili Rage Against The Cage), čime je omogućena potpuna kontrola nad uređajem i kontakt sa komandnim serverom. DroidKungFu je takođe sposoban da izbegne detekciju antivirusnog softvera. Kao i većina malvera za Android, i DroidKungFu se može naći na nezvaničnim marketima aplikacija i forumima u Kini.

Malver Plankton se takođe pojavio 2011. godine, a i danas ovaj malver je jedan od najrasprostranjenijih malvera za Android. Bilo ga je i na Google Play, zvaničnom Google-ovom marketu aplikacija, u brojnim aplikacijama u kojima se pojavio kao agresivni adware koji preuzima neželjene reklame, menja početnu stranicu mobilnog browser-a i dodaje nove prečice i zabeleške zaraženom telefonu. Sa malverom Plankton, počela je igra u višoj ligi. Plankton je jedan od 10 najrasprostranjenijih malvera iz svih kategorija, čime je stao rame uz rame sa PC malverima. Trenutno je više od 5 miliona mobilnih uređaja zaraženo ovim malverom.

2013: FakeDefend i Chuli

Prvi ransomware za mobilne telefone FakeDefend pojavio se 2013. godine. Maskiran kao antivirus, ovaj malver deluje na sličan način kao i lažni antivirusi za PC. On zaključava telefon i traži od žrtve, korisnika uređaja, da plati otkup da bi mogao da vrati kontrolu nad uređajem. Međutim, plaćanje otkupa ne pomaže telefonu koji mora biti vraćen na fabrička podešavanja da bi se vratio u stanje pre infekcije.

Prošle godine pojavio se i Chuli, malver koji se smatra prvim koji je upotrebljen za ciljane napade na Android platformu. Sajber kriminalci koji su ga koristili hakovali su email nalog aktiviste koji je bio prisutan na Svetskom kongresu aktivista Ujgura, koji se održavao od 11. do 13. marta prošle godine u Ženevi. Koristeći hakovani email nalog, kriminalci su napali naloge drugih tibetanskih aktivista, šaljući emailove sa hakovanog naloga koji su sadržali Chuli kao atačment. Zadatak malvera Chuli je da prikuplja dolazeće SMS poruke, podatke iz SIM kartice, kontakte telefona, informacije o lokaciji, kao i da beleži telefonske razgovore žrtve. Sve prikupljene informacije malver šalje udaljenom serveru.

2013. godina se smatra godinom kada su napadi na mobilne uređaje postali profesionalni. Napadajući ciljano i sofisticirano, malveri kao što su FakeDefends i Chuli su napredni malveri koji se mogu uporediti sa onima sa kojima smo se susretali u svetu personalnih računara.

Šta je sledeće?

Sa sajber kriminalom se nikada ne zna - veoma je teško predviđati šta će se dogoditi sledeće ili sledećih 10 godina. Pejzaž mobilnih pretnji dramatično se menjao prethodnih deset godina a sajber kriminalci nastavljaju da tragaju za novim, domišljatijim načinima na koje ove napade mogu iskoristiti za ostvarivanje profita.

Ipak, vrtoglavi razvoj smart telefona i drugih mobilnih uređaja je argument za predviđanja da će se mobilni i PC malveri još više približiti u narednom periodu. Kako sve postaje mobilno, tako će i malveri sve više biti mobilni.