Między 2006 a 2009 rokiem liczba szkodliwych programów dla urządzeń mobilnych wzrosła trzykrotnie. Zatem współczynnik wzrostu w okresie 2004-2006 został utrzymany.
Co nowego?
Trzy lata temu mobilne szkodliwe programy były zdolne do następujących działań:
• Rozprzestrzenianie się za pośrednictwem Bluetootha, MMS-ów
• Wysyłanie SMS-ów
• Infekowanie plików
• Umożliwianie zdalnej kontroli smartfonu
• Modyfikowanie lub zastępowanie ikonek lub aplikacji systemowych
• Instalowanie "fałszywych" i niedziałających czcionek i aplikacji
• Zwalczanie programów antywirusowych
• Instalowanie innych szkodliwych programów
• Blokowanie kart pamięci
• Kradzież danych
W ciągu ostatnich trzech lat mobilne szkodliwe programy zaczęły stosować nowe technologie i techniki, które obejmują:
• Rozprzestrzenianie się za pośrednictwem nośników przenośnych
• Uszkadzanie danych użytkownika
• Wyłączanie mechanizmów bezpieczeństwa systemu operacyjnego
• Pobieranie innych plików z Internetu
• Dzwonienie na płatne serwisy
• Polimorfizm
Technologie i podejścia
Stosunkowo duża liczba szkodliwych programów, które atakują komputery PC, rozprzestrzenia się poprzez kopiowanie się na nośniki wymienne lub pamięci flash USB. Ta metoda rozprzestrzeniania się, mimo że prymitywna, okazała się bardzo skuteczna. Metodę tę wykorzystali również twórcy mobilnych szkodliwych programów. Przykładem może być Worm.WinCE.InfoJack. Robak ten kopiuje się na dysk E:. W smartfonach działających pod kontrolą systemu Windows Mobile litera ta oznacza kartę pamięci urządzenia.
Oprócz procedury rozprzestrzeniania się InfoJack posiada również inne interesujące funkcje. Po pierwsze, robak ten powiela się w ramach plików instalacyjnych CAB, które zawierają również legalne aplikacje i gry. Najwyraźniej, sztuczka ta jest stosowana w celu ukrycia aktywności robaka. Po drugie, InfoJack wyłącza sprawdzanie podpisów aplikacji, które jest jednym z mechanizmów ochrony zaimplementowanych w Windows Mobile. W rezultacie, jeżeli użytkownik będzie próbował zainstalować niepodpisaną aplikację (która może być szkodliwa), system operacyjny nie powiadomi użytkownika, że aplikacja nie posiada podpisu. Po trzecie, jak tylko smartfon zostanie podłączony do Internetu, robak próbuje pobrać dodatkowe szkodliwe moduły. Tak więc InfoJack posiada również funkcjonalność downloadera. Ponadto, robak wysyła swojemu autorowi dane osobiste użytkownika.
Podsumowując, szkodnik potrafi rozmnażać się, pobierać pliki z Internetu, wyłączać zabezpieczenia systemu operacyjnego i szpiegować użytkowników. Jest również bardzo dobry w maskowaniu siebie.
Worm.WinCE.PMCryptic.a jest kolejnym przykładem robaka, który kopiuje się na karty pamięci. Jednak szkodnik ten zasłynął z innego powodu: jest to pierwszy robak polimorficzny i wirus towarzyszący dla smartfonów! Robak ten, stworzony w Chinach, nie został wykryty na wolności - jest to jedynie kod "proof of concept". Jednak już sam fakt, że możliwe jest stworzenie szkodników polimorficznych dla smartfonów, jest niepokojący.
Problemem dla właścicieli smartfonów są również różne prymitywne trojany, które uszkadzają lub usuwają dane użytkowników. Przykładem jest Trojan.SymbOS.Delcon.a - ten 676-bajtowy trojan infekuje smartfony działające pod kontrolą systemu operacyjnego Symbian! Po uruchomieniu archiwum SIS plik o nazwie contacts.pdb zawierający kontakty użytkownika jest zastępowany innym plikiem z zainfekowanego archiwum. Zainfekowana wersja pliku contacts.pdb zawiera następujący komunikat w języku angielskim i rosyjskim:
«If you have installed this programm you are really stupid man :D
Series60 is only for professionals...(c)
by KoS. 2006 ))»
«Если вы установили эту программу, вы действительно глупы :D
Series 60 - только для профессионалов… (c)
KoS. 2006 ))»
