Мобильные новости вирусологии

[SDA]

Новостей из мира мобильной вирусологии в первом квартале 2008 года было довольно много. Налицо продолжающийся прогресс технологий и все большее число участников этого процесса – как среди вирусописателей, так и среди антивирусных компаний.

Вредоносные новинки примерно поровну распределились между четырьмя основными мишенями мобильных угроз – ОС Symbian, Windows Mobile, J2ME и iPhone.

Symbian

Что касается Symbian, то здесь мы получили очередного червя из нового самостоятельного семейства. До сих пор нам были известны только два основоположника жанра – распространяющийся через Bluetooth червь Cabir и распространяющийся через MMS червь ComWar, а также различные их модификации.

В конце декабря в антивирусные базы попал, казалось бы, очередной клон ComWar – вариант .y. Однако его появление в январе в мобильном трафике одного из крупных мобильных операторов заставило более детально взглянуть на новый образец.

Анализ, проведенный нашим партнером, финской компанией F-Secure, показал, что на самом деле это совершенно новое семейство, не имеющее общих корней с созданным три года назад в России ComWar.

Windows Mobile

Появление зловреда для ОС Windows Mobile, до сих пор не сильно избалованной вниманием вирусописателей, само по себе событие, достойное упоминания. Однако обнаружение в конце февраля троянца InfoJack.a интересно еще по ряду причин.

InfoJack.a:

1. атакует Windows Mobile;
2. обнаружен в «дикой природе»;
3. распространяется в Китае;
4. занимается кражей информации.

Эта троянская программа для Windows Mobile попала в «дикую природу» и вызвала множественные заражения пользователей. Распространение происходило с одного из китайских сайтов, размещающего различный софт (легальный). Троянец был добавлен в состав дистрибутивов мобильных продуктов, таких как клиент для Google Maps и игры. Владелец сайта, с которого происходило распространение троянца, заявил, что он не преследовал никаких криминальных целей, а производил сбор информации о своих посетителях только с целью улучшения сервиса и анализа рынка мобильных приложений.

J2ME

В первом квартале 2008 года троянцы для J2ME (работающие практически на любом современном мобильном телефоне, а не только на смартфонах) появлялись с пугающей периодичностью. В январе мы обнаружили Smarm.b, в феврале - Smarm.c и Swapi.a, в марте - SMSFree.d.

Все они были обнаружены в России и используют один и тот же способ зарабатывания денег на пользователях – отправку SMS на платные premium-номера. (Исследование инцидента с SMS-троянцем Viver, проведенное нами в прошлом году, показало, что всего за три дня автор троянца мог заработать около 500 долларов США.) Несмотря на все инциденты, российские мобильные контент-провайдеры продолжают сохранять высокий уровень анонимности для всех регистраторов premium-номеров, что приводит к безнаказанности вирусописателей – появление новых вариантов вредоносных программ и отсутствие информации об аресте кого-либо из их авторов очень хорошо это подтверждают.

iPhone

Закончим наш обзор мобильных угроз информацией о долгожданном событии – выходе в марте SDK для iPhone.

В свое время мы полагали, что выход SDK приведет к появлению множества вредоносных программ для iPhone. Однако возможности открытого Apple SDK очень ограничены.

Apple пошла по пути Symbian - модель создания и распространения программ для iPhone базируется на идее «подписанных» приложений. Основное ограничение сформулировано в соглашении об использовании iPhone SDK: «В создаваемом приложении не может запускаться загружаемый код, если только он не интерпретируется опубликованным Apple API и встроенными интерпретаторами. Приложение не может устанавливать или запускать другой запускаемый код, в том числе использовать архитектуру с дополнениями (plug-in), вызывать сторонние программные интерфейсы и другие подобные подсистемы».

Подобные ограничения осложняют жизнь не только вирусописателям, они ставят под фактический запрет существование таких приложений как Firefox, Opera, многих игр, IM-клиентов и массы другого полезного софта, который мог бы пользоваться популярностью на iPhone и расширить возможности использования устройства.

Полностью читать http://www.viruslist.com/ru/analysis...=204007605#l52