В наше время информация является одним из самых дорогих продуктов. Много ли информации вы храните на своем мобильном телефоне? Кто-то скажет: без мобильника как без рук. Но в один прекрасный день ваш телефон может перестать вас слушаться. Например, мобильник может начать самостоятельно удалять записи из персональной телефонной книжки и добавлять свои, транжирить деньги на вашем счете, запоминать набранные вами номера и пароли телефонных карточек и пересылать их кому-то, вызывать каждые 15 минут службы спасения или набирать телефон ближайшей психиатрической больницы… А все потому, что ваш аппарат стал жертвой вируса.

О вирусной атаке, грозящей мобильникам, стали поговаривать в конце 1990-х. Тогда на рынок начали выходить первые смартфоны — телефоны с операционной системой. Именно ОС (операционная система) становится той дверцей, через которую вирус проникает на терминал (например, в виде сторонней программы) и заражает другие приложения, а также предпринимает попытки к саморазмножению. Всем этим условиям в достаточной мере соответствуют как Symbian, так и конкурирующие платформы — Palm OS, Pocket PC.

Разрушительные действия, которые совершают электронные вирусы в «продвинутых» мобильных телефонах, мало чем отличаются от тех, что происходят в обычных ОС. Ведь в конечном счете смартфоны и коммуникаторы — те же компьютеры, но меньших размеров. Хотя, естественно, существуют технологические нюансы — например, используемые каналы передачи данных. В случае с телефонами это SMS, MMS, Bluetooth, тогда как «обычные» компьютерные вирусы, как правило, распространяются по электронной почте, с помощью зараженных кодов web-страниц или специальных файлов.

Оказавшись в телефоне, мобильный «червь» теоретически сможет присвоить полномочия пользователя и отправлять свой код, к примеру, в виде MMS другим абонентам, чьи контакты есть в адресной книге. Разумеется, за исходящие сообщения платить придется владельцу. А теперь представьте, во сколько обойдется рассылка нескольких тысяч мультимедийных посланий.

Первая запись в истории развития мобильных вирусов была оставлена в самом конце XX века, точнее, в июне 2000 года. В Испании тогда появилось некое подобие вирусообразной программы для мобильных аппаратов. Концепт носил имя Timofonica (приставка timo- в переводе обозначает «мошенничество», «надувательство»), что по звучанию напоминало название крупнейшего пиренейского телекоммуникационного гиганта Telefonica. Вирус использовал весьма оригинальный способ подпортить жизнь владельцам мобильных телефонов: заражая компьютеры ничего не подозревающих людей, он посылал с них SMS-сообщения на телефоны местного GSM-оператора MoviStar, содержавшие одну строку на испанском языке: «Информация для вас: Telefonica вас надувает!» Российских пользователей, по понятным причинам, подобное SMS-хулиганство не затронуло. Да и вообще назвать Timofonica типично мобильным вирусом не поворачивается язык, ведь он располагался на компьютере, то есть всецело использовал его ресурсы и распространялся по электронной почте, благодаря которой и рассылал сообщения, а собственно на мобильники вредного воздействия не оказывал.

В августе того же года забеспокоились абоненты японского оператора NTT DoCoMo. Их мобильники, оснащенные поддержкой сервиса i-mode, вдруг стали странно вести себя. Во время типичного on-line-голосования при помощи wap-сервиса, при ответе на один из вопросов трубки участвующих в викторине владельцев начали соединяться с номером местного отделения полиции, что привело к перегрузке служб более чем четырьмя сотнями загадочных звонков. В ходе расследования выяснилось, что в телефоны абонентов NTT DoCoMo, поддерживающие i-mode, оператором был вшит так называемый backdoor, разрешающий несанкционированный доступ к аппарату. Инцидент был замят, но после него-то и поползли слухи о беспощадных мобильных вирусах. Что ж, давайте поближе познакомимся с теми из них, кто действительно может претендовать на звание более или менее серьезной заразы.

Вирус, появившийся на свет в июне 2004 года, размножается на аппаратах под управлением операционной системы Symbian OS и распространяется только посредством Bluetooth-соединения. Сразу после попадания на чей-либо смартфон начинает постоянно сканировать эфир с целью поиска все новых и новых жертв.

Помимо банального самовоспроизведения никакой опасности для смартфонов Cabir не представляет, кроме разве что ускоренного разряда батареи из-за активного использования Bluetooth. Обнаружив потенциального «клиента», зараженное устройство отправляет ему файл caribe.sis объемом 15 Кб. Для жертвы это выглядит так: на экране появляется предложение принять некое письмо, и, если пользователь дает согласие, на его телефон пересылается файл с вирусом, после чего система спрашивает разрешения инсталлировать программу под названием Caribe. Если и на этот вопрос следует утвердительный ответ, червь устанавливается в систему, для верности копируя себя сразу в несколько директорий.

Автор мобильного червя Cabir — некто под псевдонимом Valiez, являющийся членом международной группировки 29А, которая специализируется на создании концептуальных программ-разрушителей. Ранее она прославилась такими компьютерными вирусами, как Сар (первый макровирус, вызвавший глобальную эпидемию), Stream (вирус для дополнительных потоков NTFS), Donut (первый вирус для платформы. NET), Rugrat (первый вирус для Win 64) и др. Главной жертвой программы являются аппараты под управлением Symbian OS, на которой, как известно, работают смартфоны и коммуникаторы Nokia, Sony Ericsson и Siemens. Но не исключено, что Cabir может обосноваться и в моделях других производителей.

Способ борьбы с Cabir очевиден — не устанавливайте на свой смартфон непонятно какую программу, пришедшую непонятно от кого.

Появился в первой половине 2005 года и способен атаковать аппараты под управлением Symbian Series 60, то есть главным образом смартфоны Nokia и ее лицензиатов. Предположительно разработан российскими хакерами, так как в своем коде имеет фразу «Отморозкам — нет!».

При заражении предлагает инсталлировать себя, маскируясь под какую-нибудь программу: утилиту-менеджера виртуального рабочего стола, программу для просмотра порнокартинок и даже антивирус. Распространяется по Bluetooth или MMS. Первый механизм распространения, реализованный в Commwarrior, существенно отличается от такового у Cabir. Cabir заражает лишь один телефон из всех доступных, и переключение на другое устройство происходит, только когда заражаемый телефон покинет территорию видимости или заблокируется владельцем.

Commwarrior стремится заразить все телефоны, находящиеся в зоне досягаемости, так что распространяется он гораздо быстрее. Второй способ размножения заключается в рассылке своей копии всем абонентам из телефонной книги посредством MMS. Страшно подумать, на какую сумму можно залететь, если в списке контактов находится, скажем, сотня номеров.

Первенец среди вирусов для смартфонов и КПК, построенных на платформах Windows Mobile. Был обнаружен «Лабораторией Касперского» в октябре 2004 года. Вирус в виде файла размером 1520 байт может попасть на мобильное устройство по любым каналам связи с внешним миром: электронной почте, Интернету, при синхронизации с ПК, через сменные карты памяти или по беспроводной связи Bluetooth. Проникнув в систему, Duts выводит на экран следующий текст: «Dear User, am I allowed to spread?» («Дорогой пользователь, вы позволите мне размножиться?») Те болезненно любопытные представители человечества, у которых хватит ума ответить «да» на этот запрос, установят вирус на свой мобильный телефон. При таком раскладе Duts внедряется в подходящие по формату и размеру (более 4 Кб) исполняемые файлы в корневой директории устройства. В процессе заражения вирус дописывает себя в конец целевого файла, используя одно из его неупотребительных полей для собственной пометки во избежание повторного инфицирования. Каких-либо деструктивных функций вирус не имеет. Происхождение у Duts то же, что и у Cabir, — его написал некто Ratter из уже известной нам группы 29А.

Типичный червь, поражающий сотовые телефоны, работающие под управлением Symbian Series 60. Обнаружен антивирусной компанией F-Secure в январе 2005 года. Распространяется двумя способами: посредством уже опробованной для этих целей Bluetooth-связи и через исполняемые файлы. Заметим, что второй способ в мобильных телефонах встречается впервые: происходит инфицирование установленных на телефоне SIS-файлов, добавление в их конец строчки velasco.sis (размер порядка 12 Кб) и модификация заголовков. Установка зараженного SIS-приложения приведет к его автоматическому запуску, однако, как и прежде, у пользователя будет запрошено подтверждение на установку вируса. Если червь получит разрешение, то его исполняемые файлы сначала будут скопированы в одни папки, а после запуска паразита скопируются и в другие. Такие сложные манипуляции позволяют Lasco заражать телефон, даже если программа устанавливается на съемную карту памяти. Кроме того, благодаря этому трюку пользователь не может уничтожить вирус, выполнив uninstall SIS-файла зараженной программы. Основное действие Lasco — саморазмножение. Автор вируса — бразильский программист Маркос Веласко.

По сути, это просто слегка доработанная версия червя Cabir, которая, в отличие от него, может распространяться еще и в MMS-сообщениях. Новая функция реализована интересным образом: червь рассылает себя не по всем номерам из телефонной книги, а только в ответ на входящее SMS- или MMS-сообщение, причем ответное послание не содержит ничего, кроме вредоносного файла info.sis. Если телефон вашего знакомого заражен вирусом, то, отправив ему любое сообщение, в ответ вы получите подарочек в виде паразита Mabir.

Первое упоминание о нем датируется январем 2005 года. Распространяется в виде файла с расширением. SIS, маскируясь под «кряк» приложения FSCaller (программное обеспечение компании Symbianware, из чего можно сделать вывод о списке потенциальных жертв). При попадании на телефон блокирует некоторые системные приложения и модули файлового менеджера, а также заражает устройство несколькими вариантами червя Cabir. Удалить его самостоятельно не получится, даже если вы знаете, какой именно файл инфицирован. Дело в том, что сразу после попадания на телефон жертвы Dampig изменяет информацию в системной программе установки, благодаря чему и не может быть деинсталлирован вручную.

Троян замаскирован под файл с расширением .SIS, якобы содержащий взломанную версию игры Doom 2 для смартфонов под управлением Symbian. Появился в начале июля сего года. Распространяться самостоятельно не способен и может попасть на мобильное устройство только в том случае, если пользователь загрузит его через Интернет. После запуска записывает в память смартфона поврежденные системные файлы и устанавливает другой вирус — Commwarrior.

Червь Commwarrior в свою очередь пытается разослать собственные копии в теле сообщений MMS, а также через беспроводную связь Bluetooth, что приводит к быстрому разряду аккумуляторов. Следует отметить, что Doomboot не создает новые иконки и скрывает свое имя в списке работающих процессов, из-за чего пользователь может сразу и не заметить его присутствия. Однако перезагрузка инфицированного аппарата может привести к полной утере персональной информации, в том числе содержимого адресной книги и мультимедийных файлов.

Чтобы избавиться отэтой вредоносной программы, необходимо вручную найти и удалить файл Doom_2_wad_cracked_by_DFT_ S60_vl.0.sis, а затем за грузить антивирусное программное обеспечение для деинсталляции Commwarrior. Причем сделать это нужно как можно быстрее, поскольку после разрядки аккумулятора телефон может больше не запуститься.

В результате владелец должен будет произвести форматирование, лишившись при этом всех своих персональных данных.

Обнаружен в конце марта 2005 года, и снова угрозе оказалась подвержена платформа Symbian. При заражении начинает отсылать на адрес компании F-Secure сообщения следующего содержания: «F-Secure must die!!! Please, don’t make new antiviruses for my viruses and I stop make viruses for your antiviruses; My target is Simworks» («F-Secure должна умереть!!! Пожалуйста, не делайте новые антивирусы против моих вирусов, и тогда я перестану писать вирусы против ваших антивирусов; Моя цель — это Simworks»). То есть фактически Drever опасен лишь потерей некоторой суммы денег, снятых со счета абонента за ненужные сообщения. Проникает на телефон под видом обновленной версии антивируса. Устойчив ко всем распространенным системам защиты — от F-Secure и SimWorks до «Касперского» включительно. В последних релизах мобильных антивирусов эта дыра в безопасности уже устранена.

Новый троян для смартфонов под управлением Symbian. Вычислен специалистами антивирусной компании SimWorks. Программа с красноречивым названием, говорящем о ее русских корнях, весит всего 2 Кб и является самым маленьким и разрушительным трояном для смартфонов. Методика распространения аналогична вирусу Cabir. Файл с расширением .SIS маскируется под новую прошивку для операционной системы. При заражении блокирует функции коммуникатора, отвечающие за прием и передачу голосовых вызовов. Завершив инициализацию, рассылает себя на все устройства в зоне действия Bluetooth, после чего те умолкают.

Замечен в марте 2005 года компанией F-Secure и угрожает смартфонам на уже хорошо знакомой нам платформе Symbian Series 60. Распространяется, маскируясь под патч для обновления системного компонента. После запуска уничтожает системный компонент, вследствие чего ни одно приложение не может быть запущено. Далее Locknut начинает противоречить сам себе. Сначала он устанавливает на смартфон червя Cabir, а затем… удаляет все программы, в том числе и недавно инсталлированный вирус. Однако противоречие тут только кажущееся: на самом деле Cabir не удаляется, а лишь перемещается в «неправильную» папку. И если Locknut все же уничтожается антивирусными приложениями, то Cabir порой удается выжить в своем «подполье».

Появился в середине июля 2005 года. Опасен в первую очередь для телефонов на базе Symbian. Маскируется под взломанное коммерческое программное обеспечение. Методика размножения весьма изощренная: как только пользователь закачивает на свой смартфон файл, начинает работать деструктивная программа Onehop, нейтрализующая деятельность аппарата, — при любом нажатии клавиш телефон просто перезагружается. Кроме того, используя протокол Bluetooth, вирус отсылает на другой телефон свою копию, которая, установившись там, распространяет другого паразита — Bootton. Он тоже перезагружает аппарат, но передаваться по Bluetooth не способен.

Впервые обнаружен в августе 2005-го. Поражает смартфоны под управлением Symbian и представляет собой SIS-файл. Попадает на телефон под видом полезной программы. Вирус Blankfont уродует, а иногда и удаляет все шрифты, существующие в телефоне, а вместе с ними и всю «читабельную» информацию, в том числе пользовательские тексты интерфейса. Однако, что самое интересное, вопреки всему телефон остается вполне работоспособным. Нейтрализуется последними версиями антивирусных программ.

Датирован концом февраля 2006 года. Атакует телефоны с поддержкой Java. «Важно то, что этот троянский вирус может попасть на любой девайс, использующий J2ME, — сказал Шейн Кореей, старший технический аналитик „Лаборатории Касперского“. — Масса мобильников используют Java для игр и других программ». Сначала Redbrowser появляется как текстовое послание с присоединенным файлом, заявляя, что это новый браузер, который может просматривать WAP-сайты без подключения. На самом же деле «браузер» оказывается троянцем, который рассылает текстовые послания по различным телефонным номерам, стоимостью от 5 до 6 долларов за сообщение. Пока что «Лаборатория Касперского» не смогла найти виновников такой атаки, но они собираются докопаться до сути. Владельцы российских междугородных телефонных линий могут сильно выиграть от такого вируса, однако пока нет никаких доказательств, что они к этому как-то причастны. Хотя вирусу еще далеко до глобальной угрозы, он обитает лишь в некоторых регионах России, однако это серьезное вторжение хакеров в мир мобильных телефонов.

Да-да, вы не ошиблись: именно такое имя носит компьютерно-мобильный вирус, появившийся в преддверии июня 2006 года, причем за несколько дней он успел поразить множество мобильных телефонов. Он распространяется через Bluetooth и после заражения вызывает появление следующего послания: «Получить сообщение через Bluetooth от Кода да Винчи?» Как только любопытный пользователь принимает сообщение, вирус попадает в систему и уничтожает данные телефона, а на экране мобильника (ноутбука) в это время появляется изображение глаза и креста. Если телефон заражен, единственный выход — форматирование; восстановить данные не получится. Правда, сейчас некоторыми специалистами высказывается мнение, что этот вирус был всего лишь «уткой».

Подведем предварительный итог. По мере усложнения мобильных устройств опасность их поражения растет. По прогнозам Евгения Касперского, «вирусная активность отличается параболическим характером развития: после этапа „разогрева“ (в случае с мобильными телефонами он наверняка будет гораздо короче, чем в свое время с компьютерами) количество вредоносных программ растет очень быстро».

Возможно, уже через пару лет людям будет трудно пользоваться мобильниками без специального антивирусного программного обеспечения и средств персональной защиты от взлома хакеров. Поэтому в ближайшие годы сотовым компаниям придется всерьез заниматься антивирусной защитой выпускаемых устройств. Не исключено, что иммунитет от вредоносных программ станет конкурентным преимуществом, насущной необходимостью. В противном случае сети будут приносить абонентам не столько полезную информацию, сколько программы-разрушители.

Потому уже сейчас почти у каждого крупного антивирусного вендора есть системы защиты для мобильных устройств. Они рассчитаны на любые устройства, работающие на указанных платформах (Symbian, Palm, Pocket PC), — не имеет значения, смартфон это или мини-компьютер. Аналогичные проблемы на своем уровне придется решать и операторам. Забавно, что верным средством от нашествия вирусов окажется использование самых примитивных сотовых трубок. Но вряд ли они будут предназначены для сетей связи следующего поколения.