Умные мобильные мошенники

Эволюция вирусных угроз для смартфонов копирует эволюцию обычных вредоносных программ, но более быстрыми темпами. По оценкам экспертов, только количество SMS­троянцев за последние пять лет выросло в 670 раз. «Ъ­Телеком» попытался разобраться в том, как развивались в России мобильные вирусные угрозы, в чем достоинства и недостатки инструментов безопасности основных мобильных операционных систем и как их разработчики техническими средствами борются с проблемой человеческой глупости.

Зловредная эволюция

Большинство владельцев смартфонов даже не задумываются о том, что «продвинутые» мобильные устройства уязвимы для вирусов не менее, а скорее даже более, чем стационарные компьютеры. Этим активно пользуются мошенники для получения нелегального дохода, причем в авангарде мобильной киберпреступности находятся именно российские вирусописатели: простота и анонимность получения так называемых коротких номеров в России позволяют использовать их в мошеннических целях, отмечает ведущий вирусный аналитик «Лаборатории Касперского» Денис Масленников. Один из способов злонамеренного использования коротких номеров — создание SMS­троянцев, то есть вредоносных программ, которые отправляют короткие сообщения на платные номера. Способ оказался очень востребован в России: если в 2006 году было зафиксировано всего три SMS­трояна, то по состоянию на октябрь 2011 года их число выросло в 670 раз  — до 2006. «Рост идет достаточно бурно, и, думаю, к концу года эта цифра еще увеличится», — отмечает эксперт.

Первый SMS­троянец был зафиксирован в России в 2006 году. Вирус RedBrowser маскировал себя под бесплатный браузер, позволявший серфить по интернету с помощью специальных автоматических сообщений, которые высылались программой на сервисный номер. На самом деле такой телефон рассылал обычные платные сообщения стоимостью $5.Годом позже появились специальные SMS­троянцы для смартфонов, в частности Viver, созданный под ОС Symbian и маскировавший себя под фоторедактор. В 2008 году появился первый троянец, заражавший ОС WindowsMobile, — он назывался Redoc и маскировался под фото­ или видеоприложение. В 2009 году хакеры взяли новую вершину: SMS­троянец под Symbian S60 3rd edition впервые был подписан легальным цифровым сертификатом. Некоторую пикантность ситуации придавал тот факт, что, по словам специалистов, создатели вредоносной программы просто выполнили рекомендации статьи из журнала «Хакер», в которой полностью описывался процесс создания SMS­троянца под ОС Symbian. 2010 год стал годом появления первого настоящего SMS­трояна для смартфонов под управлением ОС Android , который выдавал себя за легитимное приложение, позволяющее посмотреть порнографические материалы. В 2011 году началось активное распространение троянцев в SMS­спаме: текст сообщения содержал предложение перейти по ссылке и получить MMS­подарок от некой «Кати». Подарком, естественно, оказывался счет за бесконтрольно отправленные SMS.

Вред трех видов

По мнению менеджера по продукту в российском представительстве HTC (производит смартфоны под ОС Android) Евгения Павлова, мобильные угрозы для смартфонов можно разделить на несколько типов исходя из наносимого вреда. Наиболее заметны попытки нанесения материального ущерба:у пользователя списывают со счета, то есть фактически крадут деньги. В рамках второго варианта происходит утечка персональных данных пользователя: мошенники получают доступ к личным фотографиям, журналу звонков, личной переписке жертвы. Третий тип предусматривает использование устройства пользователя для вирусной атаки на другие устройства.

Мошенникам интереснее всего, конечно, кража денежных средств. По оценкам экспертов «Лаборатории Касперского», в России жертвы киберпреступников, использующих только SMS­троянцев, каждый месяц суммарно теряют как минимум 30 млн рублей. Злоумышленники используют для распространения ловушек различные площадки и особенно активно  — базы приложений, из которых пользователь может скачать игры, программы для обработки фотографий и другие приложения для смартфона. Сейчас, считает Евгений Павлов, вероятность поражения смартфона вредоносной программой увеличивает мода на вмешательство пользователя в корневые программы. Производители смартфонов и софта всегда ограничивали доступ пользователей к root — самому глубокому слою, который позволяет управлять работой всей системы и настраивать ее полностью по своему усмотрению. Сейчас борьба за право самостоятельно определять конфигурацию системы и дополнять ее сторонними программами и приложениями охватывает все более широкие слои владельцев смартфонов. «Считается, что пользователь купил телефон и полностью им распоряжается, самостоятельно неся ответственность за его безопасность. Пользователи настояли, и мы пошли им навстречу: в будущих устройствах HTC возможно будет получить доступ к root. Но не стоит забывать, что если на устройство проникнет вредоносная программа, владельцем телефона будет уже не пользователь, а создатель вредоносного кода», — подчеркивает господин Павлов. Правда, по статистике, владельцев смартфонов, действительно вторгающихся в root, порядка шести­семи процентов. Основная масса клиентов использует коммуникатор в привычных целях: «интернет, звонки, SMS».

Дело техники

По мнению экспертов, чаще всего мошенники достигают целей именно за счет человеческого фактора: пользователь сам проходит по сомнительной ссылке, скачивает подозрительную программу и открывает доступ к своим персональным данным. Разные разработчики по­разному подходят к тому, как лучше защитить пользователя от происков злоумышленников и от собственной некомпетентности.

Чаще всего противопоставляются подходы Apple и Google. По словам эксперта по технологиям Apple и мобильным платформам, руководителя студии разработчиков программ для смартфонов Unreal Mojo Алекса Пацая, компания Apple сначала запрещает пользователям почти все серьезные операции с системой, а затем, с выходом новых операционных систем, постепенно открывает отдельные компоненты. «У Google подход обратный: они сначала все откроют, а потом, если начинаются проблемы, начинают понемногу затягивать гайки. Самый яркий пример — это сравнение Appstore у Apple и Android Market у Google», — говорит эксперт. Android Market предоставляет разработчику возможность оперативно создать программу и выложить ее в базу, при этом все желающие ее использовать осознают связанный с этим риск. «Конечно, система спроектирована так, что предупредит пользователя о том, что устанавливаемая программа хочет получить доступ к SMS, журналу звонков, интернету и так далее, и хотя это действительно бывает нужным программе для работы, на этом этапе пользователя могут обмануть. Поэтому пользователю нужно обращать внимание на то, надежен ли создатель программы», — отмечает Евгений Павлов.

В отличие от Google, Apple очень тщательно проверяет все приложения, которые попадают в Appstore. Это создает определенный дискомфорт для разработчиков, которым приходится мириться с тем, что Apple будет утверждать приложение или update к нему не менее семи­восьми дней. «Это, естественно, намного дольше, чем автоматический релиз на Android Market, но в итоге мы приходим к тому, что из более чем 1 млн приложений у Apple нет ни одного зловредного. В то время как из Android Market злоумышленники могут скачать приложение, вставить туда вредоносный код, переподписать новым анонимным именем и загрузить его обратно. В результате сотни приложений в Android Market зловредны и могут удалить данные с карты на телефоне, отправить платные SMS стоимостью 400 рублей и так далее», — рассуждает Алекс Пацай.

Но и у Apple есть узкое место — уязвимость браузера, которая приводит к возможности утечки информации при выходе пользователя на страницу с вредоносной составляющей.

Несколько иной подход у разработчика ОС Windows Mobile и Windows Phone 7 компании Microsoft. Как и Apple, корпорация Microsoft контролирует распространение программного обеспечения через централизованный источник: рассмотрение приложения, которое разработчик хочет поместить в Marketplace, занимает в среднем две недели, приложение анализируют на предмет наличия вредоносного кода, изучают, какие программы оно затрагивает и какую имеет цель. Но, кроме того, у каждой программы для мобильных ОС Windows есть собственная файловая система, и данные одной программы читать с помощью другой невозможно. «Любое действие: фото, отправка SMS, звонок  — все должно пройти подтверждение пользователя, нет способа сделать это программным методом без явного согласия пользователя»,  — говорит руководитель программ информационной безопасности Microsoft в России Андрей Бешков.

Простота хуже воровства

Несмотря на меры, принимаемые создателями смартфонов и ОС для обеспечения безопасности пользователей, злоумышленники продолжают атаковать мобильные устройства и счета на них, играя на человеческом факторе. «Мобильный телефон и смартфон сейчас — это очень личное персональное устройство, и мошенники используют этот факт, чтобы достучаться до умов доверчивых пользователей. Защитить пользователей непросто, так как проблема комплексная», — отмечает руководитель департамента информационной безопасности «ВымпелКом» Дмитрий Устюжанин. По мнению эксперта, чтобы заставить человека отослать, например, платную SMS, не обязательно подбрасывать вирус. Достаточно создать схему, рассчитанную на реакцию человека: несколько раз подряд нажав «да» в ответ на уточняющие вопросы, пользователь автоматически нажимает «да» и тогда, когда приложение запрашивает отправку SMS. «Никакого вредоносного кода загружено не было, с пользователем таким образом просто «пообщались». Кто­то теряет тысячу, а кто­то 150 – 300 рублей и даже не обращается в правоохранительные органы, что затрудняет пресечение мошеннической деятельности злоумышленников», — сетует эксперт. Кроме того, мошенники могут с помощью SMS отправить пользователю ссылку на какой­то вредоносный код, и часто человек, не задумываясь, открывает эту ссылку и мгновенно и загружает зловредную программу, добавляет Евгений Павлов.

Большинство зловредов — около 56% от общего числа dct[ вредоносных программ для мобильных устройств — было создано для Android. Следом идет J2ME — 32%; затем Symbian — 9%, замыкает четверку Windows Mobile — 2%. На остальные платформы приходится около 1%. «Популярность» Android среди злоумышленников объясняется тем, что на сегодняшний день это самая популярная операционная система для мобильных устройств. Учитывая тот факт, что рост продолжается, тенденция увеличения числа вредоносных программ для Android также сохранится», — говорит Денис Масленников.

Знание — сила

Избежать подобных ситуаций поможет внимание к скачиваемому контенту, подозрительным ссылкам и SMS с коротких номеров. «Не стоит забывать, что любые преступления можно пресекать двумя способами. И в первую очередь профилактикой: надо обучать пользователя не «тыкать» на все подряд, не проходить по сомнительным ссылкам», — подчеркивает Андрей Бешков. «С нашей стороны мы предоставляем в аналитических материалах как можно более полную информацию о различного рода угрозах. Если пользователь знает, прочитал или услышал об этом, то в следующий раз он не пройдет по ссылке, не будет скачивать приложение»,  — добавляет Денис Масленников. Еще одна проблема заключается в том, что в России более 90% мобильных устройств — это обычные мобильные телефоны, на которые невозможно установить антивирусную защиту. Один из вариантов  — скачать приложение на компьютер и проверить его обычным антивирусным решением», — предлагает Денис Масленников.

Представитель Microsoft Россия считает действенным способом борьбы с мобильными угрозами сотрудничество и пользователей, и участников рынка с правоохранительными органами. «Сейчас тактика преступников — воровать понемногу, но с большого количества устройств. Большинство пользователей не заморачивается тем, чтобы писать куда­то жалобы из­за платной SMS, и мошенническая система продолжает функционировать. Если мы будем сотрудничать с государством и правоохранительными органами, мы эту схему до конца не победим, но существенно затрудним мошенникам преступную деятельность, и часть из них уйдет», — считает Андрей Бешков.

Также эксперты предлагают активней использовать административные и технические инструменты. Например, «Вымпелком» ввел систему штрафов для партнеров, которые не борются с мошенниками в своей подсети, отказался от бесплатных ночных тарифов, которые снижали до минимума расходы мошенников на доступ к пользователям, и взялся выявлять и отключать явные потоки спама, когда с одного номера производится рассылка одновременно тысяч одинаковых SMS на множество номеров. Операторам было бы логично бороться с мобильными мошенничествами, собирая в единую базу информацию о признаках вредоносного кода, передавая ее разработчикам платформы, а от него уже — разным производителям, добавляет Евгений Павлов. Операторы способны также анализировать трафик мобильных устройств и блокировать его при появлении строчки вредоносного кода.

Анна Павлова