Долгое время ОС Symbian занимала лидирующие позиции на рынке смартфонов. Как, впрочем, и компания Nokia. К сожалению, доминирующее положение этой платформы не могло остаться без внимания вирусописателей.
Первые вредоносные программы для Symbian, что естественно, были пробными шагами. Их создатели до поры до времени не ставили перед собой задачу извлечения какой-либо выгоды.
Постепенно количество вредоносных программ увеличивалось, а их функционал становился все более разнообразным. В конце концов в развитии вирусов для ОС Symbian наступил этап, когда появление новых вредоносных программ было продиктовано в большей степени экономическими соображениями. На смену троянцам-вандалам и относительно безобидным червям пришли СМС-троянцы, многофункциональные черви, способные шпионить за пользователями, коммерческие программы-шпионы и многое другое.
Cabir
В 2004 году появился первый червь для ОС Symbian — Symbian.Cabir (также известный под именем Caribe), распространявшийся между смартфонами через Bluetooth и поражавший устройства, работающие на платформе S60. Cabir отправлял свою копию с именем caribe.sis на первое найденное устройство с доступным Bluetooth-соединением.
Чтобы червь мог попасть на устройство, пользователь должен был подтвердить установку программы.
Кроме самого факта распространения и заражения смартфонов, Cabir не содержал каких-либо опасных функций. Побочным эффектом от его работы могла стать более быстрая разрядка аккумулятора из-за повышенной активности Bluetooth.
Symbian.Cabir был создан злоумышленниками в качестве демонстрации (proof-of-concept, PoC) возможности написания для ОС Symbian вредоносной программы с таким функционалом.
Череп и кости
В том же году был обнаружен куда менее безобидный вирус. Symbian.Skulls можно было подхватить в Интернете под видом полезного приложения (эта схема распространения популярна и сегодня, причем уже для других платформ). Он использовал уязвимость Symbian, позволяющую заменять важные системные файлы. Кроме того, Skulls менял стандартные системные иконки на иконки с изображением Веселого Роджера. В результате смартфон лишался практически всех своих функциональных возможностей.
Позднее появились версии троянца, при создании которых использовался ставший ранее доступным исходный код червя Cabir. Еще одна вредоносная программа, при создании которой мог применяться код Cabir, — Symbian.Lasco. Помимо распространения через Bluetooth, этот червь обладал возможностью своего внедрения в установочные пакеты ОС Symbian (файлы формата sis). Таким образом, при установке этих пакетов на других смартфонах пользователь также мог получить «подарок» в виде Symbian.Lasco.
Исходный код Cabir мог быть использован в другой вредоносной программе — черве Symbian.Mabir. Помимо распространения через Bluetooth, Mabir предпринимал попытки попасть на другие устройства с помощью MMS-сообщений.
Однако Mabir — не первый вирус для ОС Symbian, который использовал для своего распространения сообщения MMS. Этот способ, наряду со ставшим уже привычным распространением через Bluetooth, первым взял на вооружение червь Symbian.Commwar.
Symbian.Commwar сканировал телефонную книгу смартфона и производил попытку отправки мультимедийных сообщений со своей копией на найденные номера.
В коде червя можно встретить следующие строки:
Вандализм и противодействие антивирусам
Бывает так, что не только антивирусы противостоят вредоносным программам, но и наоборот. Для мобильных платформ такое встречается нечасто, однако…
Symbian.Drever — семейство троянцев для ОС Symbian, которые нарушают работу некоторых антивирусных продуктов, работающих на данной системе. Попадая на устройство, они перезаписывали важные компоненты, которые были необходимы для корректной работы антивирусов.
Symbian.Fontal — еще одно семейство троянцев-вандалов, насчитывающих несколько модификаций. После установки эти троянцы перезаписывали файл системного шрифта поврежденной копией. Некоторые модификации также выводили из строя отдельные приложения, включая системный менеджер приложений (Application Manager), отвечающий за установку и удаление программ, после чего пользователь уже не мог удалять установленные программы стандартными средствами.
Еще одним троянцем, который затруднял использование смартфона, был Symbian.Blackfont. Устанавливаясь, он перезаписывал файл системного шрифта нефункциональной копией. После перезагрузки устройства все тексты в системе больше не могли быть отображены корректно, что сильно ограничивало нормальную работу с устройством.
Более опасный троянец, Symbian.CardBlock, распространялся под видом взломанной версии программы InstantSis, позволяющей обмениваться установленными приложениями между смартфонами.
После активации троянец удалял важные системные каталоги, после чего становились недоступными установленные приложения, а также контакты и сообщения пользователя.
Гремучая смесь
Особенностью первых вредоносных программ для ОС Symbian было существование своеобразного «винегрета» из различных семейств. Например, в самом простом случае одна из модификаций Symbain.Skulls могла устанавливать в систему Symbian.Cabir.
Symbian.Skudo пошел дальше. Этот троянец инсталлировал в систему сразу несколько вредоносных программ: Symbian.Cabir, Symbian.Hidemenu, Symbian.Commwar, Symbian.Skulls и Symbian.Doomboot. Последствия этого, как нетрудно догадаться, были далеко не самые приятные.
Покупайте наших слонов
Не секрет, что проблема пиратства затрагивает и софт для мобильных устройств. Однако не стоит забывать, что бесплатный сыр бывает только в мышеловке.
Пользователи смартфонов на базе Symbian в 2004 году встретились с угрозой троянской программы Symbian.Mosquit.1, которая содержалась в игре Mosquito. Эта игра распространялась на различных сайтах и файлообменниках и позиционировалась как взломанная бесплатная версия.
Троянец отправлял дорогостоящие СМС, нанося материальный ущерб пользователю.
От экспериментов к прямой выгоде
Как и в ситуации с вредоносными программами для компьютеров, вирусы в ОС Symbian в начале развития были своего рода экспериментом и по большей части хулиганскими выходками их создателей. Однако постепенно при создании новых вредоносных программ упор все чаще делался на экономическую выгоду от их использования.
Symbian.Viver — одна из таких троянских программ. Она считается первой вредоносной программой этого типа, созданной для ОС Symbian. Как и многие другие вредоносные программы, Viver распространялся под видом полезной утилиты на одном из популярных сайтов. СМС-троянцы семейства Symbian.SMSSend также осуществляют отправку дорогостоящих СМС-сообщений на короткие номера, причиняя материальный вред владельцам смартфонов.
Угрозу для смартфонов с ОС Symbian представляют также СМС-троянцы семейства Symbian.PythonSms. Благодаря появлению версии интерпретатора скриптового языка Python для системы Symbian в арсенал злоумышленников добавился еще один инструмент для обогащения. В антивирусных базах Dr.Web содержатся записи для почти двух десятков таких троянцев.
Китайские драконы
Вирусописатели из Китая — одни из самых активных в мире — не обошли стороной и мобильные платформы. Создаваемые ими образцы вредоносного ПО зачастую обладают большими возможностями и, что немаловажно, очень интересны. Самые заметные вирусы для ОС Symbian, которые появились сравнительно недавно, — семейство червей Symbian.Yxe и Symbian.Megoro.
Черви Symbian.Yxe обладают действующими цифровыми подписями, что позволяет им без лишних проблем попадать на устройства пользователей (в девятой версии ОС Symbian была введена обязательная система сертификации приложений, которым требуется доступ к важным функциям и данным).
Черви распространялись в установочных файлах sisx с именами, которые должны были заинтересовать многих пользователей (например, sexy.sisx, beauty.sisx, beauty_new.sisx).
В настоящий момент в вирусных базах Dr.Web содержится семь записей для червей данного семейства. Некоторые из модификаций могут детектироваться как Symbian.Siggen.107.
Как и Yxe, черви Symbian.Megoro имеют действительный сертификат и распространяются путем рассылки сообщений, содержащих ссылку на свою копию.
Банковский троянец Symbian.Panda
Вредоносная программа ZeuS (по классификации Dr.Web — Trojan.PWS.Panda) — широко распространенный и известный похититель реквизитов от банковских интернет-сервисов и электронных платежных систем, работающий в ОС Windows. Увеличивающаяся роль мобильных устройств в электронных платежах заставляет злоумышленников все чаще обращать внимание на этот факт и придумывать новые способы достижения своих целей.
На компьютере жертвы одна из версий Trojan.PWS.Panda обманным путем заставляла пользователя ввести номер своего мобильного телефона и модель мобильного устройства. Затем на этот номер приходило СМС-сообщение якобы от банка, содержащее ссылку и предлагающее пользователю скачать обновленный сертификат безопасности. В случае с устройством на базе ОС Symbian ссылка вела на файл cert.sisx. Если пользователь верил и скачивал этот «сертификат», то на устройство устанавливался троянец, который начинал контролировать все входящие СМС.