В марте 2011 г. начались массовые атаки на пользователей смартфонов под управлением Android, мое отношение к данной проблеме изменилось. Согласитесь, то, что 200 тыс. устройств, зараженные вирусом через приложение легально приобретенное их владельцем на Android.Market, -- это поводом задуматься над новой угрозой безопасности.
Экскурс в историю
Отдельные вирусы для мобильных платформ известны еще с 2004 г. Тогда был выявлен первый подобный инцидент -- инфицирование платформы Symbian червем под названием Cabir. Тот вирус был практически безвреден – он лишь рассылал сам себя по Bluetooth, расходуя тем самым заряд аккумулятора устройства. Однако сама возможность заражения мобильных устройств была доказана.
Впоследствии вирусы появлялись и для других платформ, но, как правило, опасность их сводилась к нулю с появлением более свежей версии конкретной ОС. Так было и с достаточно многочисленными вирусами для старых версий Symbian до тех пор, пока разработчики не ввели практику подписи мобильного ПО сертификатами. Так было и с единичными зловредами для Windows Mobile, которые теряли свою актуальность с выходом каждой свежей версии ОС.
Очевидный всплеск мобильных угроз произошел не так давно. Его можно отнести к тому моменту, когда функциональность смартфонов практически сравнялись с таковой у ПК. Выход в Интернет, работа с почтой, общение в соцсетях, мобильный банкинг -- как только эти лакомые для вирусописателей функции прочно утвердились в мобильных устройствах, последние стали очень удобной мишенью для злоумышленников. Почему удобной? А потому, что мало кто из владельцев таких устройств задумываются о собственной безопасности, хотя и имеются антивирусные средства для смартфонов.
Чем грозит беспечность?
Современные вирусы для мобильных платформ – это не шутки, а средства наживы для вирусописателей. Так же как и в случае атак на десктопные ОС, целью злоумышленников становится та информация, которую можно продать или использовать для обогащения: личные данные владельца телефона, идентификационные данные устройства и т.д.
Вирусописатели действуют по определенным схемам. Можно выделить несколько основных направлений развития мобильных угроз.
- Кража конфиденциальных данных. Вирусы, проникающие в телефон, собирают такие сведения, как контакты пользователя, пароли от браузера, параметры учетных записей, например, Google или AppStore. Полученная информация отправляется на сервер злоумышленников, где используется для дальнейших противоправных действий. Один из самых серьезных вирусов такого плана — Android.Geinimi. Попадая в систему, он определяет местоположение смартфона, загружает файлы из Интернета, считывает и записывает закладки браузера, получает доступ к контактам, совершает звонки, отправляет, читает и редактирует SMS-сообщения.
- Отправка платных SMS-сообщений или выполнение звонков на «партнерский номер» без ведома владельца. При этом за отправку сообщения или звонок списывается серьезная сумма с лицевого счета владельца устройства. Разумеется, деньги попадают в руки злоумышленников. Из самых известных подобных угроз можно назвать Android.SmsSend, а также давно известные RedBrowser и Webster для Java-платформы. Последние удачно маскируются под полезные программы, вызывая тем самым доверие у пользователя. Известны похожие вирусы и для Windows Mobile. Например, один из последних — Trojan.WinCE.Terdial.a, он обещает владельца развлечь 3D-игрой, а на самом деле "веселит" звонками на платные международные номера.
- Мошеннические транзакции с использованием систем интернет-банкинга. В этом случае вирус может либо «открыть» преступникам доступ к мобильному приложению банка или соответствующему мобильному веб-сайту, либо перехватывать SMS-сообщения, передаваемые пользователю от систем интернет-банкинга для усиления аутентификации. Такая опасность, в частности, поджидает и владельцев устройств на платформе Symbian. Известен троян Trojan-Spy.SymbOS.Zbot.a, работающий в связке с популярным вирусом Zbot для обычных ПК. С зараженного этим вирусом компьютера злоумышленники крадут данные для доступа к онлайн-банкингу, а затем выясняют номер мобильника жертвы и высылают сообщение со ссылкой на троян. Если пользователь устанавливает на смартфон предложенную программу, – злоумышленник получает возможность завершать за него банковские операции. Троян будет перехватывать SMS-сообщения с кодами подтверждения от банка и перенаправлять их злоумышленнику.
Кто под угрозой?
Как известно, среди десктопных ОС наиболее подвержены всевозможным атакам представители Windows-семейства. Ситуация с мобильными платформами несколько иная.
На выбор злоумышленниками мобильной платформы влияют два фактора – распространенность ОС и ее открытость. Лидером по обоим критериям эксперты считают ОС Android.
Данные о популярности у пользователей той или иной мобильной ОС для России и мира в целом несколько разнятся. Так, аналитики российских антивирусных компаний отмечают высокую популярность Symbian и Java-платформ, хотя считается, что Symbian уже сдает свои позиции. А вот за рубежом среди лидеров числятся iOS и Blackberry, пока еще не очень распространенные в России. Но по скорости роста популярности Android обгоняет всех.
Именно потому интерес вирусописателей и направлен в большей степени на данную платформу. Способствует этому и ее открытость – написать вирус, замаскировать его под приложение и предложить пользователю не представляет особых сложностей.
Сама корпорация Google не считает ситуацию с постоянным появлением новых вирусов критической. Когда Google обнаруживает заражения, то осуществляет процедуру дистанционного удаления вирусов с телефонов пользователей. Разумеется, они по возможности быстро удаляются и с Android Маркета, а учетные записи авторов инфицированных программ блокируются.
Хотя, конечно, куда эффективнее было бы предотвращать подобные случаи заранее, не давая злоумышленникам таких широких возможностей. Но при том подходе, который Google использует для обновления своей мобильной ОС, ситуация в ближайшее время вряд ли улучшится. Дело в том, что все уязвимости Android, которые используют вирусописатели, находятся на уровне самой ОС. Конечно, Google максимально быстро выпускает заплатки для регулярно обнаруживаемых «дыр». Но вот до пользователей они доходят далеко не сразу, если вообще доходят. Почетная миссия по обновлению ОС возложена на поставщиков устройств, работающих под управлением Android. Механизмов централизованного обновления ОС Google не использует. А пока заплатка дойдет до производителя смартфона, пока он сможет обновить все свои устройства, очень много времени будет просто потеряно. Собственно, и конфиденциальных пользовательский данных -- тоже.
Иначе обстоит дело с коммерческими мобильными ОС. Так, в Microsoft считают, что вероятность появления вирусов для недавно вышедшей Windows Phone 7 практически нулевая. Объясняется это несколькими причинами. Прежде всего Microsoft использует механизмы централизованного обновления ОС из доверенного источника. И ни в коем случае не может возникнуть ситуация, когда исправление критических ошибок в ОС на каких-либо смартфонах останется на усмотрение производителей аппаратных компонентов.
Важна и такая деталь, как отсутствие доступа к файловой системе Windows Phone 7. Добраться до нее нельзя ни со смартфона, ни при подключении устройства к ПК. Это позволяет защищать мобильную ОС от заражения вирусами даже в том случае, если они уже есть на ПК пользователя.
Сама ОС Windows Phone 7 построена по принципу эшелонированной обороны и жесткой изоляции компонентов. Это означает, что лишь малая часть ядра ОС работает в привилегированном режиме. Остальные части ОС, такие как драйверы и сервисы, работают с пониженными привилегиями. Все приложения и сервисы внутри мобильной ОС функционируют в изолированных контейнерах, с минимальными правами, и не могут получить доступ к файловой системе, пространству ОС или данным других приложений. Это дает уверенность, что злоумышленнику не удастся захватить управление мобильной ОС. Когда приложение запросит доступ к тем или иным данным или компонентам аппаратного обеспечения, пользователь может одобрить или отклонить запрос. Лишь в случае получения одобрения приложение станет что-либо делать с данными. Следовательно, в системе не будет активности, неодобренной пользователем.
Разработка приложений для WP7 ведется на Silverlight, и потому все механизмы безопасности этой платформы и управляемого кода .Net применимы и к WP7. Значит, большинство распространенных атак, в частности атаки на переполнение буфера, работать не будут.
Все приложения для Phone 7 централизованно распространяются только через Windows Phone Marketplace. Перед тем как приложение сторонних разработчиков станет доступно пользователям, его проверяют эксперты Microsoft. Также в Marketplace невозможно анонимное размещение приложений. После того как приложение пройдет инспекцию безопасности и будет одобрено, оно подписывается цифровым сертификатом, предотвращающим его модификацию.
Специалисты Microsoft считают, что с такими подходами к безопасности антивирусные решения для Windows Phone 7 вряд ли понадобятся.
Чем лечиться?
Многие антивирусные лаборатории уже давно предлагают пользователям средства безопасности для мобильных ОС. Некоторые разработчики стали продвигать свои мобильные антивирусы еще четыре-пять лет назад, когда только появились новости о первых мобильных зловредах. Кто-то лишь начал подтягиваться, выпуская прежде всего версии для платформы Android. Кстати, решения для нее предлагают практически все, что еще раз подтверждает уязвимость данной ОС. Для не столь популярной у нас Blackberry антивирус есть только у "Лаборатории Касперского", а вот решения для iOS нам пока не известны.
Базовый набор функций мобильного антивируса включает в себя проверку системы в реальном времени, сканирование по требованию и механизмы для безопасной работы в Интернете.
Часто встречаются и различные реализации технологии «антивор». В общем, ее назначение заключается в дистанционной блокировке устройства и в некоторых случаях удалении персональных данных с украденного телефона. Подобные возможности есть в решениях «Лаборатории Касперского», Trend Micro, ESET и F-Secure.
В некоторых мобильных антивирусах присутствуют функции антиспама, фильтрации звонков и SMS-сообщений, родительского контроля (у «Лаборатории Касперского» она совмещена с функцией GPS-поиска – обнаружения местонахождения ребенка), шифрования важных данных.
Если вы решите приобрести антивирус для своего смартфона -- выбор есть. Несмотря на то что эксперты не приравнивают текущую ситуацию к эпидемии (конечно, с масштабами заражений обычной ОС Windows мобильным вирусам пока сложно тягаться), обезопасить себя все же следует. И не стоит забывать об элементарных правилах безопасности: не открывать в мобильном браузере сомнительные ссылки и не устанавливать приложения, пришедшие по Bluetooth или в SMS-сообщениях от неизвестных абонентов.
Популярность мобильных ОС в России за последние 12 месяцев (по данным портала StatCounter)