Проблема обнаружения вредоносного программного обеспечения для мобильных устройств: история решений
Введение
В современном мире развитие информационных технологий происходит настолько быстрыми темпами, что некоторые изобретения, которые всего пару десятилетий назад считались новинками, устаревают очень быстро, вытесняясь более современными и функциональными аналогами.
Мобильные телефоны как исключительно средство связи уже отходят в прошлое. Современный смартфон всё больше заменяет персональный компьютер и начинает представлять собой многофункциональное устройство с вязи.
Как известно, с того момента как массово стали распространятся персональные компьютеры, получили свое распространение также и компьютерные вирусы, которые представляют собой вредоносные программы, которые могут нанести ущерб устройству или информации, которая на нем записана.
Не обошла проблема вирусов и современные мобильные устройства.
Многие компании, которые производят антивирусное программное обеспечение для персональных компьютеров, освоили также и нишу, связанную с разработкой решений для антивирусной защиты мобильных устройств. В связи с тем, что мобильные устройства получаются всё более широкое развитие и распространение, рассмотрение вопросов, связанных с их защитой также является актуальным.
Целью данной работы является изучение проблемы обнаружения вредоносного программного обеспечения для мобильных устройств.
Для достижения поставленной в реферате цели, необходимо решить следующие задачи:
рассмотреть историю появления вредоносного программного обеспечения для мобильных устройств;
дать характеристику существующих методов обнаружения вредоносных программ для мобильных устройств;
дать общую характеристику антивирусных программ для мобильных устройств;
провести обзор и дать характеристику существующих антивирусных решений для мобильных устройств.
1. История появления вредоносного программного обеспечения для мобильных устройств
Началом истории вирусов для мобильных устройств принято считать июнь 2004 года. В это время группа людей, которая носит название 29А и которая занимается тем, что пишет вирусные программы, создала первый вирус, который поражает смартфоны. Данный вирус называл себя Caribe и функционировал на операционной системе Symbian. Распространялся данный вирус через технологию Bluetooth, которая используются для передачи данных. В классификации вирусов «Лаборатории Касперского» данный вирус получил название Worm.SymbOS.Cabir.
Несмотря на тот факт, что самый первый мобильный вирус произвел впечатление на разработчиков программного обеспечения для мобильных устройств, он представлял собой исключительно концептуальную разработку. Его существование доказывало саму возможность того, что могут иметь место быть вирусы, функционирующие на платформе ОС Symbian. Теми, кто является авторами разработок подобного рода, движима любознательность и стремление к тому, чтобы укрепить безопасность системы, которая была ими атакована. Как правило, они не были заинтересованы в том, чтобы распространять вирус или использовать его в злоумышленных целях. Оригинал экземпляра Worm.SymbOS.Cabir разослали в компании, которые занимаются разработкой антивирусного программного обеспечения согласно поручению самого автора. Тем не менее, несколько позже, исходные коды данной вирусной программы стали появляться в сети интернет, что привело к тому, что было создано большое число различных модификаций вирус. С того времени фактически началось свободное хождение вируса по мобильным телефонам во всем мире.
Через месяц после Cabir антивирусные компании обнаружили очередную технологическую новинку. Virus.WinCE.Duts занял сразу две «почетные ниши» в коллекциях вирусологов: это первый известный вирус для платформы Windows CE (Windows Mobile), а также - первый файловый вирус (file infector) для смартфонов. Duts заражает исполняемые файлы в корневой директории устройства, предварительно, правда, спросив разрешения у пользователя..SymbOS.Cabir хоть и произвел много шума, являлся исключительно концептуальной разработкой.
Продолжение виртуальной атаки на Windows Mobile со стороны вирусописателей не заставило себя долго ждать: через месяц после Duts появился Backdoor.WinCE.Brador - первый бэкдор для мобильной платформы. Эта вредоносная программа открывает доступ к зараженному устройству - КПК или смартфону - по сети, ожидая подключения злоумышленника на определенном порту. Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину.
На этом активность самых квалифицированных исследователей безопасности мобильных устройств, авторов концептуальных вирусов, представляющих радикально новые технологии в области вирусописательства, практически заканчивается. Последовавший за Brador Trojan.SymbOS.Mosquit представляет собой изначально безвредную игру для платформы Symbian (Mosquitos), в код которой неизвестный злоумышленник внес некоторые исправления. Модифицированная игра при запуске начинает отправлять SMS-сообщения на указанные в коде номера телефонов, подпадая под определение «троянской программы».
После трехмесячного перерыва, в ноябре 2004, на некоторых интернет-форумах мобильной тематики был под видом установочного пакета новых иконок и «тем» рабочего стола размещен новый Symbian-троянец - Trojan.SymbOS.Skuller. Программа представляет собой SIS-файл - приложение-инсталлятор для платформы Symbian. Ее запуск и установка в систему приводит к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать.
Таким образом, Trojan.SymbOS.Skuller продемонстрировал всему миру две неприятные особенности архитектуры Symbian:
возможность беспрепятственной перезаписи системных приложений;
отсутствие устойчивости операционной системы по отношению к поврежденным либо нестандартным («неожиданным») системным файлам с одной стороны, и отсутствие необходимых для закрытия этой уязвимости проверок - с другой.
Уязвимости были быстро подхвачены любителями самоутвердиться за счет создания вирусов. Skuller стала родоначальницей самого большого на сегодняшний день класса вредоносных программ для мобильных телефонов. Функциональность таких программ чрезвычайно примитивна и сводится к прямолинейной эксплуатации вышеуказанных особенностей Symbian. Если провести параллель с PC-вирусами, по соотношению абсолютной вредности и технической сложности представители этого класса вирусов аналогичны BAT-файлам DOS, выполняющим команду «format c:».
Второй троянец этого класса - Trojan.SymbOS.Locknut - появился через два месяца. Он эксплуатирует «доверчивость» (отсутствие проверок целостности файлов) Symbian уже более целенаправленно. После запуска вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещается файл gavno.app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система, исходя только из расширения файла gavno.app, считает его исполняемым - и зависает, пытаясь запустить «приложение» после перезагрузки. Включение смартфона становится невозможным.
С этого момента начали появляться троянцы, эксплуатирующие уязвимость Symbian. Они регулярно появляются и по сей день, отличаясь лишь конкретным способом эксплуатации..SymbOS.Dampig, перезаписывающая системные приложения поврежденными..SymbOS.Drever, отключающая автоматический запуск некоторых антивирусов путем перезаписи их загрузчиков..SymbOS.Fontal, подменяющая системные файлы шрифтов на другие, абсолютно работоспособные, но не соответствующие данному языковому дистрибутиву операционной системы файлы шрифтов, в результате чего телефон перестает загружаться..SymbOS.Hobble, заменяющая системное приложение File Explorer на поврежденное..SymbOS.Appdisabler и Trojan.SymbOS.Doombot, повторяющие функционал Trojan.SymbOS.Dampig (вторая также инсталлирует в систему Worm.SymbOS.Comwar)..SymbOS.Blankfont, практически аналогичная Trojan.SymbOS.Fontal.
Сплошная череда однотипных троянцев прерывается лишь червями Worm.SymbOS.Lasco - дальним родственником Worm.SymbOS.Cabir, отличающимся от него наличием функции заражения SIS-файлов; и Worm.SymbOS.Comwar, впервые реализующим технологию самораспространения при помощи MMS.
Самую большую угрозу безопасности мобильных устройств в контексте вирусологии представляют собой самостоятельно распространяющиеся вирусы - черви. Червь потенциально способен вызвать очень быстрое заражение большого количества систем, нарушив работоспособность мобильной сети либо превратив ее в подконтрольную злоумышленнику распределенную сеть.
В настоящий момент вирусологии известно два червя (без учета их модификаций) для мобильных телефонов: Worm.SymbOS.Cabir, алгоритм распространения которого основан на использовании технологии Bluetooth, и Worm.SymbOS.Comwar, размножающийся как по Bluetooth, так и при помощи MMS. Детальный анализ этих червей можно найти в «Вирусной энциклопедии», здесь же хотелось бы более подробно рассмотреть механизмы их самораспространения.- технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек.
Червь Worm.SymbOS.Cabir использует технологию Bluetooth «честно», не эксплуатируя никаких уязвимостей. При запуске он начинает сканировать окружающее пространство на наличие доступных через Bluetooth устройств, и «по воздуху» отсылает им копию самого себя в виде SIS-архива. При этом на экране атакованного телефона, вне зависимости от установленной в нем операционной системы, появляется уведомление о входящем файле и запрос на его загрузку. Далее, если пользователь Symbian-телефона отвечает на запрос положительно, файл сохраняется в память и автоматически запускается на исполнение. При этом система инсталляции SIS-файлов запрашивает у пользователя подтверждения установки, и после его получения червь инсталлируется в систему, начиная новый цикл сканирования и заражений. Пользователям Windows Mobile-телефонов, загрузившим файл червя, ничто не угрожает, поскольку червь способен функционировать только под ОС Symbian. Ничто не угрожает и владельцам автомобилей с бортовыми компьютерами на базе ОС Symbian: в соответствии с проведенными исследованиями, слухи о возможности их заражения Bluetooth-червем не имеют под собой оснований.
ММS - относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса SMS, работающего по протоколу мобильной сети, MMS-сообщения передаются через интернет. Поэтому для отправки и приема MMS-сообщений помимо поддержки данной технологии аппаратом требуется наличие подключения к интернету.
Червь Worm.SymbOS.Comwar, помимо технологии Bluetooth, использует для самораспространения технологию MMS. Для этого он рассылает по номерам телефонов адресной книги MMS-сообщения с вложенной копией своего инсталляционного файла. В процедуре рассылки зараженных сообщений запрограммирована задержка по времени. Возможно, только благодаря этому Worm.SymbOS.Comwar, будучи по функционалу существенно опаснее Worm.SymbOS.Cabir, пока не получил очевидного преимущества по распространенности.
Тема и текст рассылаемых червем сообщений составлены с использованием ставших классическим среди email-червей методов социальной инженерии, призванных усыпить бдительность пользователей: «Nokia RingtoneManager for all models», «Symbian security update» и т.п. Symbian-телефон, получив такое сообщение, автоматически запускает вложенный в него файл, вследствие чего вирус устанавливается в систему. Windows-устройства заражению не подвержены.
Сложно сказать, какой из механизмов саморазмножения червей для мобильных телефонов более опасен. Технология MMS поддерживается большим, чем Bluetooth количеством телефонов и не нуждается в попадании зараженного устройства в сферу действия Bluetooth других устройств. С другой стороны, у Bluetooth - полная универсальность, позволяющая объединять для обмена данными разнотипные устройства, и автономность функции распространения, из-за которой борьба с вирусом не может вестись централизованно, на стороне сотового оператора, проверяющего трафик.
Давать прогноз тому, как в дальнейшем будет развиваться сфера вирусов для мобильных устройств представляет весьма сложной задачей. Дело в том, что данная сфер находится в весьма неустойчивом равновесном состоянии. Причиной этого является тот факт, что те факторы, которые провоцируют возникновение серьезных угроз для безопасности, имеют более быстрый рост, чем растет подготовленность для них социальной и технической среды.
Можно выделить следующий ряд тенденций, которые приводя к тому, что растет количество вирусного программного обеспечения для мобильных устройств и смартфонов:
среди устройств, которые используются для мобильной связи, процент смартфонов постоянно растет. Чем более популярной становиться та или иная технология, тем она является более выгодной и уязвимой для атак;
по мере расширения области, растет также и количество специалистов, которые обладаю достаточной квалификацией для того, чтобы потенциально осуществить атаку безопасности;
по мере роста мощности и функциональности смартфонов, они постепенно вытесняют на рынке карманные компьютеры. Это приводит к тому, что у вирусных программ и у разработчиков подобного рода программ растут возможности;
тот факт, что функциональность устройств растет, приводит к тому, что люди начинают хранить в данных устройствах все большее число информации, которая потенциально может быть интересна злоумышленникам. Если обычный мобильный телефон, содержит, как правило, исключительно только адресную книгу, то паять смартфона может содержать в себе абсолютно любые файлы, в том числе и те, которые обычно хранятся на жестком диске персонального компьютера. Использование различных программ для того, чтобы получать доступ к сервисам, которые защищены паролем, может являться угрозой для безопасности личных данных владельца мобильного устройства.
2. Характеристика существующих методов обнаружения вредоносных программ для мобильных устройств
Каждая из существующих методов определения мобильного вредоносных программ имеет свои достоинства и недостатки.
Статический анализ кода - это быстрый и мало затратный метод. Он заключается в поиске вредоносных характеристик либо подозрительных кусков кода без запуска приложений. Изображённые ниже методы широко применяются для предварительного рассмотрения, когда необходимо впервые проверить подозрительное приложение на самый очевидный вредоносный функционал.
Первые две ветки характерны для определения вредоносных программ в Симбиан OS и iOS. Третья ветка схемы, которая описывает алгоритм действий под Андройд. При помощи декомпилятора генерируется исходный код приложений. Далее он подвергается статическому анализу инструментами из программного пакета Fortify SCA. К минусам данными методами можно отнести то, что, в общем, она подходит только для рассмотрения приложений с относительно незначительным числом прав доступа и вызовов API.
Динамический анализ кода. В отличие от статического, динамический анализ подразумевает выполнение приложение в изолированном окружении. К примеру, внутри виртуальной машины либо эмулятора, чтобы можно было отслеживать поведение приложение. Чаще всего динамический анализ применяется при трассировке системных вызовов либо taint-отслеживании.
Для динамического taint -рассмотрения в масштабах системы можно использовать инструмент TaintDroid. Приложение первоначально отправляется в виртуальную машину, где подвергается оценке на четырёх уровнях: переменных, методик, сообщений и файлов. Во время taint -отслеживания любые запросы данных из модуля геолокации, микрофона, камеры и др. Этот способ подразумевает, что все нативные библиотеки вызываются только из виртуальной машины, а не напрямую. И наконец, при динамическом рассмотрении определяются потенциальные утечки данных прежде, чем информация передаётся из системы в сетевой интерфейс.
Тестирование многих популярных Андройд-приложений от сторонних разработчиков показало, что значительное число из них отправляют рекламным фирмам данные о местоположении пользователей. Некоторые даже пересылают на удалённые серверы телефонные идентификаторы. Но TaintDroid может выдавать как ложноотрицательные, так и ложноположительные итоги рассмотрения. К тому же данный инструментарий разрешает рассматривать только один вид уязвимостей - потоки данных.