1. Вредоносный код на мобильнике?
Денис Батранков
консультант по информационной безопасности
Nokia Siemens Networks
denis.batrankov@nsn.com
2. Что может делать вредоносный код?
Распространяться через Bluetooth и посредством MMS
Посылать SMS сообщения
Заражать файлы
Управлять удаленно мобильником
Модифицировать приложения и внешний вид
Выключать или удалять антивирусы и другие программы
для безопасности
Инсталлировать другой вредоносный код как локально
так и на соседние в сети устройства
Блокировать карты памяти
Собирать (воровать) и распространять ваши данные
3. Некоторые примеры
App Serv
Blackberry
Internal LAN
• WinCE/InfoJack Proxy Connection
External Host to
Internal Host
• Отключает настройки безопасности:
разрешает установку любого ПО
автоматически
• BBProxy Internet
• превращает устройство BlackBerry в точку
доступа к сети компании
• Trojan-SMS.Python.Flocker
• отправляет SMS-сообщения на короткий
Attacker Host
сервисный номер с командой перевести часть
средств абонента на другой счет
• Полуночная атака
• На телефон жертвы с помощью специальной
программы отправляется сервисное
сообщение, которое дает команду на запуск
веб-браузера и скачивание вредоносного ПО,
которое крадет информацию со смартфона
4. Основные категории 1
Категория Способ распространения Реальные
примеры
Вредоносный код Через Bluetooth или PC PBsender family,
как часть приложения Commwarrior.a
проникает
локально
Вредоносный код Передается как вложение Commwarrior
в MMS сообщение
проникает через
MMS
Внедренный код Притворяется пиратским Symtorrent,
софтом, Symella,
мультимедийныйм MultiDropper.CI
файлом или даже
антивирусом
Код SMishing, Java или код VBS.Eliles family,
для браузера, J2ME/Redbrowser,
обманывающий приложения Cabir
пользователя
5. Основные категории 2
Категории Способ распространения Реальные
примеры
Spyware, слежка Незаконное использование Mobispy.a
коммерческих программ для
за шпионажа. Украденные Flexispy
пользователем данные посылаются по
Internet
Код для Посылает SMS на номера с J2ME/Redbrowser,
высокой стоимостью услуги Webser
зарабатывания
денег
мошенниками
Деструктивный Использует какие-то Xrem.A1
уязвимости для вывода из
вредоносный строя
код
Кросс- Содержит несколько версий Multidropper family
для различных устройств и
платформенный ОС
код
6. Какие могут быть сценарии
Вредоносные Скрытые
Угроза
функции функции
способы
• Скрытая активация • Прослушивание - заданный
Перехват телефона – ни подсветки ни номер включает телефон переноса
эфира звуков чтобы активировать
• Включенный микрофон прослушивание
Запись • Оповещение по SMS что • При звонке на телефон он sms
телефонный звонок записывается
звонков осуществляется • Записанный голос посылается
по Internet
Данные с • Читаются данные: адресная • Данные пользователя могут
книга, списки последних быть переданы по SMS, MMS;
мобильного вызовов ( принятые,
телефона сделанные ) SMS сообшения • Данные пользователя могут
( принятиые, посланные ) , быть посланы по эл. почте и Wap-Web-MMS-
…. web Email
Расположение • Специальный SMS посылается • Положение пользователя
на телефон и телефон приходит на телефон
телефона отвечает информацией о
местоположении
злоумышленника
• Все SMS посланные на • SMS посланные на
SMS forwarder зараженный телефон будут зараженный телефон будут
посланы на определенный посланы на определенный
номер номер Голос
Конфигурация • Секретный код который • Хакер может менять поведение
по включает вредоносные кода
требованию функции по посылке SMS
или по перехвату разговоров