10 лет первому мобильному червю Cabir

В июне 2004 года в «Лабораторию Касперского» пришло письмо, содержащее странный файл без какого-либо текста. Это был исполняемый файл, не предназначенный ни для одной из десктопных платформ. Аналитик Роман Кузьменко, дежуривший в ту ночь, сумел разобраться в необычном поступлении: это оказался червь, работающий на процессорах ARM под управлением операционной системы Symbian. Впоследствии за этот детект Роман получил в подарок телефон Nokia.

Предварительный анализ кода показал, что червь способен распространяться посредством Bluetooth и умеет передавать файлы. Имел он и название – при запуске на дисплее смартфона отображалась надпись «Caribe». Использовать самоназвание вредоносной программы в антивирусной индустрии не принято, поэтому аналитики видоизменили его, дав червю имя Cabir. Вскоре выяснилось, что из всех антивирусных компаний, получивших Cabir, разобраться в нем смогла лишь «Лаборатория Касперского».

На другой день анализ кода Cabir был закончен. Аналитикам удалось достать пару Symbian-смартфонов, активировать на них Bluetooth в режиме обнаружения и запустить на одном из них файл червя. Второй телефон тут же запросил у пользователя разрешение на загрузку файла. После получения этого разрешения на него был загружен Cabir.
Анализ кода и обратный адрес присланного письма позволили установить авторов нового червя – это была легендарная международная группа вирусописателей 29A. На ее счету было множество новых зловредов, и к 2004 году она успела получить широкую известность в отрасли.
Первое время после рассылки «Лабораторией Касперского» пресс-релиза о появлении первого червя для мобильных телефонов, антивирусные компании держали Cabir в своих коллекциях, стараясь не допустить его широкого распространения. Но через несколько месяцев группа 29A открыла фрагменты исходного кода зловреда в очередном номере своего электронного журнала, и модификации Cabir стали появляться каждую неделю.

Через пару лет после появления червя, финская компания F-Secure обнаружила вспышку эпидемии Cabir на стадионе, где проходил чемпионат мира по легкой атлетике. Чрезвычайная популярность Symbian-смартфонов в Финляндии, большое число приезжих из разных стран мира, и высокая заполненность трибун стадиона позволили Cabir распространиться на большое число телефонов, принадлежащих болельщикам и спортсменам. Пытаясь локализовать и ликвидировать очаг заражения, F-Secure поставила Bluetooth-сканер на входе на стадион для проверки телефонов всех посетителей на предмет заражения червем.
Похожая история могла произойти и в офисе «Лаборатории Касперского»: во время тестирования червя аналитики обнаружили, что он пытается распространиться на смартфоны сотрудников компании, работавших в соседних кабинетах, а также этажом выше и ниже антивирусной лаборатории. Дальнейшие эксперименты пришлось проводить в экранированной комнате, не выпускавшей наружу никакие радиосигналы.

Ныне технология Bluetooth практически забыта вирусописателями, ее уже не используют для распространения зловредов. Одним из редких ныне примеров является Flame, который включает Bluetooth на зараженном ноутбуке с целью получения к нему и к его сети удаленного доступа со стороны хозяина вредоносной программы.
Следующим прорывом в отрасли мобильных угроз стал червь Commwar, который, помимо распространения по Bluetooth, умел также рассылать вредоносные MMS-сообщения по контакт-листу зараженного устройства, что резко увеличило радиус поражения. При этом Commwar, в отличие от Cabir, наносил жертве финансовый ущерб: отправка MMS стоит существенных денег. В послужном списке Commwar значится эпидемия в городе Валенсия, когда были заражены сотни тысяч смартфонов, а подсчитанный ущерб составил несколько миллионов евро.

Первый кроссплатформенный зловред записали на свой счет российские киберпреступники. Вредоносная программа, написанная на Java, работала на любых телефонах, а не только на смартфонах и грабила жертву отправкой SMS-сообщений на премиумные номера. Даже техническое несовершенство зловреда не помешало его успеху: он не мог отправить SMS-сообщение без разрешения пользователя, но многие его жертвы послушно разрешали отправку, не пытаясь разобраться в происходящем. В этой области Россия оказалась на передовых позициях, которые и продолжает удерживать до сих пор.
Появление Cabir стало отправной точкой, ускорив эволюцию телефонных зловредов и заставив экспертов осознать необходимость разработки отдельного направления анализа угроз для мобильных устройств. В «Лаборатории Касперского» был создан соответствующий отдел, занимавшийся исключительно мобильными вредоносными программами. Скорость развития зловредов такого рода оказалась беспрецедентной: уже через пару лет после выхода относительно безвредного Cabir антивирусные компании имели дело с полным спектром угроз на мобильных платформах.