Vem aí os Vírus para Telemóveis
Junho de 2004 foi um mês que ficou para a história da segurança: foi descoberto o primeiro vírus para telefones móveis
pela Kaspersky Lab. Apesar de não ser claro nessa altura, hoje sabe-se que o vírus foi escrito por Vallez, um membro
de um grupo internacional de hackers conhecido por 29A.
Esta primeira amostra de um programa malicioso abriu a Caixa de Pandora. As companhias de antivírus tem hoje centenas de amostras de vírus para telefones móveis nas suas colecções. A epopeia dos programas maliciosos para Symbian que começou em 2004, tornou-se num fluxo constante, que ameaça tornar-se uma torrente. Todas as semanas
dez novos trojans com o prefixo Symbian são adicionados às bases de dados de antivírus.
Em si mesmo, isto pode não parecer nada de muito importante. Contudo, o pior é que os worms para dispositivos móveis estão provocando cada vez mais epidemias, apesar de ainda não ser possível estimar a escala destas epidemias.
Um ano atrás, as únicas notícias que circulavam era que o Cabir tinha sido descoberto noutro país ou cidade.
É capaz de ser verdade que os worms para telefones móveis se estão a propagar tão depressa porque os utilizadores
destes telefones são em média muito menos conscenciosos que um utilizador de Internet. Por outro lado, os utilizadores
mais antigos de telefones móveis, acham que o malware para móveis é um problema que ainda não lhes aconteceu e
que seguramente não lhes diz respeito.
A verdade é que os vírus para telefones móveis, não são coisa que existe nalgum planeta distante. Eles fazem parte do
momento, aqui e agora, e cada vez que vamos num transporte público, ao cinema, ou a um aeroporto, o telefone móvel
está potencialmente debaixo de um ataque.
Vai decorrer um longo caminho antes que os utilizadores saibam tanto de vírus para telefones móveis como sabem
acerca de vírus para computadores...
No início foi o Cabir …
Em 14 de Junho de 2004, um famoso coleccionador de vírus espanhol conhecido como VirusBuster, e que tem relações
muito próximas com editores de vírus, enviou uma mensagem para “[email protected]”. A mensagem tinha um
ficheiro em anexo chamado caribe.sis. Nessa altura as pessoas no laboratórios Kaspersky não estavam certas daquilo
com que estavam lidando. Nunca tinham realmente visto nada semelhante. Uma análise rápida mostrou que se tratava
de uma aplicação para o sistema operativo Symbian, assim como um ficheiro de instalação com mais alguns ficheiros.
Como regra, um analista de vírus lida com ficheiros produzidos para processadores da família x86. Os ficheiros no
caribe.sis eram aplicações para ARM, processadores que são usados num conjunto de dispositivos, incluindo telefones
móveis. Inicialmente sabiam muito pouco acerca da linguagem máquina usada por estes processadores, mas em algumas horas os analistas conseguiram familiarizar-se com ela. O objectivo dos ficheiros do caribe.sis tornou-se então
claro, tratava-se de um worm para telefones móveis que se propagava por Bluetooth. No dia seguinte as conclusões do
dia anterior tinham-se tornado perfeitamente claras, quando se testou o worm num Nokia N-Gage corrrendo Symbian
OS.
O worm foi escrito por alguém que usava como nome Vallez. Tanto quanto se sabe, vive em França e era nesse momento membro de um grupo de editores de vírus chamado 29A. O objectivo do grupo era criar uma prova de conceito
para código de vírus dedicados a sistemas operativos não normalizados. O grupo parecia determinado em demonstrar
aos fabricantes de antivirus que existem novos, e previamente não explorados, meios de infecção. Em Junho de 2004, o
objectivo simples era criar um programa malicioso para smartphones. O autor escolheu um método de replicação não
normalizado, os analistas estavam habituados a worms que se propagam por email, e o Cabir poderia ter-se propagado
da mesma forma, já que a conectividade Internet e o email são duas das caracteristicas principais de um smartphone.
Contudo, o autor do worm escolheu o Bluetooth, e isso tornou-se o ponto chave deste vírus.
Cabir foi codificado para o sistema operativo Symbian, que era e continua a ser o mais usado dos sistemas operativos
para telefones móveis. Esta liderança de mercado, é devido a que todos os smartphone produzidos pela Nokia tem
Symbian. Realmente o duo Symbian+Nokia é actualmente a combinação standard, e vai demorar muito tempo até que o
Windows Mobile ganhe uma quota de mercado importante do Symbian.
O aparecimento do Cabir confirmou a lei da evolução dos vírus de computador. Para os programas maliciosos terem
como objectivo um determinado sistema operativo ou plataforma, tem que se preencher três requisitos:
1.
A plataforma deve ser popular. Symbian era e continua a ser a plataforma mais popular para smartphones,
com alguns 10 milhões de utilizadores no mundo..
Do autor do Cabir: “O Symbian poderá vir a ser o sistema operativo mais difundido nos telefones móveis do
futuro. Hoje já é, e na minha opíniãoaté poderia já ser mais (Microsoft está lutando para entrar neste mercado também).”
2.
Devem existir ferramentas de desenvolvimento bem documentadas para essa plataforma.
Autor do Cabir: “O Caribe foi escrito em C++. a Symbian/Nokia forneceu-nos um SDK completo para desenvolver aplicações para o sistema operativo Symbian.”
3.
Presença de vulnerabilidades ou erros de codificação. O Symbian inclui um conjunto de falhas de projecto
no subsistema que trata de ficheiros e serviços. No caso do Cabir estas falhas não foram exploradas, mas os
Trojans actuais para os smartphones tiram partido total destas falhas.
O Cabir atraíu imediatamente a atenção das companhias de antivírus e não só, pois os autores de vírus também lhe
prestaram atenção. A ultima edição do 29A webzine foi esperada com ansiedade, com a expectativa que o grupo, de
acordo com a tradição, publicasse o código fonte do worm. Naturamente a publicação do código fonte teriam levado ao
aparecimento de novas e piores variantes do worm: isto é mais ou menos o que acontece sempre quando os script kiddies tem acesso a estas tecnologias.
Tipos de malware e famílias para Móveis
No Outono de 2004, foi quando o malware para móveis começou a evoluir em três áreas principais. A primeira foi na
área de programas do tipo Trojan destinadas a obter ganhos financeiros. O primeiro Trojan para movéis foi o Mosquit.a.
Na teoria, parece ser um jogo inofensivo para telefone móvel, contudo, a certa altura ele começa a enviar numerosas
mensagens SMS para número de telefone no livro de endereços, significando que a factura de telefone vai crescer. De
facto, o Mosquit.a, foi não só o primeiro Trojan para smartphones como a primeira peça de Adware para telefones móveis.
Skuller.a, um Trojan que apareceu em Novembro de 2004, foi o primeiro daquilo que é hoje a maior família de Trojans
para telefones móveis. Este foi o primeiro programa malicioso a tirar partido das falhas de projecto do Symbian, tais
como a possibilidade de qualquer aplicação escrever por cima de ficheiros de sistema sem perguntar nada ao utilizador.
Skuller substituía os icons por caveiras e também apagava algumas aplicações. Como resultado, o telefone deixava de
trabalhar quando era desligado e arrancado de novo. Este tipo de Trojan para vandalismopuro tornou-se o mais popular
no seio dos autores de vírus.
Resultado do Trojan Skuller.a no Menu de smartphone
Três novas variantes do Cabir apareceram praticamente ao mesmo tempo do Skuller.a. Estas novas variantes não
eram baseadas no código fonte do worm original. Nessa altura os editores de vírus já tinham posto as mãos no Cabir, e
muitos deles fizeram o que os script kiddies fazem, alteram os nomes dos ficheiros do worm e mudam o texto no interior
de alguns desses ficheiros. Uma variante do Cabir juntava o Skuller ao ficheiro worm original. O resultado hibrido (worm
and trojan) não funcionou como pretendido. O worm era incapaz de se replicar porque o Trojan craschava o telefone.
Contudo esta foi a primeira vez que o Cabir foi utilizador para transportar outro tipo de programas maliciosos.
No início de 2005, os principais tipo de malware tinham evoluído, e seriam utilizados por autores de vírus nos seguintes
18 meses:.
•
worms que se espalham através de protocolos e serviços dos smartphones
•
Trojans de vandalismo, que se instalam a si próprios no sistema explorando defeitos de projecto do Symbian.
•
Trojans destinados para ganhos financeiros
Contudo, apesar de só existirem poucos tipos de diferentes de comportamento, na pratica o malware para móveis
aparece numa variedade de formas. Kaspersky Lab conseguiu distinguir 31 familias de malware distintas. A tabela em
baixo dá disso mesmo conta mostrando as principais caracteristicas de cada família.
Technologia
usada
Número
de
variantes
Propaga-se por
Bluetooth
Bluetooth
15
Infecta ficheiros
(File API)
1
Nome
Data
OS
Funcionalidade
Worm.SymbOS.Cabir
June 2004
Symbian
Virus.WinCE.Duts
July 2004
Windows
CE
Backdoor.WinCE.Brador
August
2004
Windows
CE
Fornece acesso de rede (Network API)
remoto
2
Trojan.SymbOS.Mosquit
August
2004
Symbian
Envia mensagens SMS
SMS
1
Trojan.SymbOS.Skuller
November
2004
Symbian
Substitui ficheiros, icons
e aplicações de sistema
OS
vulnerability
31
Worm.SymbOS.Lasco
January
2005
Symbian
Propaga-se por
Bluetooth, infecta
ficheiros
Bluetooth, File
API
1
Trojan.SymbOS.Locknut
February
2005
Symbian
Instala aplicações
corrompidas
OS
vulnerability
2
Trojan.SymbOS.Dampig
March
2005
Symbian
Substitui aplicações de
sistema
OS
vulnerability
1
Worm.SymbOS.ComWar
March
2005
Symbian
Propaga-se por
Bluetooth e MMS, infecta ficheiros
Bluetooth,
MMS, File API
7
Trojan.SymbOS.Drever
March
2005
Symbian
Substitui aplicações de
carga de antivirus
OS
vulnerability
4
Trojan.SymbOS.Fontal
April 2005
Symbian
Substitui ficheiros de
fontes
OS
vulnerability
8
Trojan.SymbOS.Hobble
April 2005
Symbian
Substitui aplicações de
sistema
OS
vulnerability
1
Trojan.SymbOS.Appdisabler
Ìàé 2005
Symbian
Substitui aplicações de
sistema
OS
vulnerability
6
Trojan.SymbOS.Doombot
May 2005
Symbian
Substitui aplicações de
Sistema , èíñòàëëÿöèÿ
Comwar
OS
vulnerability
17
Trojan.SymbOS.Blankfont
July 2005
Symbian
Substitui ficheiros de
fontes
OS
vulnerability
1
Trojan.SymbOS.Skudoo
August
2005
Symbian
Instala aplicações danificadas, instala o Cabir,
Skuller, Doombor
OS
vulnerability
3
Trojan.SymbOS.Singlejump
August
2005
Symbian
Desactiva funcções de
sistema , substitui icons
OS
vulnerability
5
Trojan.SymbOS.Bootton
August
2005
Symbian
Instala aplicações
danificadas , instala o
Cabir
OS
vulnerability
2
Trojan.SymbOS.Cardtrap
September
2005
Symbian
Apaga ficheiros do antivirus, substitui aplicações de sistema, instala Win32 malware
em cartões de memória
OS
vulnerability
26
Trojan.SymbOS.Cardblock
October
2005
Symbian
Bloqueia cartões de
memória, apaga pasta
OS
vulnerability,
File API
1
Trojan.SymbOS.Pbstealer
November
2005
Symbian
Rouba dados
Bluetooth, File
API
5
TrojanDropper.SymbOS.Agent
December
2005
Symbian
Instala outros
programas maliciosos
OS
vulnerability
3
TrojanSMS.J2ME.RedBrowser
February
2006
J2ME
Envia SMS
Java, SMS
2
Worm.MSIL.Cxover
March
2006
Windows
Mobile/
.NET
Apaga ficheiros , copia
o seu corpo para outros
dispositivos
File (API),
NetWork
(API)
1
Worm.SymbOS.StealWar
March
2006
Symbian
Rouba dados, propagase por Bluetooth e
MMS
Bluetooth,
MMS, File
(API)
5
Email-Worm.MSIL.Letum
March
2006
Windows
Mobile/
.NET
Propaga-se por email
Email, File
(API)
3
TrojanSpy.SymbOS.Flexispy
April 2006
Symbian
Rouba dados
—
2
Trojan.SymbOS.Rommwar
April 2006
Symbian
Replaces system
applications
OS
vulnerability
4
Trojan.SymbOS.Arifat
April 2006
Symbian
—
—
1
Trojan.SymbOS.Romride
June 2006
Symbian
Substitui aplicações de
sistema
OS
vulnerability
8
Worm.SymbOS.Mobler.a
August
2006
Symbian
Apaga ficheitos de antiv~irus, substitui aplicações de sistema,
propaga-se através de
cartões de memória
OS
vulnerability
1
31 familias, 170 variantes
Lista completa de classificação (em 30 Augosto de 2006) de vírus para telefones móveis e famílas (Cortesia da
Kaspersky Lab)
Crescimento do malware conhecido para móveis e variantes
Crescimentos das famílias de malware conhecidas
Em resumo, a tabela responde à questão “Do que são capazes os vírus?”:
•
Propagar-se por Bluetooth, MMS
•
Enviar mensagens SMS
•
Infectar ficheiros
•
Activar o controlo remoto do smartphone
•
Modificar ou subsituir icons ou aplicações de sistema
•
Instalar “falsas” ou fontes não operacionais e aplicações
•
Combater programas de antivirus
•
Instalar outros programas maliciosos
•
Bloquear cartões de memória
•
Roubar dados
Temos que reconhecer que os vírus para telefones móveis de hoje são muito parecidos com os vírus de computador em
termos de peso. Contudo, demorou aos vírus de computador mais de 20 anos para chegar este nível de desempenho,
ao passo que os vírus para móveis fizeram um percurso equivalente em menos de 2 anos. Sem dúvida que o malware
móvel é o que regista a mais rápida evolução de sempre no que diz respeito ao malware, e o pior é que ainda tem um
potencial enorme de evolução para mal dos nossos pecados.
Fonte: Kaspersky Labs