SG.hu
Tíz éve fedezték fel az első mobilokat támadó férget
Tíz évvel ezelőtt jelentette be a Kaspersky Lab a mobiltelefonokat támadó első féreg felfedezését. A legtöbb modern programkártevőtől eltérően a Cabir nem rendelkezett a rosszindulatú funkciók széles tárházával, de történelmet csinált azzal, hogy bebizonyította: lehetséges megfertőzni a mobilokat.
A Kaspersky Lab szakértői először 2004 júniusában találkoztak a Cabir-ral. A vállalat egyik víruselemzője éppen befejezte műszakját, amikor felfigyelt egy szöveg nélküli, de mellékletet tartalmazó e-mailre. A melléklet egy gyanús fájl volt, de gyorselemzéssel nem lehetett megállapítani, hogy melyik szoftverplatformhoz készült. Biztosan nem a Windowshoz vagy a Linuxhoz írták, mely platformokkal a vállalat elemzői többnyire dolgoztak. "Roman Kuzmenko aznap végigdolgozta az éjszakai műszakot is," - emlékszik vissza Alexander Gostev, a Kaspersky Lab vezető biztonsági szakértője. Röviddel a gyanús fájl vizsgálatának megkezdése után Roman megállapította, hogy a Nokia mobilokon futó Symbian mobil operációs rendszerhez írták," tette hozzá Gostev.
A tényleges fertőzéshez jónéhányszor "Yes"-t kell nyomnunk
A további elemzés kiderítette, hogy a fájl képes átküldeni magát egy másik telefonra Bluetooth kapcsolaton keresztül, és emiatt a fertőzött telefon akkuja igen gyorsan lemerült. Ez volt egyébként az újonnan felfedezett malware egyetlen funkciója, ami egyáltalán nem volt rosszindulatúnak tekinthető. A felfedezés azonban mégis arra ösztönözte a társaság szakértőit, hogy egy speciális tesztszobát alakítsanak ki az ilyen jellegű fenyegetések tanulmányozására. "A szomszédos irodákban dolgozó kollégáink elkezdtek jönni és panaszkodni, hogy valamilyen"vírus" fertőzte meg a telefonjukat. Ezért elhatároztuk, hogy a szobát különleges burkolattal látjuk el a rádiójelek kijutásának megakadályozására. Ez a szobát használtuk azután az új mobil malware minták tesztelésére" - mondta Gostev.
A Cabir kódjában a szakértők utalásokat találtak a "29A" nevű csoportra, amelynek tagjai úgynevezett koncepciós vírusokat írtak, vagyis olyan programkártevőket, amelyekkel bizonyítani lehet egy adott számítógépes alrendszer sebezhetőségét, illetve azt, hogy bizonyos rendszerek vagy eszközök megfertőzhetők. "Ez a csoport olyan rosszindulatú szoftverek készítéséről volt ismert, amelyek nagy visszhangot keltettek a kiberbiztonsági világban. Cap, Steam, Rugrat - ezeket a hírhedt malware-eket mind a 29A hozta létre" - jegyezte meg Gostev.
A koncepciós malware-ek fejlesztése mellett a 29A rendszeresen kiadta saját e-magazinját. Az egyik számban a csoport írt a féregről, és közzétette forráskódjának néhány részletét. A cikk felkavarta az akkori kiberbiztonsági szakmát azzal, hogy bebizonyította, készíthető olyan malware, amellyel megcélozható a világ legnépszerűbb mobil platformja. Bátorítást is adott más vírusíróknak az ötlet továbbfejlesztésére. Röviddel a cikk megjelenése után a Cabir változatok egész sora tűnt fel a weben.
"A Cabir csak a kezdet volt, egy kiindulási pont. Nem sokkal az után, hogy felfedeztük, világossá vált számunkra: a mobil fenyegetések nagyon komoly problémát jelentenek, ami speciális megközelítést igényel. Ezért egy teljesen új kutatási részleget hoztunk létre a Kaspersky Lab-en belül, amely kizárólag a mobil fenyegetésekkel foglalkozik" - mondta Alexander Gostev. Elemzői gyorsaságáért és pontosságáért Roman Kuzmenko-nak nem csupán az a dicsőség jutott, hogy ő fedezte fel az első mobil vírust, hanem kapott egy Nokia okostelefont is - hogy újabb vírusokat tudjon elkapni és elemezni, ahogy kollégái vicceltek vele.
A Cabir után néhány száz, a symbianos eszközöket célzó különböző vírust fedeztek fel. Az erre a platformra készült malware minták száma meredeken csökkent az új mobil operációs rendszerek, főként az Android megjelenése után, amely lényegesen elterjedtebbé és a kiberbűnözők számára sokkal jövedelmezőbbé vált. Tíz évvel a Cabir felfedezése után a Kaspersky Lab mobil malware gyűjteménye több mint 340 000 egyedi mintát tartalmaz, amelyek több mint 99 százaléka az Androidot célozza.
A Kaspersky Lab szakértői először 2004 júniusában találkoztak a Cabir-ral. A vállalat egyik víruselemzője éppen befejezte műszakját, amikor felfigyelt egy szöveg nélküli, de mellékletet tartalmazó e-mailre. A melléklet egy gyanús fájl volt, de gyorselemzéssel nem lehetett megállapítani, hogy melyik szoftverplatformhoz készült. Biztosan nem a Windowshoz vagy a Linuxhoz írták, mely platformokkal a vállalat elemzői többnyire dolgoztak. "Roman Kuzmenko aznap végigdolgozta az éjszakai műszakot is," - emlékszik vissza Alexander Gostev, a Kaspersky Lab vezető biztonsági szakértője. Röviddel a gyanús fájl vizsgálatának megkezdése után Roman megállapította, hogy a Nokia mobilokon futó Symbian mobil operációs rendszerhez írták," tette hozzá Gostev.
A tényleges fertőzéshez jónéhányszor "Yes"-t kell nyomnunk
A további elemzés kiderítette, hogy a fájl képes átküldeni magát egy másik telefonra Bluetooth kapcsolaton keresztül, és emiatt a fertőzött telefon akkuja igen gyorsan lemerült. Ez volt egyébként az újonnan felfedezett malware egyetlen funkciója, ami egyáltalán nem volt rosszindulatúnak tekinthető. A felfedezés azonban mégis arra ösztönözte a társaság szakértőit, hogy egy speciális tesztszobát alakítsanak ki az ilyen jellegű fenyegetések tanulmányozására. "A szomszédos irodákban dolgozó kollégáink elkezdtek jönni és panaszkodni, hogy valamilyen"vírus" fertőzte meg a telefonjukat. Ezért elhatároztuk, hogy a szobát különleges burkolattal látjuk el a rádiójelek kijutásának megakadályozására. Ez a szobát használtuk azután az új mobil malware minták tesztelésére" - mondta Gostev.
A Cabir kódjában a szakértők utalásokat találtak a "29A" nevű csoportra, amelynek tagjai úgynevezett koncepciós vírusokat írtak, vagyis olyan programkártevőket, amelyekkel bizonyítani lehet egy adott számítógépes alrendszer sebezhetőségét, illetve azt, hogy bizonyos rendszerek vagy eszközök megfertőzhetők. "Ez a csoport olyan rosszindulatú szoftverek készítéséről volt ismert, amelyek nagy visszhangot keltettek a kiberbiztonsági világban. Cap, Steam, Rugrat - ezeket a hírhedt malware-eket mind a 29A hozta létre" - jegyezte meg Gostev.
A koncepciós malware-ek fejlesztése mellett a 29A rendszeresen kiadta saját e-magazinját. Az egyik számban a csoport írt a féregről, és közzétette forráskódjának néhány részletét. A cikk felkavarta az akkori kiberbiztonsági szakmát azzal, hogy bebizonyította, készíthető olyan malware, amellyel megcélozható a világ legnépszerűbb mobil platformja. Bátorítást is adott más vírusíróknak az ötlet továbbfejlesztésére. Röviddel a cikk megjelenése után a Cabir változatok egész sora tűnt fel a weben.
"A Cabir csak a kezdet volt, egy kiindulási pont. Nem sokkal az után, hogy felfedeztük, világossá vált számunkra: a mobil fenyegetések nagyon komoly problémát jelentenek, ami speciális megközelítést igényel. Ezért egy teljesen új kutatási részleget hoztunk létre a Kaspersky Lab-en belül, amely kizárólag a mobil fenyegetésekkel foglalkozik" - mondta Alexander Gostev. Elemzői gyorsaságáért és pontosságáért Roman Kuzmenko-nak nem csupán az a dicsőség jutott, hogy ő fedezte fel az első mobil vírust, hanem kapott egy Nokia okostelefont is - hogy újabb vírusokat tudjon elkapni és elemezni, ahogy kollégái vicceltek vele.
A Cabir után néhány száz, a symbianos eszközöket célzó különböző vírust fedeztek fel. Az erre a platformra készült malware minták száma meredeken csökkent az új mobil operációs rendszerek, főként az Android megjelenése után, amely lényegesen elterjedtebbé és a kiberbűnözők számára sokkal jövedelmezőbbé vált. Tíz évvel a Cabir felfedezése után a Kaspersky Lab mobil malware gyűjteménye több mint 340 000 egyedi mintát tartalmaz, amelyek több mint 99 százaléka az Androidot célozza.