Właśnie mija 10 lat od pojawienia się robaka Cabir, pierwszego na świecie szkodliwego oprogramowania na telefon komórkowy. Fortinet sięgnął do danych historycznych, aby przedstawić ewolucję i znaczenie tych zagrożeń dla urządzeń mobilnych.
W ostatniej dekadzie powstało bardzo dużo szkodliwego oprogramowania (ang. malware) na urządzenia mobilne. W 2013 roku firma FORTINET wykrywała dziennie ponad 1300 nowych szkodliwych aplikacji. Obecnie znanych jest ponad 400 000 robaków atakujących system Android. Należą one do ponad 300 różnych rodzin.
Rok 2004: pierwsze kroki
Pierwszym na świecie robakiem na telefon komórkowy był Cabir. Został zaprojektowany do infekowania aparatów NOKIA z serii 60 (m.in. model 7650 czy popularna N-Gage). Efektem jego działania było wyświetlanie się tekstu „Caribe” na ekranie zainfekowanego telefonu. Robak rozprzestrzeniał się na inne znajdujące się w pobliżu urządzenia (telefony, drukarki, konsole do gier itd.), wykorzystując technologię Bluetooth. Zdaniem ekspertów robak ten został zaprojektowany przez grupę hakerów zwaną „29A” jedynie w celu sprawdzenia koncepcji ataku na telefon komórkowy, na co wskazuje jego stosunkowo mało ofensywne działanie.
Rok 2005: ewolucja MMS
CommWarrior, wykryty w 2005 roku, poczynił dalsze kroki, rozszerzając możliwość rozprzestrzeniania się nie tylko przez Bluetooth, lecz także przez MMS. Po zainfekowaniu urządzenia CommWarrior uzyskiwał dostęp do pliku kontaktów i sam się rozsyłał do wszystkich figurujących tam odbiorców, wykorzystując usługę MMS oferowaną przez operatora. Użycie MMS jako metody rozprzestrzeniania się wprowadziło aspekt ekonomiczny: właściciel telefonu musiał płacić operatorowi za każdy tak wysłany MMS. Niektórzy operatorzy uzyskali dzięki działaniu wirusa CommWarrior wzrost ruchu nawet o 3,5%, jednak ostatecznie zgodzili się zrekompensować straty ofiarom ataków. Hakerzy nie dostawali z tego nic. Głównym celem działania robaka CommWarrior było bowiem jak najszybsze rozprzestrzenianie się, a nie przynoszenie dochodów.
Wirus ten atakował również platformę Symbian 60 i został wykryty w ponad 18 krajach Europy, Azji oraz Ameryki Północnej. Liczba zainfekowanych urządzeń mobilnych sięgnęła 115 000, a liczba MMS-ów wysłanych bez wiedzy użytkowników przekroczyła 450 000. Okazało się wówczas po raz pierwszy, że robak na urządzenia mobilne może się rozprzestrzeniać równie szybko jak na PC. W tamtym czasie Symbian był najbardziej popularną platformą smartfonów, z dziesiątkami milionów użytkowników na całym świecie.
Rok 2006: wymierne zyski finansowe
Po sukcesach robaków Cabir i CommWarrior, wykryty został koń trojański o nazwie RedBrowser, który niósł ze sobą szereg istotnych udoskonaleń w stosunku do swych poprzedników. Pierwsze polegało na tym, że szkodliwe oprogramowanie infekowało telefon za pośrednictwem platformy Java 2 Micro Edition (J2ME). CommWarrior był koniem trojańskim, zamaskowanym jako aplikacja ułatwiająca korzystanie ze stron internetowych z protokołem WAP (Wireless Application Protocol). Dzięki wykorzystaniu platformy Java, która była powszechnie obsługiwana, hakerzy mogli atakować znacznie szerszą grupę użytkowników niezależnie od producenta telefonu czy systemu. Po drugie – i jest to chyba najważniejsza różnica – CommWarrior został specjalnie zaprojektowany do wykorzystania usługi SMS o podwyższonych opłatach. Właściciel telefonu zazwyczaj był obciążany kwotą ok. 5 dolarów za każdy SMS – oznaczało to kolejny krok na drodze ku wykorzystaniu oprogramowania malware na urządzenia mobilne jako metody pozyskiwania pieniędzy.
Rok 2013: gra toczy się nadal — nowe sposoby ataku
W roku 2013 pojawił się FakeDefend – pierwsze oprogramowanie typu ransomware na telefony z systemem Android. Jest to koń trojański, który ukrywa się pod przykrywką programu antywirusowego i działa analogicznie jak fałszywe programy antywirusowe na platformie PC, tj. blokuje urządzenie i żąda od ofiary zapłacenia okupu (w tym przypadku w formie wygórowanej opłaty „abonamentowej”) w zamian za umożliwienie odzyskania zawartości urządzenia. Zresztą zapłacenie okupu nie daje żadnych efektów i jedynym sposobem odzyskania funkcjonalności urządzenia jest przywrócenie ustawień fabrycznych.
W 2013 roku pojawił się także Chuli, pierwszy atak APT wykorzystujący oprogramowanie malware na platformę Android. Konto e-mail aktywisty uczestniczącego w Światowej Konferencji Uyghur, która miała miejsce w Genewie w dniach 11-13 marca 2013 roku, zostało wykorzystane do zaatakowania kont innych tybetańskich aktywistów i obrońców praw człowieka. Z zainfekowanego konta zostały rozesłane wiadomości e-mail, które w załączniku zawierały kopię robaka Chuli. Zbierał on następnie takie dane jak przychodzące SMS-y, dane kontaktowe przechowywane na karcie SIM i w telefonie oraz informacje o położeniu, a także rejestrował rozmowy telefoniczne ofiar. Wszystkie te informacje były wysyłane do zdalnego serwera.
