A számítógépes kórokozók beköltöznek a mobiltelefonokba

Geza Papp, 2004. június 15. 17:40
A Kaspersky Lab's június 14-én, a késői órákban észlelte az első maroktelefon-hálózaton terjedő kórokozót, vírust, a Cabirt.
Megj: a maroktelefonok szinte hihetetlen gyorsaságú terjedése és technikai fejlődése, először a beszélgetés átjátszására, majd később az egyre bonyolultabb adatátvitelre alkalmas programok fejlődése egyre nagyobb kihívásnak bizonyult a vírusírók számára. Ugyanígy az adatforgalom tartalmi része már felkeltette az egyes állami szolgálatok figyelmét is. A vírusírók eddig nem sok "sikerrel dicsekedhettek". A szolgáltatók a maroktelefon-beszélgetések helyét, időpontját könnyen meghatározzák, de az igen fontos adattartalom megismeréséhez technikai eszközökre - közvetlenül a telefonba szerelhető, ill. a beszélgetéseket lehallgató, később az adatforgalmat ellenőrző, ill. megismerő eszközökre - van szükség. Úgy néz ki, egy idő után az eszközöket el lehet felejteni - mert mindezt megoldhatja már egy számítógépes vírus is. Ma még a "Cabir", de sajnos a jövőre nézve bizton mondhatom, hogy ez esetben a legtalálóbb a mondás "minden kezdet nehéz"... a többi már könnyű lesz...

A Kaspersky Lab's vizsgálatai szerint az újonnan észlelt kórokozót nagy biztonsággal egy, az interneten "Vallez" hálózati álnevet (nickname) használó személy írta. Ezt az álnevet használja a hírhedté vált nemzetközi "29a" vírusíró csoport. Ez a csoport arra specializálódott, hogy olyan vírusokat írjon, amik megírása lehetetlennek látszott - igen szépen úgy is mondhatnánk, hogy "proof-of-concept viruses", azaz "kísérleti vírusokat". A csoport nevéhez fűződik a "Cap", az első globális járványt okozó makróvírus, majd a Stream, az első NTFS fájlrendszert használó alkalmazásokat érintő vírus, a Donut, az első .NET vírus és a Rugrat, az első Win64 vírus megírása - most pedig az első mobiltelefon-hálózatokon terjedőé, a "Cabir"-é.

A Kaspersky Lab's észlelte először és elemezte a Cabirt, az első olyan hálózat férget, mely mobilhálózatok keresztül terjed. Megfertőzi a telefonon futó Symbian OS-t. Az eddigi vizsgálatok alapján úgy tűnik, hogy a Cabir fertőzés utáni futása a rendszerben nem okoz kárt, nem idéz elő semmiféle "biztonsági incidenst" (security incidents).

A malware (számítógépes kórokozó) előzetes analízise azt mutatja, hogy Cabirt a hálózaton mint egy SIS fájlt (Symbian OS distribution file) sugározzák, de hogy kellően rejtve maradjon, a sugárzott fájl (Carib) Security Manager utility (szolgáltatás jellegű). Ha a fertőzött fájlt "elküldik", kisugározzák, a cél maroktelefon kijelzőjén megjelenik egy "Caribe" felirat. A féreg bejut a rendszerbe, és aktiválódik minden esetben, amikor a telefont használják. A Cabir vizsgálja az összes olyan telefont, mellyel a fertőzött eszköz kapcsolatba került (beszélgetés, SMS, MMS stb.), és arra a telefonra, amelyik a Bluetooth technológiát használja, elküldi ("átsugároztatja") egy másolatát.

A közlemény szerint a féreg kód analízise során eddig még nem észleltek "rosszindulatú programot (spy, down-at uploader stb.) a Cabirbben.

A féreg kód olyan telefonokon fut, melyek Symbian OS-t alkalmaznak - ezt alkalmazzák több "okos" Nokiánál.

Emiatt és azért, mert "a Cabir fertőzés utáni futása a rendszerben nem okoz kárt, nem idéz elő semmiféle 'biztonsági incidenst' (security incidents)", több optimista szakértő különösebb veszélyt nem lát benne, de a Kaspersky Lab's szerint igen nagy a valószínűsége, hogy a Cabir más gyártók maroktelefonját is meg tudja fertőzni, tehát más (OS-ek) rendszerek alatt is fog futni.

Én szkeptikus vagyok, és nem értem többek optimizmusát. A Cabir megjelenése csak egy kezdet. Kezdete annak, hogy telefonos hálózaton lehet már vírust sugározni. A többi már részletkérdés. Részletkérdés az, hogy milyen rendszer alatt fut, az, hogy mire képes.

Mindez a programozón és/vagy megrendelőjén múlik. Az az igen rossz sejtésem, hogy mindezt heteken, maximum hónapokon belül megtudjuk.

Egy olyan akadály hárult el a rosszindulatú információéhes emberek és testületek elől, melyre egy éve gondolni sem mertünk. Miért írom ezt ilyen magabiztosan: azért, mert senkinek nem célja egy maroktelefon tönkretétele. Annak semmilyen jelentősége, értéke nincs, annál értékesebb az az információ, ami a telefonálótól nyerhető lesz, ha egy ilyen jellegű telefonhálózaton sugározható kórokozót egy spy programmal ellátnak, úgy néz ki, mindennek nem lesz akadálya.

A Cabir megismeréséért köszönet Denis Zenkinnek (Head of Corporate Communications Kaspersky Labs)

Geza Papp dr.
Networksecurity and Virusanalyst

Kulcsszavak: mobiltelefon vírus

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59