2009
Первым вирусом, поражающим операционную систему Android, был троян (руткит), ворующий данные пользователя. Его деятельность активировалась с помощью SMS-сообщения. Вреда он никому не причинил, поскольку был создан компанией Trustwave (с 1995 года на рынке компьютерной безопасности) в целях доказательства возможности создания малвари под «неуязвимую операционную систему». Новость об этом обошла ленты IT-новостей по всему миру.
Я уверена, что у «доверчивой волны» были предшественники, так как с момента появления первой версии Android до заявления о создании вредителя-первопроходца прошел почти год. Но о них широкой общественности ничего не известно.
2010
Вторая половина этого года принесла миру значительное количество вирусов-дебютантов.
В начале августа «Лаборатория Касперского» объявила об обнаружении SMS-троянца массового поражения — FakePlayer. Эта незатейливая программа маскировалась под порнопроигрыватель и рассылала SMS на платные номера. В считаные дни вслед за ним на сцену вышли MobileSpy и SmsSend, совершающие аналогичные действия. Все модификации этих вирусов маскировались под самые необходимые приложения для смартфона: заставки с обнаженными азиатками, игры типа «определи размер груди по фотографии» и прочее.
В начале сентября появилась новая разновидность SmsSend (Android.SMSSend.2 по квалификации Dr.Web). Для его распространения был создан специальный сайт (в российской доменной зоне), при посещении которого автоматически начиналась загрузка вируса.
В последние месяцы 2010 года стали набирать популярность три китайских вируса Geinimi, Spy и ADRD. Эти заразы маскировались под популярные Android-приложения и распространялись в основном через форумы и блоги о мобильных гаджетах. Вкратце опишем функционал каждого вида малвари.
Geinimi. Невинный юзер беспечно использует свежеустановленную программу, не подозревая о том, что у его «поющей пони» или «танцующей свинки» есть темная сторона...
Зловредная часть приложения собирает информацию об истории звонков, отправленных и полученных сообщениях, браузерных закладках, содержимом карты памяти и передает это на сервер хозяев. Далее в зависимости от собранных данных сервер направляет команды, которые Geinimi выполняет.
Spy. Умеет все то же самое, что и предыдущий зловред, плюс обладает функцией загрузки собственных обновлений (для их установки требуется согласие владельца устройства). Также вирус может переходить по определенным ссылкам.
ADRD. Малварь в целом шпионского свойства, но ее основная задача — продвижение сайтов в поисковых системах. Если ты не занимался такой дребеденью, как SEO-оптимизация, то идея использовать мобильный троян для продвижения сайтов, возможно, покажется тебя странной.
Среди факторов ранжирования сайта в крупных поисковых системах есть поведенческие факторы. Допустим, сайт Y стоит на седьмом месте в поисковой выдаче по запросу X. Если пользователи в достаточном количестве будут кликать сразу на седьмую позицию и задерживаться на сайте хотя бы на пару минут, то вскоре поисковик решит, что сайт Y наиболее релевантен для этого запроса.
Вот ADRD и имитирует заинтересованного пользователя, который вводит поисковый запрос, кликает на n-ю позицию вместо первой и старательно шарится по сайту (повышая показатель внутренних поведенческих факторов).
Также на рубеже 2010–2011 годов стали распространяться (за умеренную плату) программы для слежки за человеком, пользующимся Android-телефоном, — MobileSpy, Flexispy и другие. Они имеют возможность читать SMS, историю звонков, прослушивать окружающую обстановку и считывать местоположение пользователя. Уголовно наказуемая деятельность, между прочим!
2011
Начало весны этого года порадовало сенсационной находкой — малварь в официальном Android Market! В нем было найдено около пятидесяти приложений с трояном DreamExploid.
Этот вирус также занимался сбором информации о пользователе (включая IMEI и абонентский номер) и выполнением различных команд, направляемых с сервера мошенников. Но самое главное — он пытался завладеть администраторскими правами посредством запуска root-эксплойта!
Все зараженные приложения были изъяты из магазина Google и принудительно удалены (подобное нарушение прав человека среди пользователей Android называется Kill Switch).
Новая модификация вируса SPY — Android.Spy.54 (по квалификации Dr.Web) появилась в апреле того же года. Теперь вирус стал способен осуществлять спам-рассылки, сформированные из XML-данных, с номера жертвы.
Также в этом месяце появился первый бэкдор — Crusewind. Он осуществляет рассылку SMS-спама и создает значительную нагрузку на систему.
В июне внутри приложения Angry Birds Rio Unlock был найден новый вирус, названный Plankton. После сбора информации о пользователе он устанавливает на устройство могучую кучку вирусов различного функционала.
Поскольку разблокировка уровней в Angry Birds была на тот момент насущной потребностью миллионов жителей нашей планеты, Plankton получил рекордные масштабы распространения (четверть миллиона человек за несколько недель).
Примерно в это время в Android Market обнаружили DDLight — вирус, схожий по функционалу с предыдущим, но начинающий работать по триггеру на определенное событие.
В августе SmsSend исполнился год. За этот период появилось более шестидесяти его разновидностей.
Осенью несколько десятков приложений, зараженных разновидностями этого троянца, были выявлены в официальном магазине приложений Google.
В декабре начал широко распространяться Arspam — троян, встроенный в компас для мусульман и рассылающий религиозно-политический спам. К слову, наши винлоки угрожают тюрьмой, а арабские — судом шариата :).
2012
Зимой появляется бэкдор Anzhu, встроенный в программу для блокировки экрана. Новым в нем является мониторинг системного журнала.
На рубеже зимы и весны отметился Moghava, предназначенный для жителей Ирана. Коммерческой выгоды создателям продукт не приносит. Он просто перебирает все картинки пользователя и помещает на них фотографию некого аятоллы Хомейни (мужик в чалме и с бородой).
С 6 марта 2012 года на Android Market не было обнаружено больше ни одного вируса. Теперь их находят на Google Play!
Весной этого года вирусописатели решили проэксплуатировать (или проэксплойтировать?) весенний гормональный всплеск пользователей и создали I-Girl. На зараженном устройстве работает ботнет, который отправляет пользователю сообщения от симпатичной девушки (и даже иногда адекватно отвечает на ответные фразы пользователя). Активность пользователя вирус интерпретирует как согласие на снятие денег с его счета.
Апрель. Gongfu. Этот вирус также маскировался под анлок для Angry Birds. Он, как честная малварь, не запускал никаких скрытых root-эксплойтов, а убеждал пользователя провести рутинг руками (инструкция прилагалась), так как это «необходимо для разблокировки игры Angry Birds».
В начале мая появляется MulDrop. Вирус-матрешка — внутри легитимного приложения скрывается зашифрованный троянец.
В июне начал атаковать пользователей SmsBot, который получает команды с сервера с помощью Twitter API.
В июле китайскую аудиторию порадовал MMarketPay, который заставляет устройство заниматься неистовым шопингом в магазинах приложений. А японскую аудиторию ублажил MailSteal, формирующий базу для email-спама из адресной книги пострадавшего.
В августе активизировались SpyEye и Zeus, которые специализируются на краже паролей.
В сентябре начинает работу перехватчик сообщений SmsSpy и Temai, предназначенный для загрузки счетчиков приложений.
Октябрь интересен программой GBPBoot, которую не так легко удалить, поскольку она интегрирует свой инсталлятор в MBR-запись. Основной функционал аналогичен собратьям SMS-троянцам со шпионскими замашками.
В конце года появляется FakeSber, перехватывающий сообщения от системы «Сбербанк-онлайн».
Последним ярким событием года стал вирус DDoS, предназначенный для организации хакерских атак с мобильных устройств.
2013
В начале года Android-устройства подвергаются заражению вирусом Biggboss. Идея проста: фейковое сообщение от работодателя, перенаправление на сайт, просьба перевести деньги на счет компании.
Весной появился Androways. Этот вирус спамит пользователя Push-уведомлениями о «срочных необходимых обновлениях», заставляя человека дать согласие на установку друзей-вирусов.
В апреле выходит Uapush, которая показывает рекламу в нотификационной панели.
Май. Pincer. Перехват сообщений с определенных номеров (предназначен для воровства банковских данных).
В июне количество модификаций SmdSend перевалило за 500. Количество разного рода вирусов-шпионов также растет бешеными темпами.
В июле создать вирус стало еще проще! Появились утилиты под винду, предназначенные для создания шпионской малвари под Android, — Tool.Raziel и Tool.AndroratTool. С помощью их можно встроить троянца (определенного создателями инструмента) в любое приложение.
В начале осени обнаружен ботнет, состоящий из 200 тысяч Android-устройств, зараженных вирусом SmsSend. Это стало абсолютным рекордом среди мобильных бот-сетей.
В этот же период начинает вредительствовать Fakealert, отображающий сообщения о несуществующих угрозах и требующий внести плату для ее устранения.
В декабре появляется WhatsappSpy, который передает на сервер злоумышленников базу сообщений из одноименного мессенджера.
2014
Год начался ярко. В январе появился первый буткит для Android — Oldboot. Вредоносная деятельность у него не отличается от основной массы старших собратьев — выполнение команд от управляющего сервера. Но размещается он в загрузочной области файловой системы, что можно считать грандиозным технологическим прорывом.
Заключение
В этой статье я старалась описать основные идейные вехи в истории мобильной малвари. Лишние упоминания о невероятной плодовитости шпионских программ и SMS-рассыльщиков здесь опущены. Как видишь, рассвет технической мысли андроид-вирусмейкеров пришелся на вторую половину 2010 — первую половину 2011 года, когда были освоены основные функции, которые можно использовать с выгодой для себя: рассылка сообщений, сбор информации, рутинг, имитация действий пользователя в Сети. Творческий расцвет настал чуть позже, в 2012-м, тогда вирусы стали просить пользователя самостоятельно сделать рутинг, чтобы малвари было где развернуться, чтобы можно было спокойно использовать Twitter API и притвориться прекрасной незнакомкой.
