Masz telefon z Javą? Uważaj na trojana!

Eksperci z firmy Kaspersky Lab poinformowali o wykryciu pierwszego "mobilnego" trojana, zaprojektowanego tak, by infekował telefony komórkowe wyposażone w oprogramowanie Java 2 Mobile Edition (J2ME). Szkodnik o nazwie RedBrowser nie jest na razie zbyt groźny - specjaliści obawiają się jednak, że zwiastuje on zupełnie nowy typ zagrożeń dla użytkowników urządzeń przenośnych. Będą one powszechne (J2ME to bardzo popularne oprogramowanie) i wyjątkowo uciążliwe dla użytkownika - RedBrowser może poważnie wydrenować kieszeń, ponieważ po zainfekowaniu telefonu zaczyna wysyłać z niego SMS-y na numery o podwyższonej płatności. "Konia trojańskiego RedBrowser można uznać za nowatorskiego, ponieważ dotyczy on platformy J2ME, czyli występującej w większości "tanich" telefonów komórkowych. Tego typu trojany można było spotkać do tej pory jedynie na platformie Symbian" - mówi Jakub Dębski z firmy Arcabit.

Na początek dobra wiadomość: RedBrowser nie potrafi sam się rozprzestrzeniać - trojan podszywa się pod aplikację, która ma ułatwiać użytkownikom przeglądanie stron za pośrednictwem protokołu (Wireless Application Protocol). Program ten można znaleźć na wielu rosyjskich stronach z oprogramowaniem dla telefonów komórkowych. Przedstawiciele firmy Kaspersky Lab podkreślają, że trojan nie stanowi poważnego zagrożenia dla użytkowników - głównie z uwagi na ograniczone możliwości dystrybucyjne oraz fakt, że bardzo łatwo można go usunąć z telefonu.

Komentuje Piotr Kijewski, ekspert CERT Polska:

Naszym zdaniem trojan nie jest szczególnie niebezpieczny - mimo, że istnieje możliwość spowodowania szkód finansowych jeżeli dojdzie do udanej infekcji. Aby jednak do tego doszło, konieczne jest jego ręczne zgranie do telefonu, a następnie musi zostać wykonany szereg potwierdzeń przez użytkownika w celu pełnego uruchomienia aplikacji. Trojan musi korzystać z technik inżynierii społecznej, aby zachęcić użytkownika do jego uruchomienia. Techniki te póki co wydają się lepiej sprawdzać w środowisku klasycznych wirusów pocztowych, a nie w telefonach komórkowych.

Oczywiście, wraz z coraz większym skomplikowaniem oprogramowania na telefony komórkowe/urządzenia przenośne, będzie się pojawiać coraz więcej podobnych trojanów/wirusów na nie. Poważne zagrożenie z ich stron wystąpi wtedy, kiedy ich sposób propagacji będzie w pełni automatyczny, bez konieczności interakcji z użytkownikiem.

Nie znaczy to jednak, że można go zlekceważyć. "Dostaliśmy tylko jedną kopię RedBrowser - z naszych analiz wynika, że jest to coś w rodzaju "prototypu" trojana. Niepokojące jest to, że autorzy złośliwego oprogramowania wzięli na celownik platformę J2ME - do tej pory "mobilne" wirusy i trojany atakowały przede wszystkim urządzenia pracujące pod kontrolą Symbiana" - mówi przedstawiciel moskiewskiej firmy. Warto zaznaczyć, że trojan działa również na telefonach z Symbian OS.

Podczas instalowania się, trojan pyta użytkownika o zgodę (fot. Kapsersky Lab).

Podczas instalowania się, trojan pyta użytkownika o zgodę (fot. Kapsersky Lab).

Trojan ukrywa się w pliku o nazwie redbrowser.jar - z informacji przedstawionych przez Kaspersky Lab wynika, że udało się go uruchomić na telefonach Nokia 6681, Sony-Ericsson W800i oraz komunikatorze Blackberry 8700c. Po uruchomieniu na ekranie wyświetlany jest komunikat (w języku rosyjskim): "Uważnie przeczytaj opis programu. Umożliwia on przeglądanie stron WAP bez połączenia GRPS". Później na ekranie pojawia się napis sugerujący, że do obejrzenia żądanej strony niezbędne jest wysłanie wiadomości SMS - jeśli użytkownik się na to zgodzi, RedBrowser zacznie wysyłać SMS kosztujące od 5 do 6 USD (na razie problem dotyczy jedynie mieszkańców Rosji).

Miliard potencjalnych celów?

Warto przypomnieć, że J2ME jest niezwykle popularnym oprogramowaniem - według jego producenta, firmy Sun Microsystems, na całym świecie sprzedano do tej pory ponad miliard urządzeń mobilnych wyposażonych w J2ME (platformę tę wykorzystują w swoich produktach m.in. firmy Nokia oraz Motorola). To najbardziej niepokoi specjalistów z firm antywirusowych - obawiają się oni, że jeśli z czasem zaczną pojawiać się kolejne, udoskonalone wersje robaków infekujących J2ME, to użytkownicy mogą znaleźć się w poważnych tarapatach. Wystarczy bowiem wyobrazić sobie, jak groźny może być trojan, który będzie:

- wysyłał płatne SMS (podobnie jak RedBrowser)

- kasował pliki z telefonu i ustawicznie restartował system (jak SymbOS.Pbstealer.D, SymbOS.Sendtool.A czy SymbOS.Bootton.E opisywane przez nas w tekście "Trojany zagrażają komórkom")

- potrafił rozprzestrzeniać się w pełni automatycznie, jak np. Cabir (o którym pisaliśmy w tekście "Cabir - pierwszy komórkowy wirus").

Komentuje Marcin Gruszka z firmy Orange

Czy operatorzy chronią w jakiś sposób swoich klientów przed zagrożeniami takimi jak RedBrowser?

Marcin Gruszka, biuro prasowe Orange: Pozycja operatora jest w tej sytuacja specyficzna. Tak naprawdę z wirusami walczy Sun, producent Javy. I to w relacji Sun - specyfikacja - producent telefonu, jest sposób na walkę z wirusami. My zwracam jedynie uwagę aby wszyscy nasi content providerzy dostarczali produkty zweryfikowane i sprawdzone.

Z drugiej strony monitorujemy rynek i bardzo poważnie bierzemy pod uwagę wszelkie niepokojące sygnały. Nasza pozycja pozwala na uczulanie dostawcy na ciągłe podnoszenia parametrów bezpieczeństwa platformy.

W naszych umowach z Dostawcami treści znajdują się odpowiednie zapisy, które w szczególności zabraniają Dostawcom dystrybucje aplikacji, które bez zgody użytkownika telefonu będą wysyłać SMS-y lub będą samoczynnie nawiązywać połączenia transmisji danych.

Czy gdyby Państwa klient padł ofiarą takiego trojana, to czy musiałby zapłacić wygenerowany przez niego rachunek?

To bardzo trudne pytanie. Robimy wszystko by uniknąć takiej sytuacji.

Jakie kroki podejmie Orange, jeśli program taki pojawi się również w Polsce?

Oczywiście będziemy informować i we współpracy z producentami telefonów i Sunem eliminować problem. Jak? Dziś za wcześnie na ta odpowiedź. Będziemy przygotowani na podjęcie działań po pierwszych zidentyfikowanych przypadkach.

Aktualizacja: 02 marca 2006 10:34

Tekst został uzupełniony o komentarz Marcina Gruszki z Biura Prasowego firmy Orange.


Zobacz również