Концепт носил имя «Timofonica» (приставка «timo» в переводе на русский язык обозначает «мошенничество», «надувательство»), что по звучанию очень напоминало название крупнейшего пиренейского телекоммуникационного гиганта Telefonica. Вирус использовал весьма оригинальный способ подпортить жизнь владельцам мобильных телефонов: заражая компьютеры ничего не подозревающих людей, он посылал с них SMS-cообщения на телефоны местного оператора MoviStar, предоставляющего услуги в стандарте GSM. Эти сообщения содержали всего одну строку на испанском языке «Информация для вас: Timofonica вас надувает!»
Российских пользователей подобное SMS-хулиганство ни как не затронуло. Да и вообще, по сути, назвать Timofoiuca типично мобильным вирусом не поворачивается язык, ведь он располагался на компьютере, то есть всецело использовав его ресурсы и распространялся по электронной почте, благодаря которой и рассылал сообщения; больше никакого действия на мобильные телефоны он не оказывал.
В августе того же года всерьез встрепенулись абоненты японского оператора NTT DoCoMo. Причина заключалась в странном поведении их «мобильников», оснащенных поддержкой сервиса «i-mode» (быстрый доступ к развлекательным ресурсам Всемирной паутины). В момент, когда происходило одно из типичных online-голосований при помощи wap-сервиса, при ответе на один из вопросов трубки всех владельцев, участвующих в викторине, начали звонить на тамошний телефон полиции, что привело к существе перегрузке сети.
Всего было зарегистрировано более 400 пустых звонков. В ходе расследования случившегося инцидента выяснилось, что во все телефоны абонентов NTT DoCoMo, поддерживающие «i-mode», оператором был вшит «баг», разрешающий несанкционированный доступ к аппарату. Случай со временем забылся, однако для чего были совершены звонки именно на номер экстренной службы, так и не удалось выяснить.
Собственно, таким образом и началась эра «страшилок» для мобильных устройств.
Ниже описаны виды червей, известных на сегодняшний день.
Cabir
Вирус создан для размножения на аппаратах под управлением операционной системы Symbian OS. Появился в июне 2004 года. Распространяется только посредством Bluetooth-соединения. Сразу после попадания на чей-либо смартфон начинает постоянно сканировать эфир в поисках новых жертв. Помимо банального самовоспроизведения никакой опасности для смартфонов Cabir не несет, но его действие приводит к более быстрому разряду батареи вследствие активного использования технологии Bluetooth. При обнаружении потенциального «клиента» зараженное устройство отправляет ему файл caribe.sis объемом 15 Кб. Для жертвы это выглядит так; на экране появляется предложение принять некое письмо, и, если пользователь дает согласие, на его телефон пересылается файл с вирусом, после чего система спрашивает разрешения инсталлировать программу под названием «Caribe». Если и на этот вопрос следует утвердительный ответ, червь устанавливается в систему, для верности копируя себя сразу в несколько директорий. Автор мобильного червя Cabir — некто под псевдонимом Vallez, является членом международной группировки 29А, специализирующейся на создании концептуальных программ-разрушителей. Ранее она прославилась созданием таких компьютерных вирусов, как Сар (первый макровирус, вызвавший глобальную эпидемию), Stream, Donut (гроза платформы. NET), Rugrat (первый вирус для Win 64) и других. Главной жертвой программы являются аппараты под управлением именно Symbian OS. На ней, в частности, работают смартфоны и коммуникаторы Nokia, Sony Ericsson и Siemens. Но не исключено, что Cabir может обосноваться и в моделях других производителей.
CommWarrior
Этот вирус способен атаковать аппараты под управлением Symbian Series 60. Появился в первой половине 2005 года. Предположительно разработан российскими хакерами, так как в своем коде вирус имеет фразу «Отморозкам нет!». При заражении предлагает инсталлировать себя, заведомо маскируясь под какую-нибудь программу: утилиту-менеджера виртуального рабочего стола, программу для просмотра порнокартинок, антивирус. Распространяется по Bluetooth или MMS. Первый механизм распространения, реализованный в CommWarrior, существенно отличается от такового у Cabir. Cabir заражает лишь один телефон из всех доступных: переключение на другое устройство произойдет лишь в тот момент, когда заражаемый телефон покинет территорию видимости. Comm Warrior же, в свою очередь, стремится заразить сразу все телефоны, находящиеся в радиусе зоны досягаемости. Поэтому он развивается намного быстрее, нежели Cabir. Второй способ заключается в рассылке своей копни всем абонентам из телефонной книги посредством MMS. Страшно подумать на какую сумму можно «залететь», учитывая, что, как правило, в списке контактов находится минимум сотня записей.
Duts
Является первенцем среди вирусов для смартфонов (в том числе и КПК), построенных на платформах Windows Mobile. Был обнаружен «Лабораторией Касперского» в середине октября 2004 года. По оценкам экспертов, Duts — это типичный концептуальный червь, опасный лишь для узкого круга устройств. Вирус в виде файла размером 1520 байт может попасть в аппарат по любым каналам связи с внешним миром: электронной почте, Интернету, при синхронизации с ПК, через сменные карты памяти или технологию беспроводной связи Bluetooth. После проникновения в систему Duts выводит на экран следующий текст: «Dear User, am I allowed to spread?» (Дорогой пользователь, вы позволите мне размножиться?). Если вы ответите на этот запрос «да», вирус установится на ваш мобильный телефон. При таком раскладе Duts внедряется в подходящие по формату и размеру исполняемые файлы в корневой директории устройства. В процессе заражения вирус дописывает себя в конец целевого файла, используя одно из его неупотребительных полей для собственной пометки (во избежание повторного инфицирования). Каких-либо деструктивных функций данный вирус не выполняет.
Lasco
Типичный червь, поражающий сотовые телефоны, работающие под управлением Symbian Series 60. Был обнаружен антивирусной компанией F-Secure в январе 2005 года. Распространяется двумя способами: посредством уже опробованной для этих целей Bluetooth-связи и через исполняемые файлы. Второй способ в мобильных телефонах встречается впервые. В его рамках происходит инфицирование установленных на телефоне SIS-файлов, добавление в их конец строчки velasco.sis (размер порядка 12 Кб) и модификация заголовков. Установка зараженного SIS-приложения приведет к его автоматическому запуску. Однако, как и прежде, у пользователя будет запрошено подтверждение на установку вируса. Если червь получит разрешение на инсталляцию, то его исполняемые файлы сначала будут скопированы в одни папки, а после запуска паразита — в другие. Такие сложные манипуляции позволяют Lasco заражать телефон, даже если программа устанавливается на съемную карту памяти. Кроме того, благодаря этому трюку пользователь не может уничтожить вирус, выполнив деинсталляцию SIS-файла зараженной программы. Основное действие Lasco — саморазмножение. Создатель этого вируса — бразильский программист Маркос Веласко.
Mabir
По сути, это просто слегка доработанная версия червя Cabir, которая, в отличие от него, может распространяться еще и в MMS сообщениях. Новая функция реализована интересным образом: червь рассылает себя не по всем номерам из телефонной книги, а только в ответ на входящее SMS- или MMS- сообщение, причем ответное послание не содержит ничего, кроме вредоносного файла info.sis. Если телефон вашего знакомого заражен вирусом, то, отправив ему любое сообщение, в ответ вы получите подарочек в виде паразита Mabir.
В этом разделе мы расскажем об известных на сегодняшний день троянских конях.
Dampig
Первое упоминание об этом троянском коне датируется январем 2005 года. Распространяется в виде файла с расширением. sis, маскируясь под приложение FSCaller (программное обеспечение компании Symbian). При попадании на телефон блокирует некоторые системные приложения и модули файлового менеджера, а также заражает устройство несколькими вариантами червя Cabir. Удалить его самостоятельно не получится, даже если вы знаете, какой именно файл инфицирован. Дело в том, что сразу после попадания жертвы в телефон Dampig изменяет информацию в системной программе установки, благодаря чему и не может быть деинсталлирован вручную.