Ecco come Kaspersky Lab ha scoperto Cabir, il primo vero malware mobile

17 giu 2014
Notizie Virus

Dieci anni fa, Kaspersky Lab comunicava la scoperta di Cabir, il primo worm progettato per attaccare i telefoni cellulari. Diversamente dalla maggior parte dei campioni di malware moderni, Cabir non era particolarmente dannoso ma ha fatto storia perché è stato il primo in grado di infettare anche i telefoni cellulari.

Il primo incontro tra Cabir e Kaspersky Lab è avvenuto a giugno 2004. Uno degli analisti anti-virus della società, quasi al termine del suo turno, mentre si apprestava a fare il passaggio di consegne ad un collega, notò una email senza testo e con un file allegato sospetto che non era chiaro per quale piattaforma software fosse stato scritto. Sicuramente non era stato progettato per Windows o Linux le piattaforme con le quali, gli analisiti di Kaspersky Lab, erano soliti lavorare.

"Quella sera Roman Kuzmenko stava facendo il suo turno di notte," ricorda Alexander Gostev, Chief Security Expert di Kaspersky Lab. "Roman all’epoca si era già distinto tra gli analisti Kaspesky per le sue capacità di analizzare le minacce complesse in maniera veloce ed accurata. Infatti, in breve tempo, Roman scoprì che quel file sospetto era stato scritto per essere eseguito su Symbian OS - un sistema operativo mobile per i telefoni cellulari Nokia", aggiunge Gostev.

Da un’analisi più approfondita si capì che il file era in grado di passare da un telefono all’altro via Bluetooth. La conseguenza era che la batteria del telefono infetto veniva esaurita in modo estremamente rapido. Questa era la sua unica funzione dannosa. Tuttavia, la capacità di diffondersi da un telefono a un altro costrinse gli esperti di Kaspersky Lab a costruire una nuova testing room dedicata all’analisi delle minacce mobile.

"I nostri colleghi degli uffici vicini hanno però cominciato a lamentarsi che un qualche tipo di 'virus' stava infettando i loro telefoni. Abbiamo quindi deciso di attrezzare una testing room con un rivestimento speciale per evitare che qualsiasi segnale radio fosse in grado di uscire. Questa camera è servita in seguito come luogo speciale per condurre test su nuovi campioni di malware mobile", ha dichiarato Gostev.

Nel codice del malware Cabir gli esperti hanno trovato menzioni di "29A" - un gruppo di autori di malware noti per sviluppare i cosiddetti virus concettuali. Si tratta di quei virus sviluppati sia al fine di dimostrare la vulnerabilità di un particolare sottosistema del computer e sia per dimostrare la possibilità di infettare particolari sistemi o dispositivi.

"Questo gruppo era noto, nel mondo della sicurezza informatica, per lo sviluppo di software dannosi. Cap, Steam, Rugrat – sono i nomi dei famigerati malware sviluppati da 29A ", osserva Gostev

Oltre allo sviluppo di malware concettuali, i criminali di 29A, erano soliti pubblicare regolarmente un e-magazine. In una di queste edizioni, 29A aveva pubblicato il worm stesso e alcuni frammenti del codice sorgente. L’articolo, che voleva dimostrare che il malware poteva essere indirizzato ad una delle più popolari piattaforme mobile di tutto il mondo, ha causato enorme scalpore nel mondo della sicurezza informatica di quel tempo. Ha inoltre spinto altri sviluppatori di virus a ampliare ulteriormente questa idea.

Poco dopo la pubblicazione del worm nella rivista di 29A, tutte le modifiche di Cabir venivano pubblicate sul web.

"Ci siamo resi conto molto presto che Cabir fosse solo l’inizio e che le minacce mobile sono un problema molto grave che necessita di un approccio molto speciale. Per affrontarlo, abbiamo istituito una nuova divisione di ricerca all'interno di Kaspersky Lab interamente dedicata alle minacce mobili", ha dichiarato Alexander Gostev.

Per la velocità e precisione di analisi, Roman Kuzmenko si è guadagnato non solo l'onore di essere l’analista che ha scoperto il primo campione di malware mobile, ma anche un regalo scherzoso da parte dei colleghi, uno smartphone Nokia, per catturare e analizzare molti altri virus.

Dopo Cabir, sono stati scoperti un centinaio di virus destinati ai dispositivi Symbian. Il numero di nuovi malware per questa piattaforma hanno cominciato a crescere rapidamente in seguito alla creazione dei nuovi sistemi operativi mobili, come Android, che grazie alla sua rapida diffusione rappresentava l’obiettivo più redditizio per i criminali informatici. Dieci anni dopo la scoperta di Cabir, l’archivio dei malware mobile di Kaspersky Lab contiene più di 340.000 campioni unici, oltre il 99% dei quali ha come obiettivo Android.

E’ possibile trovare maggiori dettagli su come è stato scoperto Cabir, perchè si è guadagnato questo nome, i dati sulla sua diffusione, le conseguenze che ha provocato e l'impatto che ha avuto nel settore della sicurezza informatica, in un post dedicato a Cabir sul blog di Eugene Kaspersky.

Per capire come si sono evoluti i malware mobile nel corso degli ultimi dieci anni, Kaspersky Lab ha creato un' infografica sui malware mobile

 CONDIVIDI