Analisten zien alarmerende ontwikkeling bij mobiele malware

De eerste worm die zich verspreidt tussen mobiele apparaten door het sms'en van tekstberichten heeft een nieuwe communicatiemogelijkheid ontwikkeld die een beveiligingsleverancier zegt dat de komst van mobiele botnets signaleert.

Trend Micro heeft een stuk mobiele malware geanalyseerd die bekend staat als " Sexy Space, "wat een variant is van een ander stuk mobiele malware genaamd Sexy View, gericht op apparaten met het Symbian S60 OS.

Sexy View, dat zes maanden geleden door verkopers zoals F-Secure werd ontdekt, is belangrijk omdat het is het eerste bekende malware-voorbeeld dat zich via sms verspreidt (Short Message Service). Het verscheen oorspronkelijk in China.

[Meer informatie: hoe verwijder je malware van je Windows-pc]

Geïnfecteerde telefoons zouden sms'en verzenden naar iedereen in de contactenlijst van de telefoon met een link naar een website. Als iemand op de link klikt, wordt hem gevraagd om Sexy View te installeren, waarin wordt beweerd dat pornografische inhoud wordt aangeboden.

In een andere versie konden diegenen die Sexy View schreven de applicatie goedgekeurd en ondertekend krijgen door Symbian. De OS-fabrikant, die nu eigendom is van Nokia, voert beveiligingsaanvragen uit met behulp van zowel handmatige als geautomatiseerde processen, zei Mikko Hypponen, hoofdonderzoeker voor F-Secure. De makers van Sexy View waren op de een of andere manier in staat om dat geautomatiseerde controleproces te ondermijnen. toepassing voor toegang tot functies zoals SMS, zei Hypponen. De nieuwste variant, Sexy Space, is ook ondertekend door Symbian.

Maar in de nieuwste alarmerende ontwikkeling hebben Trend Micro-analisten ontdekt dat Sexy Space nieuwe sms-sjablonen van een externe server kan downloaden om nieuwe sms-spam te verzenden, zei Rik Ferguson, senior beveiligingsadviseur voor Trend.

Geen malware voor een mobiel apparaat is bekend om dat eerder te doen. Analisten bij Trend hadden "verhitte interne discussies" over de vraag of Sexy Space gekwalificeerd als botnetcode, Ferguson zei.

Sexy Space is ook in staat om abonnee- en netwerkinformatie van het apparaat te stelen en naar een externe server te sturen, zei Ferguson.

Sexy Space bevestigt wat analisten zoals Hypponen en Ferguson eind vorig jaar hebben gezegd: mobiele apparaten krijgen meer functionaliteit en werken als minicomputers. Waarschijnlijk worden ze dan ook het doelwit van malwareschrijvers en worden ze uiteindelijk in botnets opgenomen.

Botnets - misschien wel een van de grootste beveiligingsbedreigingen op het internet - zijn netwerken van gehackte computers die kunnen worden gebruikt om spam te verzenden, denial-of-service-aanvallen op websites uit te voeren of gegevens te stelen.

Hypponen zei F-Secure-analisten had niet bevestigd dat Sexy Space een externe server inschakelt, en Trend-technici onderzoeken nog steeds waar de externe server zich bevindt.

Het is niet duidelijk nu veel telefoons mogelijk zijn geïnfecteerd. Maar één leverancier van mobiele telefonie in Beijing, NetQin Tech, schreef op zijn blog dat infecties wijdverspreid waren in China en Saoedi-Arabië.

F-Secure informeerde Symbian over de malware. Het is mogelijk dat netwerkoperators het certificaat intrekken waarmee een toepassing op een Symbian-telefoon kan worden uitgevoerd, zei Hypponen.

Maar de intrekkingsmechanismen zijn niet automatisch en afhankelijk van de instellingen van de operator werkt deze mogelijk niet voor alle telefoons, Hypponen zei.

F-Secure heeft een beschrijving van de malware, ook wel bekend als 'zender'. Trend heeft ook een analyse gepost.