Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 60

Рассматриваемая шпионская программа заведомо предназначена для несанкционированного копирования и модификации компьютерной информации.

Основная особенность программы — ее скрытый режим работы и ненавистное отношение к антивирусным продуктам, что подтверждается встроенными в нее блоками. Впрочем, встречаются модификации шпионского ПО, не распознаваемого антивирусными системами.

Клиентская часть вредоносной программы запускается при включении телефона и на протяжении всего периода его функционирования собирает заданную в настройках информацию и передает ее на сервер для дальнейшего хранения. Параметры удаленного сервера указаны внутри самой вредоносной программы, что облегчает расследование подобных инцидентов.

Программа устанавливается на телефон и функционирует в скрытом режиме, не задавая вопросов владельцу телефона и никак его, соответственно, не уведомляя о своих действиях. Программу такого типа самостоятельно владелец телефона обнаружить не в силах, для этого применяется специализированное программное обеспечение[48].

Для передачи заданной информации с мобильного телефона на удаленный сервер программа использует доступный интернет-канал связи, а для передачи объемных данных программа дожидается доступного Wi-Fi-доступа. Информация отсылается на сервер-накопитель через задаваемый злоумышленником период времени (рис. 2.22).

Рис. 2.22.Установленные в результате анализа IP-адреса

На сервере, которых может быть несколько, злоумышленниками, как правило, размещается веб-интерфейс, позволяющий осуществлять просмотр полученных данных, наблюдать статус программы-шпиона и посылать необходимые команды.

Некоторые разновидности таких вредоносных программ позволяют наблюдать и управлять программой с другого мобильного приложения, устанавливаемого на телефон злоумышленника. В таком случае обе программы обращаются к одному серверу.

Проводить исследование и экспертизу вредоносных программ для мобильных телефонов так же, как и для обычных компьютеров, вполне возможно. В процессе исследования устанавливается вся необходимая для расследования информация.

В качестве примера приводится анализ сетевого взаимодействия одной из разновидностей обсуждаемых программ, предназначенных для слежения за мобильным телефоном:

Время, прошедшее с момента запуска программы операция ресурс порт

1.156 открытие lga15s44-in-f9.1e100.net 443

4.195 открытие lga15s44-in-f9.1e100.net 443

11.195 открытие static-ip-188-138-125-230.inaddr.ip-pool.com 80

11.195 запись static-ip-188-138-125-230.inaddr.ip-pool.com 80

GET /audio/ HTTP/1.1 Host: 188.138.125.230 User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.0b5 Accept: text/html Connection: close