Mobiele malware: het begon 10 jaar geleden met Cabir

Zo’n 10 jaar geleden ontdekte Kaspersky Lab het allereerste virus dat was ontworpen om mobiele telefoons aan te vallen: Cabir. In tegenstelling tot de huidige malware was Cabir niet uitgerust met een breed scala aan kwaadaardige functies. Het maakte enkel geschiedenis door te bewijzen dat het in staat was om mobiele telefoons te infecteren.

De experts van de beveiliger kwamen halverwege juni 2004 voor het eerst in aanraking met Cabir. Op de bewuste avond was Roman Kuzmenko, een van de virusanalisten van Kaspersky, zijn dienst aan het afronden. Totdat hij een merkwaardige e-mail onder ogen kreeg. Dit bericht bevatte geen tekst, maar wel een bijlage. Een bijzonder verdachte bijlage, want na een snelle check kon niet worden vastgesteld voor welk softwareplatform het bestand geschreven was. Het was in ieder geval niet ontwikkeld voor Windows of Linux, de platformen waar analisten normaliter mee werkten.

Roman kwam erachter dat het verdachte bestand ontworpen was voor Symbian OS, een mobiel operating system waar mobiele telefoons van Nokia op draaiden. Verder onderzoek wees uit dat dit bestand in staat was om zichzelf via Bluetooth te versturen naar andere telefoons.

Als gevolg daarvan liep de batterij van de geïnfecteerde telefoon razendsnel leeg. Dit bleek echter de enige functie van de ontdekte malware te zijn, waardoor deze nauwelijks als kwaadaardig kon worden bestempeld. Desondanks werden de experts gedwongen om dergelijke dreigingen verder te onderzoeken, vanwege het vermogen van de malware om zichzelf te verspreiden onder andere telefoons. Dit vermogen gooide echter gelijk roet in het eten. 

“Al snel begonnen collega’s van omliggende kantoren te klagen dat een soort van ‘virus’ hun telefoons infecteerde,” vertelt Alexander Gostev, Chief Security Expert bij Kaspersky Lab. “Om die reden besloten we een aparte ruimte in te richten waar we tests op nieuwe mobiele malware konden uitvoeren, met een speciale afdichting om te voorkomen dat radiosignalen buiten de kamer verspreid konden worden.”

In de code van de Cabir malware kwamen experts vermeldingen tegen van “29A”. Dit is een groep malware-schrijvers die berucht is voor het ontwikkelen van zogenaamde conceptuele virussen, bijvoorbeeld om de kwetsbaarheid van een specifiek computersubsysteem aan te tonen, of om de mogelijkheid van het infecteren van bepaalde systemen of apparaten te bewijzen. Deze groep was bekend vanwege het ontwikkelen van kwaadaardige software die veel problemen in de cybersecuritywereld heeft veroorzaakt, waaronder Cap, Steam en Rugrat.

Naast het ontwikkelen van conceptuele malware bracht 29A regelmatig een e-magazine uit. In een van de edities publiceerde de groep over Cabir en enkele fragmenten van de broncode. Dat artikel toonde aan dat malware ontwikkeld kon worden om een van de populairste mobiele platformen ter de wereld te infecteren, en veroorzaakte daarmee destijds enorme opschudding in de cybersecurity. Bovendien stimuleerde het andere virusschrijvers om dit idee verder uit te werken. Na de publicatie van Cabir verschenen er al snel allerhande modificaties van op het wereldwijde web.

Volgens Gostev was Cabir slechts het begin: “Kort nadat we het ontdekten zagen we duidelijk dat mobiele dreigingen een zeer ernstig probleem zijn en een specifieke benadering vereisen. In reactie op Cabir hebben we binnen Kaspersky Lab een geheel nieuwe onderzoekseenheid opgezet die zich volledig richt op mobiele bedreigingen.”

Na Cabir werden honderden verschillende virussen ontdekt die gericht waren op Symbian-apparaten. Het aantal nieuwe malware samples voor dit platform nam echter snel af na de oprichting van nieuwe besturingssystemen, zoals Android, dat veel uitgebreider en dus voor cybercriminelen veel lucratiever is. Tien jaar na de ontdekking van Cabir bestaat de collectie mobiele malware samples van Kaspersky Lab uit meer dan 340.000 unieke exemplaren, waarvan ruim 99% gericht is op Android.