Tien jaar geleden werd het allereerste virus ontworpen om mobiele telefoons aan te vallen: Cabir. In tegenstelling tot de meeste moderne malware werd Cabir niet uitgerust met een breed scala aan kwaadaardige functies. In plaats daarvan maakte het geschiedenis door ‘slechts’ te bewijzen dat het in staat was om mobiele telefoons te infecteren.
De experts van Kaspersky Lab kwamen halverwege juni 2004 voor het eerst in aanraking met Cabir. Op de bewuste avond van de eerste kennismaking was analist Roman Kuzmenko zijn dienst aan het afronden. Totdat hij een merkwaardige e-mail onder ogen kreeg. Dit bericht bevatte geen tekst, maar wel een bijlage. Een bijzonder verdachte bijlage, want na een snelle check kon niet worden vastgesteld voor welk softwareplatform het bestand geschreven was. Het was in ieder geval niet ontwikkeld voor Windows of Linux.
Al snel ontdekte Roman dat het verdachte bestand ontworpen was voor Symbian OS, een mobiel operating system waar mobiele telefoons van Nokia op draaiden. Verder onderzoek wees uit dat dit bestand in staat was om zichzelf via Bluetooth te versturen naar andere telefoons. Als gevolg daarvan liep de batterij van de geïnfecteerde telefoon razendsnel leeg. Dit bleek echter de enige functie van de ontdekte malware te zijn, waardoor deze nauwelijks als kwaadaardig kon worden bestempeld.
“Al snel begonnen collega’s van omliggende kantoren te klagen dat een soort van ‘virus’ hun telefoons infecteerde,” vertelt Alexander Gostev, Chief Security Expert bij Kaspersky Lab. “Om die reden besloten we een aparte ruimte in te richten waar we tests op nieuwe mobiele malware konden uitvoeren, met een speciale afdichting om te voorkomen dat radiosignalen buiten de kamer verspreid konden worden.”
In de code van de Cabir malware kwamen experts vermeldingen tegen van “29A”. Dit is een groep malware-schrijvers die berucht is voor het ontwikkelen van zogenaamde conceptuele virussen, bijvoorbeeld om de kwetsbaarheid van een specifiek computersubsysteem aan te tonen, of om de mogelijkheid van het infecteren van bepaalde systemen of apparaten te bewijzen. Deze groep was bekend vanwege het ontwikkelen van kwaadaardige software die veel problemen in de cybersecuritywereld heeft veroorzaakt, waaronder Cap, Steam en Rugrat.
Naast het ontwikkelen van conceptuele malware bracht 29A regelmatig een e-magazine uit. In een van de edities publiceerde de groep over Cabir en enkele fragmenten van de broncode. Dat artikel toonde aan dat malware ontwikkeld kan worden om een van de populairste mobiele platforms in de wereld te infecteren, en veroorzaakte daarmee destijds enorme opschudding in de cybersecurity. Bovendien stimuleerde het andere virusschrijvers om dit idee verder uit te werken. Na de publicatie van Cabir verschenen er al snel allerhande modificaties van op het wereldwijde web.
Volgens Gostev was Cabir slechts het begin: “Kort nadat we het ontdekten zagen we duidelijk dat mobiele dreigingen een zeer ernstig probleem zijn en een specifieke benadering vereisen.”
Na Cabir werden honderden verschillende virussen ontdekt die gericht waren op Symbian-apparaten. Het aantal nieuwe malware samples voor dit platform nam echter snel af na de oprichting van nieuwe besturingssystemen, zoals Android, dat veel uitgebreider en dus voor cybercriminelen veel lucratiever is. Tien jaar na de ontdekking van Cabir bestaat de collectie mobiele malware samples van Kaspersky Lab uit meer dan 340.000 unieke exemplaren, waarvan ruim 99% gericht is op Android.
