A legtöbb modern programkártevőtől eltérően a Cabir nem rendelkezett a rosszindulatú funkciók széles tárházával. De történelmet csinált azzal, hogy bebizonyította: lehetséges megfertőzni a mobilokat.
A Kaspersky Lab szakértői először 2004 júniusában találkoztak a Cabir-ral. A vállalat egyik víruselemzője éppen befejezte műszakját, amikor felfigyelt egy szöveg nélküli, de mellékletet tartalmazó e-mailre. A melléklet egy gyanús fájl volt, de gyorselemzéssel nem lehetett megállapítani, hogy melyik szoftverplatformhoz készült. Biztosan nem a Windowshoz vagy a Linuxhoz írták, mely platformokkal a Kaspersky Lab elemzői többnyire dolgoztak. „Roman Kuzmenko aznap végigdolgozta az éjszakai műszakot is,” - emlékszik vissza Alexander Gostev, a Kaspersky Lab vezető biztonsági szakértője. "Röviddel a gyanús fájl vizsgálatának megkezdése után Roman megállapította, hogy a Nokia mobilokon futó Symbian mobil operációs rendszerhez írták,” tette hozzá Gostev.
A további elemzés kiderítette, hogy a fájl képes átküldeni magát egy másik telefonra Bluetooth kapcsolaton keresztül, és emiatt a fertőzött telefon akkuja igen gyorsan lemerült. Ez volt egyébként az újonnan felfedezett malware egyetlen funkciója, ami egyáltalán nem volt rosszindulatúnak tekinthető. A felfedezés azonban mégis arra ösztönözte a Kaspersky Lab szakértőit, hogy egy speciális tesztszobát alakítsanak ki az ilyen jellegű fenyegetések tanulmányozására.
„A szomszédos irodákban dolgozó kollégáink elkezdtek jönni és panaszkodni, hogy valamilyen ”vírus” fertőzte meg a telefonjukat. Ezért elhatároztuk, hogy a szobát különleges burkolattal látjuk el a rádiójelek kijutásának megakadályozására. Ez a szobát használtuk azután az új mobil malware minták tesztelésére,” mondta Gostev.
A Cabir kódjában a szakértők utalásokat találtak a „29A” nevű csoportra, amelynek tagjai úgynevezett koncepciós vírusokat írtak, vagyis olyan programkártevőket, amelyekkel bizonyítani lehet egy adott számítógépes alrendszer sebezhetőségét, illetve azt, hogy bizonyos rendszerek vagy eszközök megfertőzhetők.
„Ez a csoport olyan rosszindulatú szoftverek készítéséről volt ismert, amelyek nagy visszhangot keltettek a kiberbiztonsági világban. Cap, Steam, Rugrat – ezeket a hírhedt malware-eket mind a 29A hozta létre,” jegyezte meg Gostev.
A koncepciós malware-ek fejlesztése mellett a 29A rendszeresen kiadta saját e-magazinját. Az egyik számban a csoport írt a féregről, és közzétette forráskódjának néhány részletét. A cikk felkavarta az akkori kiberbiztonsági szakmát azzal, hogy bebizonyította, készíthető olyan malware, amellyel megcélozható a világ legnépszerűbb mobil platformja. Bátorítást is adott más vírusíróknak az ötlet továbbfejlesztésére.
Röviddel a cikk megjelenése után a Cabir változatok egész sora tűnt fel a weben.
„A Cabir csak a kezdet volt, egy kiindulási pont. Nem sokkal az után, hogy felfedeztük, világossá vált számunkra: a mobil fenyegetések nagyon komoly problémát jelentenek, ami speciális megközelítést igényel. Ezért egy teljesen új kutatási részleget hoztunk létre a Kaspersky Lab-en belül, amely kizárólag a mobil fenyegetésekkel foglalkozik,” mondta Alexander Gostev.
Elemzői gyorsaságáért és pontosságáért Roman Kuzmenko-nak nem csupán az a dicsőség jutott, hogy ő fedezte fel az első mobil vírust, hanem kapott egy Nokia okostelefont is – hogy újabb vírusokat tudjon elkapni és elemezni, ahogy kollégái vicceltek vele.
A Cabir után néhány száz, a symbianos eszközöket célzó különböző vírust fedeztek fel. Az erre a platformra készült malware minták száma meredeken csökkent az új mobil operációs rendszerek, főként az Android megjelenése után, amely lényegesen elterjedtebbé és a kiberbűnözők számára sokkal jövedelmezőbbé vált. Tíz évvel a Cabir felfedezése után a Kaspersky Lab mobil malware gyűjteménye több mint 340,000 egyedi mintát tartalmaz, amelyek több mint 99 százaléka az Androidot célozza.
