В «Лабораторию Касперского» в июне 2004 года пришло письмо с присоединенным исполняемым файлом, который не был предназначен ни для одной из платформ для персонального компьютера. Это оказался червь, работающий на смартфонах с ARM-процессором под управлением операционной системы Symbian. Об этом говорится в корпоративном блоге компании.
Предварительный анализ кода показал, что червь способен распространяться посредством Bluetooth и умеет передавать файлы. При запуске на дисплее смартфона отображалась надпись «Caribe», но аналитики «Лаборатории Касперского» дали червю имя «Cabir».
Завершив анализ кода, эксперты использовали два телефона на платформе Symbian, активировали на них Bluetooth в режиме обнаружения и запустили на одном из них файл червя. Второй телефон сразу запросил у пользователя разрешение на загрузку файла. После получения этого разрешения на него был загружен Cabir.
Анализ кода и обратный адрес присланного письма позволили «Лаборатории Касперского» установить авторов червя ─ это была международная группа вирусописателей 29A. Компания распространила пресс-релиз о появлении первого червя для мобильных телефонов среди антивирусных компаний, для того, чтобы не допустить его широкого распространения. Однако через несколько месяцев группа 29A открыла фрагменты исходного кода зловреда в очередном номере своего электронного журнала, и модификации Cabir стали появляться каждую неделю.
Через несколько лет после появления червя, финская компания F-Secure обнаружила вспышку эпидемии Cabir на стадионе, где проходил чемпионат мира по легкой атлетике. Популярность Symbian-смартфонов в Финляндии, большое число приезжих из разных стран мира, и высокая заполненность трибун стадиона позволили Cabir распространиться на большое число телефонов, принадлежащих болельщикам и спортсменам. Пытаясь локализовать и ликвидировать очаг заражения, F-Secure поставила Bluetooth-сканер при входе на стадион для проверки телефонов всех посетителей на предмет заражения червем.
А в офисе «Лаборатории Касперского» эксперты обнаружили, что во время тестирования червя он пытался распространиться на смартфоны сотрудников компании, работавших в соседних кабинетах, а также этажом выше и ниже антивирусной лаборатории. Дальнейшие эксперименты проводились уже в экранированной комнате, не выпускавшей наружу никакие радиосигналы.
В настоящее время злоумышленники уже почти не используют технологию Bluetooth для распространения зловредов.
Червь Commwar стал следующим в отрасли мобильных угроз. Он, помимо распространения по Bluetooth, умел также рассылать вредоносные MMS-сообщения по контакт-листу зараженного устройства, что резко увеличило радиус поражения и, в отличие от Cabir, наносил пользователю зараженного устройства финансовый ущерб, так как ему приходил счет за отосланные MMS.
По мнению аналитиков «Лаборатории Касперского», появление Cabir стало отправной точкой, ускорив эволюцию телефонных зловредов и заставив экспертов осознать необходимость разработки отдельного направления анализа угроз для мобильных устройств. В компании был создан соответствующий отдел, занимавшийся исключительно мобильными вредоносными программами. Через пару лет после выхода относительно безвредного Cabir антивирусные компании имели дело с полным спектром угроз на мобильных платформах.