Перейти к содержанию
Viktor

Обнаружена бот-сеть для Android-устройств

Recommended Posts

Viktor
Спам-рассылку с устройств на базе Android OS обнаружил эксперт по информационной безопасности компании Microsoft Терри Цинк (Terry Zink). Как отметил Цинк, рассылка спам-сообщений свидетельствует о существовании бот-сети, состоящей из мобильных устройств на платформе Android.

«Сегодня я получил любопытные образцы спам-сообщений, отосланные со взломанных учетных записей почтового сервиса Yahoo. Сами сообщения от обычного спама ничем не отличаются, но необычен их источник - согласно данным цифровой подписи каждого из обнаруженных мной писем, все они были отосланы с устройств на системе Android», - заявил эксперт.

По словам Цинка, результаты исследования нежелательных сообщений показали, что спам рассылался из территории Чили, Венесуэлы, Индонезии, Омана, Саудовской Аравии, Филиппин, России и Украины. Эксперт отмечает, что пользователи в этих странах чаще всего загружают контент для Android-устройств не с официального Интернет-магазина Google Play, а из неизвестных источников, из которых более вероятна загрузка нежелательного ПО.

Отметим, что это не первое сообщение о создании бот-сети из устройств на базе Android. В феврале этого года эксперты сообщили о существовании похожей сети в Китае, в составе которой было обнаружено от 10 до 30 тысяч инфицированных устройств. В результате исследования ботнета специалисты установили, что злоумышленники получили доступ ко всем функциям зараженных гаджетов, однако тогда вредоносная активность мобильных устройств, попавших в бот-сеть, не была замечена.

Подробнее: http://www.securitylab.ru/news/426643.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hEx

Секлаб как всегда все переврал.

По факту есть только спам сообщения (стоки, пирамиды, фарма) с интересными Message-ID (которые легко подделать) и любопытной подписью "Sent from Yahoo! Mail for Android", которую можно вставить в любое сообщение. Бот-сеть - это лишь теория, которая на данный момент никем из вендоров не подтверждена. И думаю, что вряд ли тут есть ботнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Секлаб как всегда все переврал.

Они чисто заметку Терри Зинка перевели, а он явно про ботнет пишет:

All of these message are sent from Android devices. We’ve all heard the rumors, but this is the first time I have seen it – a spammer has control of a botnet that lives on Android devices. These devices login to the user’s Yahoo Mail account and send spam.

http://blogs.msdn.com/b/tzink/archive/2012...oid-botnet.aspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hEx

Он предполагает. Самплов на данный момент ни у кого нет. Либо просто пока не пишут об этом в паблик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

http://tech.onliner.by/2012/07/06/android-botnet-2

В ответ на это эксперты Google провели собственное расследование и сообщили, что сигнатура была подделана злоумышленниками для обхода спам-фильтров, а непосредственно рассылка велась с зараженных компьютеров.

...

Цинк, в свою очередь, несколько изменил свое мнение, заявив, что лишь сделал предположение, основываясь на имеющихся данных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Пацаны говорят фигня

http://www.symantec.com/connect/blogs/spam...android-devices

And finally, the vast majority of originating IPs for this spam do not appear to come from a mobile network. Some of the IPs used have already been seen previously sending spam without mobile indicators, for instance.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Пацаны говорят фигня

http://www.symantec.com/connect/blogs/spam...android-devices

And finally, the vast majority of originating IPs for this spam do not appear to come from a mobile network. Some of the IPs used have already been seen previously sending spam without mobile indicators, for instance.

Этим пацанам доверия немного, уж слишком часто меняют мнение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Этим пацанам доверия немного, уж слишком часто меняют мнение...

Ну тогда тебе остается верить в Лукаут :)

http://securitywatch.pcmag.com/none/299970...d-warns-lookout

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сенсация судя по всему не состоялась. Когда же уже, когда кто-то создаст первый ботнет из Андройд-фонов? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Сенсация судя по всему не состоялась. Когда же уже, когда кто-то создаст первый ботнет из Андройд-фонов? :lol:

Вот: http://www.anti-malware.ru/forum/index.php?showtopic=21358

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×