AM_Bot

Обнаружена крупнейшая в мире бот-сеть из 200 000 Android устройств

В этой теме 10 сообщений

botnet_0_0.jpgСпециалисты компании «Доктор Веб» обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Странно, что новость прошла малозамеченной на форуме. Между тем Доктор заявил ни много ни мало об обнаружении крупнейшей мобильной бот сети на Андроиде. Причем есть геоспецифика:

По сведениям, собранным специалистами компании «Доктор Веб», в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем — Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей. Более подробная картина распространения угроз показана на следующей иллюстрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну вообще это уже третий топик по этой теме :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ага. Троянец фигачит GET-запросы на C&C в следующем формате:

GET /getTask.php?imei=[номер IMEI]&balance=[баланс]&country=[страна]&phone=[номер телефона]&op=[оператор]&mnc=[Mobile Network Code]&mcc=[Mobile Country Code]&model=[модель]&os=[версия ОС]

Собственно, на малварном C&C эта информация сохраняется, в том числе и Mobile Network Code (код оператора сотовой связи), и Mobile Country Code (код страны). А имея к этой базе доступ, можно создать и карту заражений, и диаграмму распределения заражений по сотовым операторам ;) Вот тут http://en.wikipedia.org/wiki/Mobile_country_code можно посмотреть расшифровку и MCC, и MNC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А имея к этой базе доступ, можно создать и карту заражений, и диаграмму распределения заражений по сотовым операторам ;)

А кто имеет к этой базе доступ и как он получен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А кто имеет к этой базе доступ и как он получен? :)

Это риторический вопрос? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это риторический вопрос? ;)

Неа, хочу понять, откуда ноги растут :)

Понятно же, что меня не статья на википедии интересовала :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Неа, хочу понять, откуда ноги растут :)

Понятно же, что меня не статья на википедии интересовала :)

Держи: http://bit.ly/18jd1sf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, конечно, но это не дает прямого ответа на вопрос или все было как в этом случае:?

Как было подсчитано количество зараженных компьютеров?

Для подсчета размеров ботнета был использован метод sinkhole, суть которого заключается в следующем. BackDoor.Flashback.39, как и многие другие троянские программы, не содержит в себе адресов управляющих серверов, он генерирует их автоматически по специальному алгоритму в виде обычных DNS-имен веб-сайтов. Благодаря этой технологии злоумышленники могут оперативно зарегистрировать новый управляющий сервер, если антивирусные компании заблокируют существующие, поскольку они знают алгоритм, используемый троянцем для выбора таких имен. К тому же этот метод позволяет вирусописателям оперативно перераспределять нагрузку между несколькими управляющими серверами: при определенном размере ботнета один командный центр может попросту не справиться с управлением сетью. Поэтому троянец последовательно «стучится» на все командные серверы, которые может найти. Дальше дело техники: специалисты компании «Доктор Веб» проанализировали используемый BackDoor.Flashback.39 алгоритм выбора доменных имен, зарегистрировали несколько из них и установили на этих сайтах собственную управляющую программу. Первоначально существовало предположение, что часть троянцев, «отстукивающихся» на созданный специалистами «Доктор Веб» управляющий центр, является модификацией BackDoor.Flashback.39 для ОС Windows, но аналитики «Доктор Веб» достаточно быстро получили доказательства того, что это не так. Все обнаруженные антивирусной лабораторией боты работали под управлением Mac OS X.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.