В Китае обнаружен ботнет из 140 тысяч Android-устройств

В Китае обнаружен ботнет из 140 тысяч Android-устройств

Пользователи двух крупнейших операторов сотовой связи Китая оказались жертвами троянской программы, которая объединила их в ботнет рекордного размера. По мнению экспертов Symantec, размер этого ботнета может достигать сотен тысяч (!) устройств под управлением операционной системы Android.



Специалисты Symantec узнали о вредоносной программе RootSmart, которая распространяется в альтернативных китайских каталогах программного обеспечения. В официальном Android Market такого пока не обнаружено. Программа RootSmart устанавливается вместе с обычными программами из каталога, но при этом передаёт на удалённый сервер информацию о заражённом устройстве: номер IMEI, номер IMSI, ID соты, location area code и код мобильной сети, передает xakep.ru.

Логотип ярлыка для программы RootSmart схож с логотипом ярлыка «Настройки». RootSmart является второй программой после GingerMaster, которая применила на практике известный рут-эксплоит GingerBreak (для Android OS младше 2.3.3 и для 3.0).

В отличие от своего предшественника, RootSmart не идёт в комплекте с рут-эксплоитом, а подгружает GingerBreak с удалённого сервера после установки и запускает на исполнение с целью повышения привилегий. Рут-эксплоит идёт в архиве shells.zip в комплекте с двумя вспомогательными скриптами для установки в системную область.

Данная возможность ранее теоретически была описана для Android-устройств исследователем Джоном Оберхейде, который для демонстрации дыры написал демо-программу RootStrap.

После рутования телефона программа подгружает с удалённого сервера программу DroidLive, которая выполняет роль средства удалённого администрирования и выполняет команды с сервера C&C. Таким образом, телефон становится частью ботнета.

На рутованном телефоне хозяин ботнета может инициировать любые действия. По словам китайских исследователей, они уже видели, что программа для удалённого управления посылает SMS, блокирует входящие SMS, записывает информацию об исходящих вызовах (включая номер телефона и продолжительность звонка), инициирует собственные телефонные вызовы. Программа также способна менять адрес командного сервера, самостоятельно подключаться к интернету и передавать данные. По словам исследователей, самое опасное то, что она передаёт большие объёмы данных в сторону C&C, так что есть риск утечки приватных данных немалого количества пользователей.

Если рутование не удаётся, RootSmart всё равно пытается скачать и установить программы для удалённого управления телефоном, но он уже не может это сделать незаметно для пользователя. В данном случае пользователь должен сам выдать разрешения программам, и тогда телефон тоже станет частью ботнета.

Специалисты Symantec решили исследовать, насколько велик размер ботнета, созданного благодаря программе RootSmart (ботнет получил название Android.Bmaster). Они проанализировали трафик на C&C-серверах и пришли к выводу, что ботнет действует с сентября 2011 года, а количество активных инфицированных устройств варьируется от 110 тыс. до 140 тыс. в день. От 10 тыс. до 30 тыс. телефонов в день использовались для отправки платных SMS и звонков на платные номера. По оценкам специалистов, ботнет генерировал своим хозяевам от $1600 до $9000 в сутки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Осторожно: фальшивые туры и аренда жилья перед майскими праздниками

Перед длинными выходными злоумышленники активизируются, пользуясь ростом онлайн-активности. Они применяют различные схемы — от продажи фальшивых турпутёвок до фишинговых атак под видом обращений от государственных органов.

Заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев рассказал в беседе с RT о наиболее распространённых приёмах, к которым прибегают мошенники.

«Один из типичных сценариев — предложение “супервыгодных“ туров со скидками 50–70% по России, в страны СНГ или даже Европу. Ссылки ведут на сайты-двойники реальных туроператоров или в “закрытые“ телеграм-каналы, где запрашивают предоплату. После перевода денег тур, разумеется, оказывается фикцией, а сайт быстро исчезает», — пояснил эксперт.

Специалисты также предупреждают о мошенничестве при аренде жилья. Схема аналогична — злоумышленники требуют предоплату, после чего исчезают. Часто они используют поддельные приложения, которые нередко попадают даже в официальные магазины.

Как отметил Юрий Силаев, в преддверии праздников значительно возрастает количество фишинговых рассылок. Обычно мошенники выдают себя за представителей государственных структур — МВД, МЧС, Соцфонда — и требуют «обновить личные данные». Эксперт напомнил, что настоящие ведомства никогда не просят передавать персональные данные по телефону или через мессенджеры.

Кроме того, по словам эксперта, перед майскими праздниками традиционно активизируются мошенники, действующие от имени якобы благотворительных организаций. Они собирают пожертвования и могут перехватывать платёжные реквизиты. Юрий Силаев порекомендовал проверять соответствие названия и юридического адреса фонда с данными из ЕГРЮЛ и ИНН, а средства переводить только по официальным реквизитам.

Помимо этого, эксперт предупредил о рисках, связанных с мобильными платёжными терминалами. Такие устройства могут использоваться, например, продавцами в зонах отдыха для сбора данных банковских карт и последующего совершения покупок или переводов. С его точки зрения, наиболее безопасным способом остаётся бесконтактная оплата через смартфон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru