В Китае обнаружен ботнет из 140 тысяч Android-устройств

В Китае обнаружен ботнет из 140 тысяч Android-устройств

Пользователи двух крупнейших операторов сотовой связи Китая оказались жертвами троянской программы, которая объединила их в ботнет рекордного размера. По мнению экспертов Symantec, размер этого ботнета может достигать сотен тысяч (!) устройств под управлением операционной системы Android.



Специалисты Symantec узнали о вредоносной программе RootSmart, которая распространяется в альтернативных китайских каталогах программного обеспечения. В официальном Android Market такого пока не обнаружено. Программа RootSmart устанавливается вместе с обычными программами из каталога, но при этом передаёт на удалённый сервер информацию о заражённом устройстве: номер IMEI, номер IMSI, ID соты, location area code и код мобильной сети, передает xakep.ru.

Логотип ярлыка для программы RootSmart схож с логотипом ярлыка «Настройки». RootSmart является второй программой после GingerMaster, которая применила на практике известный рут-эксплоит GingerBreak (для Android OS младше 2.3.3 и для 3.0).

В отличие от своего предшественника, RootSmart не идёт в комплекте с рут-эксплоитом, а подгружает GingerBreak с удалённого сервера после установки и запускает на исполнение с целью повышения привилегий. Рут-эксплоит идёт в архиве shells.zip в комплекте с двумя вспомогательными скриптами для установки в системную область.

Данная возможность ранее теоретически была описана для Android-устройств исследователем Джоном Оберхейде, который для демонстрации дыры написал демо-программу RootStrap.

После рутования телефона программа подгружает с удалённого сервера программу DroidLive, которая выполняет роль средства удалённого администрирования и выполняет команды с сервера C&C. Таким образом, телефон становится частью ботнета.

На рутованном телефоне хозяин ботнета может инициировать любые действия. По словам китайских исследователей, они уже видели, что программа для удалённого управления посылает SMS, блокирует входящие SMS, записывает информацию об исходящих вызовах (включая номер телефона и продолжительность звонка), инициирует собственные телефонные вызовы. Программа также способна менять адрес командного сервера, самостоятельно подключаться к интернету и передавать данные. По словам исследователей, самое опасное то, что она передаёт большие объёмы данных в сторону C&C, так что есть риск утечки приватных данных немалого количества пользователей.

Если рутование не удаётся, RootSmart всё равно пытается скачать и установить программы для удалённого управления телефоном, но он уже не может это сделать незаметно для пользователя. В данном случае пользователь должен сам выдать разрешения программам, и тогда телефон тоже станет частью ботнета.

Специалисты Symantec решили исследовать, насколько велик размер ботнета, созданного благодаря программе RootSmart (ботнет получил название Android.Bmaster). Они проанализировали трафик на C&C-серверах и пришли к выводу, что ботнет действует с сентября 2011 года, а количество активных инфицированных устройств варьируется от 110 тыс. до 140 тыс. в день. От 10 тыс. до 30 тыс. телефонов в день использовались для отправки платных SMS и звонков на платные номера. По оценкам специалистов, ботнет генерировал своим хозяевам от $1600 до $9000 в сутки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД предупредило о фишинге под видом оплаты проезда на платных трассах

Управление по организации борьбы с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД) предупредило о массовых фишинговых атаках, связанных с оплатой проезда по платным дорогам.

Как сообщил официальный телеграм-канал профильного главка МВД «Вестник киберполиции России», фишинг под видом оплаты платных дорог стал одним из наиболее распространённых сценариев атак. В частности, в зоне риска оказался Московский скоростной диаметр (МСД).

«Злоумышленники создают сайты, визуально почти неотличимые от официальных, которые индексируются в поисковых системах. После ввода реквизитов банковской карты и суммы платежа деньги списываются, однако проезд так и остаётся неоплаченным. Полученные данные карт впоследствии используются мошенниками в личных целях», — говорится в сообщении УБК МВД.

За последний месяц было заблокировано более 10 фишинговых ресурсов, внешне практически не отличимых от настоящих (например, с адресами вроде msd-avtodor-tr, msdmoss). Максимальный зафиксированный ущерб для одного пользователя составил 22 тысячи рублей.

УБК МВД рекомендует не игнорировать предупреждения браузеров и защитных систем о фишинговых сайтах. Безопасную оплату проезда следует осуществлять через портал Госуслуг, приложение «Парковки России» или официальные банковские приложения.

Фишинг остаётся одной из основных киберугроз последних лет — как для частных пользователей, так и для бизнеса. Особенно опасными становятся фишинговые атаки с применением генеративного искусственного интеллекта: по своей эффективности они всё больше приближаются к целевым атакам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru