Исследователи обнаружили ботнет из роутеров и DSL-модемов

Александр Панасенко 25 Марта 2009 - 13:34

...

Исследователи из DroneBL несколько недель назад, борясь с нацеленной на их сервис DDoS-атакой, наткнулись на необычный ботнет.Тщательно изучив ботнет, исследователи пришли к выводу, что червь под названием psyb0t захватывает исключительно роутеры и DSL-модемы, при этом игнорируя обычные компьютеры.

Заражению подвержены любые маршрутизаторы на базе Linux/MIPS, доступ к администрированию которых производится через службы SSHd или telnetd, при условии, что сами устройства находятся в демилитаризованной зоне DMZ.

Как выяснилось, первые упоминания об этой вредоносной программе появились ещё в декабре прошлого года. Тогда речь шла только об ADSL-модемах Netcomm NB5 и аналогичных аппаратах, а для захвата управления над ними червь использовал значения логина и пароля по умолчанию. При этом уязвимость, которой пользовался тогда psyb0t, существует только в определённой версии прошивки устройства, и в более поздних версиях уже устранена.

Однако, специалисты из DroneBL имели дело с более поздней версией червя, которая для взлома маршрутизаторов использовала перебор пар логин-пароль по списку. Кроме того, раньше не было замечено, чтобы зомби-роутеры получали какие-либо инструкции из координирующего центра, хотя такая возможность и была предусмотрена посредством одного из IRC-каналов. Однако специалисты DroneBL считали, что ботнет использовался для проведения распределённой DoS-атаки на их серверы.

После того, как в блоге DroneBL появилось подробное описание червя, поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Вирусописатель уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.

Пока точно неизвестно, действительно ли автор червя, некий DRS, решил прекратить работу над червем. Поэтому специалисты DroneBL предлагают немедленно принять меры по лечению зараженных роутеров. Для этого устройство следует сбросить к установкам по умолчанию, установить на него последнюю версию прошивки и защитить каким-нибудь устойчивым к подбору паролем

Источник

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 13 Марта 2026 - 09:00

Android Трояны Домашние пользователи

RuTaxi: в России обнаружили Android-троян, отслеживающий дисплей жертвы

Эксперты Cyfirma разобрали новый Android-троян RuTaxi, который нацелен прежде всего на российских пользователей. Это уже не просто банковский зловред для кражи денег со счетов, а куда более серьёзный инструмент с возможностью почти в реальном времени следить за устройством жертвы и управлять им.

По данным исследователей, зловред маскируется под легитимные сервисы. В некоторых образцах используется идентификатор «RuTaxi».

Судя по архитектуре и набору функций, вредоносная программа изначально создавалась под конкретную аудиторию: она заточена под российский рынок и при этом старается не привлекать лишнего внимания в других регионах.

Главная особенность RuTaxi — сочетание привычных банковских сценариев с возможностями удалённого доступа. В отличие от более простых троянов, этот вредонос даёт операторам практически окно в цифровую жизнь пользователя. Для этого используются API Accessibility и MediaProjection, а передача изображения с экрана идёт через WebSocket.

На практике это позволяет злоумышленникам перехватывать коды разблокировки устройства прямо в момент ввода, сохранять их локально вместе с отметками времени, собирать нажатия клавиш и упаковывать их в структурированные JSON-пакеты с указанием приложения, текста, типа события и времени.

Кроме того, троян пытается стать приложением для СМС по умолчанию. Если это удаётся, он получает доступ ко входящим сообщениям, может перехватывать одноразовые коды, скрывать уведомления и незаметно удалять сообщения.

Авторы RuTaxi явно постарались усложнить жизнь аналитикам и антивирусным движкам. Значительная часть критически важной логики вынесена из Java-кода в нативную библиотеку sysruntime.so. Именно там, как отмечают в Cyfirma, скрываются важные данные вроде bot ID, списка серверов и ссылки для WebView.

Адрес управляющего сервера, который исследователи связали с 193.233.112.229, а также Firebase-данные собираются только во время выполнения. Для этого используются XOR-обфускация строк и нелинейные схемы доступа к памяти.

После установки избавиться от такого зловреда непросто. У него многоуровневая система закрепления, благодаря которой он старается пережить почти всё: перезагрузку устройства, потерю сети, простой смартфона и даже попытки пользователя остановить или удалить приложение.

Отдельно эксперты обратили внимание на логику выбора целей. RuTaxi не работает вслепую: он проверяет, какие приложения установлены на устройстве, и ищет банковские сервисы, маркетплейсы, госуслуги и криптокошельки, популярные в России. В расшифрованном списке целей оказались, в частности, Сбербанк, Т-Банк, ВТБ, Альфа-Банк, а также Binance и MetaMask.