800 000 россиян стали жертвами банковского Android-ботнета

Олег Иванов 03 Октября 2019 - 17:19

Домашние пользователи

Умышленные утечки информации

Кража данных

Взлом онлайн-банка

Взлом мобильного банка

...

800 000 россиян стали жертвами банковского Android-ботнета

Специалистам антивирусной компании Avast удалось выйти на операции банковского Android-ботнета, атаковавшего российских пользователей. Эксперты считают, что получивший имя Geost ботнет действует с 2016 года, за это время он успел заразить более 800 тысяч устройств на Android.

Такая масштабная кибероперация позволяла преступникам контролировать несколько миллиардов рублей. Выйти на незаконную деятельность исследователям помогла ошибка OpSec.

Киберпреступники допустили оплошность — доверились вредоносной прокси-сети, созданной благодаря вредоносной программе HtBot. Этот вредонос даёт возможность арендовать прокси-сервис, позволяющий анонимно общаться в Сети.

Проанализировав сетевую активность HtBot, антивирусные специалисты неожиданно для себя раскрыли крупную вредоносную кампанию, в ходе которой пострадали 800 тыс. Android-устройств.

Что подвело операторов ботнета — они неудачно выбрали платформы анонимизации, с помощью которых пытались скрыть свои следы. В итоге преступники не смогли корректно зашифровать свои сообщения, а исследователи получили доступ ко всей внутренней работе злоумышленников.

Помимо общей информации, касающейся киберопераций (обход антивирусных программ, заражение устройств), специалисты нашли и личные переписки киберпреступников. Один из интересных моментов таких переписок — намерение одного из участников группировки покинуть её.

Ему ответили, что «не каждый день группа получает 100 тысяч за продвижение», кроме того, «раз уж начинали вместе, заканчивать работу нужно тоже вместе».

Команда Avast также рассказала и про сам ботнет. Geost на деле является сложной инфраструктурой, состоящей из заражённых Android-устройств. Установка вредоносной составляющей на смартфоны россиян происходит благодаря фейковым приложениям.

Обычно такие программы маскируются под банковские приложения или социальные сети. После установки таких программ операторы могут удалённо управлять атакованным устройством.

Особый интерес для злоумышленников в этом случае представляли SMS-сообщения жертв — благодаря им они вычисляли, у кого самый большой баланс на счёте. Эту информацию обрабатывал командный C&С-сервер.

Помимо этого, киберпреступники устанавливали на телефоны граждан банковский троян, главными целями которого стали пять банков, расположенных преимущественно в России.

С подобным анализом данной кибероперации можно ознакомиться в исследовании (PDF) Avast.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 19:44

Малый и средний бизнес Корпорации Средства защиты веб-сайтов (приложений)Защита от DDoS

WMX представила систему защиты сайтов от «умных ботов»

Российская компания WMX (ООО «Вебмониторэкс») представила новое решение для защиты веб-ресурсов от автоматизированных атак — WMX SmartBot Protection. Продукт рассчитан не только на массовый бот-трафик, но и на более сложных ботов, которые умеют имитировать поведение обычных пользователей.

Проблема здесь вполне прикладная. Значительная часть интернет-трафика сегодня создаётся не людьми, а автоматизированными скриптами.

Такие боты могут собирать данные с сайтов, перебирать пароли, создавать фейковые аккаунты, искать уязвимости и в целом мешать нормальной работе онлайн-сервисов. Особенно чувствительны к этому интернет-магазины, финансовые сервисы, агрегаторы, доски объявлений, медиаплатформы и стриминговые площадки.

При этом боты становятся всё менее примитивными. Если раньше их можно было сравнительно легко отсечь по шаблонному поведению, то теперь они нередко умеют маскироваться под живого пользователя: заходят через браузер, имитируют движение мыши и даже проходят простые CAPTCHA. Из-за этого стандартных фильтров уже часто недостаточно.

В WMX говорят, что их система использует несколько уровней проверки. Сначала трафик фильтруется по базовым признакам — например, по IP-адресам и User-Agent. Если этого недостаточно, дальше подключается анализ браузерного окружения: параметров экрана, шрифтов, а также особенностей canvas и WebGL, которые могут указывать на эмуляторы или headless-браузеры.

Следующий этап — поведенческий анализ. Система смотрит, как именно ведёт себя пользователь: есть ли движения мыши, насколько быстро заполняются формы и не выглядят ли действия слишком механическими. После этого подключаются эвристики, которые оценивают уже не отдельные признаки, а их сочетание. Например, если кто-то кликает строго по центру кнопок через одинаковые интервалы времени, это может выглядеть подозрительно, даже если по отдельности такие действия не кажутся аномальными.

При необходимости могут использоваться и дополнительные проверки, включая CAPTCHA.

Новое решение работает в связке с WMX ПроWAF, веб-экраном компании. Логика здесь довольно понятная: антибот-система должна отсеивать автоматизированный трафик, а WAF — уже защищать приложение от попыток эксплуатации уязвимостей вроде SQL-инъекций, XSS или RCE. Заодно это снижает нагрузку на инфраструктуру, потому что до основного контура доходит уже более «чистый» трафик.

В компании также сообщили, что в будущих версиях собираются добавить систему скоринга угроз и механизмы, связанные с ML, для автоматического формирования новых эвристик.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!