800 000 россиян стали жертвами банковского Android-ботнета

800 000 россиян стали жертвами банковского Android-ботнета

Специалистам антивирусной компании Avast удалось выйти на операции банковского Android-ботнета, атаковавшего российских пользователей. Эксперты считают, что получивший имя Geost ботнет действует с 2016 года, за это время он успел заразить более 800 тысяч устройств на Android.

Такая масштабная кибероперация позволяла преступникам контролировать несколько миллиардов рублей. Выйти на незаконную деятельность исследователям помогла ошибка OpSec.

Киберпреступники допустили оплошность — доверились вредоносной прокси-сети, созданной благодаря вредоносной программе HtBot. Этот вредонос даёт возможность арендовать прокси-сервис, позволяющий анонимно общаться в Сети.

Проанализировав сетевую активность HtBot, антивирусные специалисты неожиданно для себя раскрыли крупную вредоносную кампанию, в ходе которой пострадали 800 тыс. Android-устройств.

Что подвело операторов ботнета — они неудачно выбрали платформы анонимизации, с помощью которых пытались скрыть свои следы. В итоге преступники не смогли корректно зашифровать свои сообщения, а исследователи получили доступ ко всей внутренней работе злоумышленников.

Помимо общей информации, касающейся киберопераций (обход антивирусных программ, заражение устройств), специалисты нашли и личные переписки киберпреступников. Один из интересных моментов таких переписок — намерение одного из участников группировки покинуть её.

Ему ответили, что «не каждый день группа получает 100 тысяч за продвижение», кроме того, «раз уж начинали вместе, заканчивать работу нужно тоже вместе».

Команда Avast также рассказала и про сам ботнет. Geost на деле является сложной инфраструктурой, состоящей из заражённых Android-устройств. Установка вредоносной составляющей на смартфоны россиян происходит благодаря фейковым приложениям.

Обычно такие программы маскируются под банковские приложения или социальные сети. После установки таких программ операторы могут удалённо управлять атакованным устройством.

Особый интерес для злоумышленников в этом случае представляли SMS-сообщения жертв — благодаря им они вычисляли, у кого самый большой баланс на счёте. Эту информацию обрабатывал командный C&С-сервер.

Помимо этого, киберпреступники устанавливали на телефоны граждан банковский троян, главными целями которого стали пять банков, расположенных преимущественно в России.

С подобным анализом данной кибероперации можно ознакомиться в исследовании (PDF) Avast.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы LokiBot используют лаунчер Epic Games в качестве приманки

Операторы знаменитого трояна LokiBot теперь маскируют вредонос под лаунчер одной из самых популярных видеоигр. Напомним, что LokiBot может перехватывать конфиденциальные данные: имена пользователей, пароли, платёжную информацию и даже красть содержимое криптовалютных кошельков.

Помимо прочего, данная вредоносная программа обладает также возможностями кейлоггера — LokiBot мониторит действия пользователей в браузере и на рабочем столе.

Новая кампания по распространению этого трояна пытается ввести пользователей в заблуждение маскировкой под лаунчер Epic Games, разрабатывающей популярную мультиплеерную игру Fortnite.

Специалисты Trend Micro, обнаружившие новые атаки LokiBot, отметили, что вредоносная программа использует непривычный способ инсталляции, помогающий избежать детектирования антивирусными средствами.

Началом атак LokiBot всегда служат фишинговые электронные письма. В последних образцах таких писем был найден фейковый лаунчер Epic Games, использовавший логотип компании для придания вида легитимности. В процессе заражения компьютера вредонос копировал в систему два файла, один из которых представлял собой надписанный на C# код, а второй — исполняемый .NET-файл.

Обойти антивирусные программы зловреду помогает обфусцированный код на C#, отчасти состоящий из мусора. Далее файл .NET читает, компилирует и расшифровывает C#, что позволяет запустить сам LokiBot.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru