SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Android-ботнет Geost интересуют денежные средства россиян

03 октября 2019 г., четверг, 05:18

В состав новой вредоносной сети входят как минимум 800 тыс. зараженных устройств, расположенных в России.

Выступая на конференции Virus Bulletin в Лондоне, исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast рассказали, как им удалось обнаружить один из крупнейших Android-ботнетов, созданный на основе банковского трояна. Как оказалось, в состав вредоносной сети, получившей кодовое имя Geost, входят как минимум 800 тыс. зараженных устройств, расположенных преимущественно в России, а ее операторы суммарно контролируют несколько млн евро на счетах своих жертв в пяти российских банках.

Командный сервер нового ботнета был найден по чистой случайности в ходе анализа трафика другого зловреда, HtBot. Эта вредоносная программа устанавливает прокси-сервер на зараженных устройствах, позволяя своим хозяевам зарабатывать на продаже услуг по анонимизации трафика. Как выяснилось, этим прикрытием пользуются также ботоводы Geost.

По всей видимости, качество прокси-сервиса на основе HtBot оставляло желать лучшего, так как исследователям удалось отследить обращение зараженного зловредом устройства к C&C-серверу нового ботнета. Получить представление о деятельности операторов Geost помогла еще одна их ошибка: сообщники вели переговоры в чате, не используя шифрование. Это позволило наблюдателям узнать, каким образом злоумышленники заходят на свои серверы, заражают Android-устройства, обходят антивирусную защиту, получают доступ к банковским счетам.

Оказалось, что новый троян распространяется под видом банковских приложений и клиентов социальных сетей. По набору функций он мало отличается от других мобильных зловредов — разве что их разнообразием. «Авторы атак, по всей видимости, имеют возможность читать SMS-сообщения, отправлять их, взаимодействовать с банками и перенаправлять трафик телефона на другие сайты, — рассказывают докладчики. — Ботоводы также получают доступ к большому количеству личной информации пользователя». После заражения все SMS-сообщения жертвы отсылаются на C&C-сервер для хранения.

Инфраструктура нового ботнета довольно сложна. «В распоряжении ботоводов Geost имеются сотни созданных по DGA вредоносных доменов, как минимум 13 IP-адресов C&C в шести странах, не менее 800 тыс. жертв из России и доступ к нескольким млн евро на счетах жертв, — пишут авторы исследования в аннотации. — Мы видели снимки панелей управления, списки жертв и их SMS-сообщений. Ботнет может напрямую подключаться к пяти топовым банкам в России для проведения транзакций и развернул более 200 APK-файлов, имитирующих десятки Android-приложений».

Объединенная команда исследователей связалась с затронутыми российскими банками и вместе с ними пытается остановить вредоносную кампанию. Два из этих банков ведут деловые операции в Западной и Восточной Европе, один входит в состав холдинга с филиалами в 15 странах. «Тот факт, что список [целей] включает лишь пять позиций, наводит на мысль об особых операциях, возможных только в этих банках, — заключают исследователи. — Не исключено, что вредоносные APK или код C&C способны получать доступ к аккаунтам и совершать переводы только в этих банках, однако это лишь предположение».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.074
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.