vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Обнаружена бот-сеть из 200 тыс. зараженных устройств

Дата публикации: 24.09.2013
Количество просмотров: 1851

Специалисты компании «Доктор Веб» обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав.

Основной источник заражения в этом случае - принадлежащие злоумышленникам или взломанные интернет-ресурсы. Наибольшее число инфицированных устройств принадлежит российским пользователям, на втором месте по данному показателю располагается Украина, далее следуют Казахстан и Белоруссия. По предварительным оценкам ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов.

Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них новый троянец Android.SmsSend.754.origin, а также вредоносные программы Android.SmsSend.412.origin (известна с марта 2013 года, распространяется под видом мобильного браузера), Android.SmsSend.468.origin (известна с апреля 2013 года) и маскирующийся под мобильный клиент для социальной сети «Одноклассники» троянец Android.SmsSend.585.origin, известный антивирусному ПО Dr.Web с июня 2013 года.

Троянец Android.SmsSend.754.origin представляет собой apk-приложение с именем Flow_Player.apk. Устанавливаясь в операционной системе, он просит пользователя запустить данную программу с привилегиями администратора устройства - это позволит вредоносному приложению осуществлять управление блокировкой дисплея. Кроме того, Android.SmsSend.754.origin в дальнейшем скрывает свой значок с главного экрана мобильного устройства.

После завершения процедуры установки троянец отправляет злоумышленникам информацию об инфицированном устройстве, включая уникальный идентификатор IMEI, сведения о балансе, код страны, номер телефона жертвы, код оператора, модель мобильного телефона и версию ОС. Затем Android.SmsSend.754.origin ожидает поступления от злоумышленников соответствующей команды, по которой он может отправить СМС-сообщение с определённым текстом на заданный номер, выполнить СМС-рассылку по списку контактов, открыть заданный URL в браузере или продемонстрировать на экране мобильного устройства сообщение с определённым заголовком и текстом.

По сведениям, собранным специалистами, в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем - Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей.

Первые троянские программы семейства Android.SmsSend для мобильной ОС Android были зафиксированы еще в августе 2010 года, и это - уже 53-я модификация данной угрозы. Android.SmsSend.53 встроен в приложение com.talkweb.ycya.apk, ориентированное, прежде всего, на китайских пользователей и содержащее набор любовных гороскопов. Распространяется оно с нескольких китайских сайтов, например с известного сборника мобильных программ www.anzhuo168.com.

В процессе установки это приложение требует открыть ему доступ к функциям отправки, приема, редактирования СМС и MMС, подключению к Интернету, персональным данным, изменению содержимого карты памяти, телефонным звонкам.

Еще на этом этапе пользователя должен насторожить требуемый данным приложением список разрешений: если доступ к карте SD еще можно объяснить необходимостью создания на ней папок самой программы, то разрешение на отправку сообщений и прием телефонных звонков вряд ли необходимо утилите, демонстрирующей любовные гороскопы.

Запускаясь в операционной системе, вредоносное приложение подписывает пользователя на одну из премиум-услуг, предлагаемых китайскими контент-провайдерами, и начинает отслеживать входящие СМС. При получении сообщения, в котором контент-провайдер просит подтвердить регистрацию платной услуги, троянец автоматически отправляет ему СМС, содержащее символ «Y», что означает согласие пользователя с предлагаемыми условиями.

Затем троянец отслеживает и удаляет все входящие сообщения от данного контент-провайдера, а также входящие сообщения от мобильного оператора, содержащие информацию о текущем балансе счета абонента.

Следует отметить, что эта схема стандартна для троянцев такого типа. Пользователь должен быть крайне внимателен в процессе установки программ: если приложение требует для себя слишком высокие привилегии, необходимо задуматься о том, нужно ли использовать его.

Среди троянцев семейства Android.SmsSend неоднократно встречались программы и на русском языке, поэтому не стоит успокаивать себя тем, что эта версия вредоносного ПО рассчитана на китайских пользователей.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/netnews/23745/obnarujena-bot-set-iz-200-tyis-zarajennyih-ustroystv.html