Największy w historii botnet atakujący system Android

Analitycy firmy Doctor Web wykryli największy w historii botnet składający się z urządzeń z systemem Android. Na dzień dzisiejszy ponad 200 tysięcy smartfonów zostało zainfekowanych wirusami z rodzinyAndroid.SmsSend i włączonych do sieci kontrolowanej przez przestępców. Głównym źródłem infekcji są strony będące własnością cyberprzestępców oraz witryny zaatakowane i kontrolowane przez nich w celu dalszej propagacji wirusów. Najwięcej zainfekowanych urządzeń wykryto w Rosji, kolejne miejsca dzierżą Ukraina, Kazachstan i Białoruś. Wstępne oceny sugerują, że szkody wyrządzone przez malware jako rezultat tego incydentu mogą zamknąć się sumą nawet setek tysięcy dolarów.

Przestępcy użyli kilku złośliwych programów do zainfekowania urządzeń i włączenia ich do botnetu:

  • wykrytego ostatnio Android.SmsSend.754.origin,
  • Android.SmsSend.412 (znanego w Doctor Web od marca 2013 i rozpowszechniającego sie jako przeglądarka mobilna)
  • Android.SmsSend.468.origin (znany od kwietnia 2013)
  • i Android.SmsSend.585.origin, rozpoznanego w czerwcu 2013.

Najwcześniejsza wersja Trojana powiązana ze śledztwem dotyczącym tego incydentu to Android.SmsSend.233.origin, dodany do baz Dr.Web w listopadzie 2012. W przeważającej części przypadków strony użyte przez przestępców do dystrybucji wymienionego złośliwego oprogramowania okazały się źródłem infekcji dla botnetu.

Trojan Android.SmsSend.754.origin ukrywa się pod aplikacją o nazwie Flow_Player.apk. Podczas instalacji wyświetla monit o konieczności uruchomienia jej z uprawnieniami administratora - dzięki temu złośliwa aplikacja zyskuje uprawnienia do blokowania i odblokowywania ekranu. Dodatkowo Android.SmsSend.754.origin zyskuje możliwość późniejszego usunięcia swojej ikony z ekranu "home" systemu Android. Po zakończeniu instalacji Trojan wysyła atakującym wiadomość na temat zainfekowanego urządzenia, zawierającą takie dane jak:

  • IMEI,
  • ilość środków na koncie karty pre-paid,
  • kod kraju i kod operatora - wystawcy karty SIM,
  • numer telefonu,
  • model telefonu komórkowego
  • i wersję systemu operacyjnego.

Następnie Android.SmsSend.754.origin oczekuje na komendy wysyłane przez intruzów, w odpowiedzi na które potrafi wysłać zdefiniowaną wiadomość SMS na konkretny numer, wysłać bardzo dużą ilość wiadomości SMS na numery z książki adresowej telefonu, otworzyć określony adres URL w przeglądarce lub wyświetlić wiadomość o określonym tytule i treści na ekranie urządzenia.

W nawiązaniu do informacji zebranych przez analityków Doctor Web - na dzień dzisiejszy botnet zawiera w sobie więcej niż 200 tysięcy urządzeń mobilnych opartych na systemie Android. Większość z nich (124458 infekcji) zlokalizowano w Rosji, Ukraina zajmuje drugą pozycję z 39020 zainfekowanych urządzeń, kolejny jest Kazachstan (21555 sztuk).

W wersji źródłowej notki zaprezentowano diagram przedstawiający geograficzny rozkład infekcji i listę "najpopularniejszych" operatorów GSM zmagających się z tym problemem - jak widać dominują kraje byłego ZSRR, choć nie można powiedzieć, aby problem nie dotyczył też krajów UE i USA.

Jest to jeden z największych incydentów dotyczących ataków na urządzenia z systemem Android odnotowanych w ostatnich 6-ciu miesiącach. Tak jak już napisaliśmy - wstępne oceny sugerują, że szkody wyrządzone przez malware jako rezultat tego incydentu mogą zamknąć się sumą nawet setek tysięcy dolarów.

Na chwilę obecną wszystkie wymienione w notce złośliwe programy są wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web, jednak aby uniknąć infekcji specjaliści Doctor Web mocno rekomendują zaniechanie pobierania i instalowania programów pochodzących z podejrzanych, nieautoryzowanych źródeł.

Analitycy Doctor Web nadal wnikliwie monitorują zaistniałą sytuację. Oryginalną treść tej notki (w języku angielskim) można znaleźć tu http://news.drweb.com/show/?i=3929&lng=en&c=14

źródło: Dr.Web



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.