Заплашителният Android ботнет все още процъфтява 16 месеца след като излезе на светло

„ЗаплашителниятСофтуер EnlargeCheck Point

През 2016 г. изследователите откриха ботнет, който се зарази Телефони с Android в скрити публикации за слушане, които биха могли да сифон чувствителни данни извън защитените мрежи. Google каза по това време тя премахна 400-те приложения на Google Play, които инсталираха злонамерените ботнет код и предприе други, неуточнени “необходими действия” защита на заразените потребители.

Допълнителна информация

Повече от 400 злонамерени приложения проникват в Google Play

Сега, приблизително 16 месеца по-късно, хакер предостави доказателства че така нареченият DressCode ботнет продължава да процъфтява и може в момента поробват цели четири милиона устройства. Инфекциите представляват значителен риск, защото причиняват телефони да използват SOCKS протокол за отваряне на директна връзка със сървъри за атакуващи. Нападателите след това може да тунели в домашни или корпоративни мрежи, към които телефоните принадлежат в опит да откраднат паролите на рутера и свързаната сонда компютри за уязвимости или необезпечени данни.

Още по-лошо е програмен интерфейс, който командата на нападателя и контролния сървър използва за установяване на връзката е некриптиран и не изисква удостоверяване, слабост, която позволява на други нападателите самостоятелно злоупотребяват със заразените телефони.

„Тъй като устройството активно отваря връзката към C2 сървър, връзката обикновено преминава през защитни стени като тези намерени в домашни и SMB рутери “, Кристоф Хебейзен, изследовател от заяви мобилната охранителна фирма Lookout, след като прегледа доказателствата. Хебейзен продължи:

След като връзката е отворена, който и да контролира другия край на вече може да тунелира през мобилното устройство в мрежата до към което устройството е свързано в момента. Предвид незащитения API [хакерът] намери, може да е възможно някой с това информация за достъп до устройства и услуги, които трябва да бъдат ограничен до такива частни мрежи, ако устройство с [злонамерени приложения] върху него е вътре в мрежата. Представете си потребител, използващ работещо устройство едно от тези приложения в корпоративния Wi-Fi на техния работодател. Най- сега нападателят може да има директен достъп до каквито и да е ресурси обикновено са защитени от защитна стена или IPS (предотвратяване на проникване система).

Ботнетът е публично документиран не по-късно от август 2016 г., когато изследователите от охранителната фирма Check Point Software публикуват тази кратка публикация, която подчертава риска от активирани SOCKS зловреден софтуер. Един месец по-късно Trend Micro съобщи, че е открил DressCode вградени в 3000 приложения за Android, 400 от които са налични в официален Play пазар, докато Google ги премахне.

След това през октомври 2017 г. – повече от 14 месеца след появата на ботнета на светло – Symantec съобщи за нова партида злонамерен Google Play приложения, които са били изтеглени цели 2,6 милиона пъти. Докато Symantec нарече зловредния софтуер Sockbot, той използва същия C2 сървър и публично достъпни, неоторизирани програмни интерфейси като DressCode за същата цел да се включи в измама с кликвания.

Доказателствата за все още процъфтяващия ботнет повдигат важни въпроси за ефективността на реакциите на Google за инциденти на доклади от злонамерени приложения за Android, които превъртат телефоните в ботнети. Най- доказателства – предоставени от някой, който твърди, че има старателно хакна C2 сървъра и частен GitHub акаунт, който хостван C2 изходен код – предполага този код, скрит дълбоко в злонамерените заглавия продължават да се показват на значителен брой устройства, въпреки многократните частни известия от Google от изследователи по сигурността. Не е ясно дали Google премахва дистанционно Приложения DressCode и Sockbot от заразени телефони и нападатели успя да компрометира нов набор от устройства или ако Google разреши телефони, за да останат заразени.

Доказателствата също демонстрират провал в демонтирането на антена изследователите на инфраструктура документираха преди повече от 16 месеца и че хакерът казва, че работи от пет години. Често срещан индустриалната практика е за охранителни компании или засегнат софтуер компании, които да поемат контрола върху интернет домейни и сървъри, използвани преди стартирайте ботнет мрежи в процес, известен като въртене. Не е ясно какво стъпки, ако някой предприе Google, за да свали DressCode. С2 сървърът и два публични API-та останаха активни по времето, когато тази публикация отиде живеят.

В имейл говорител на Google написа: „Защитихме нашите потребители от DressCode и неговите варианти от 2016 г. Ние сме постоянно наблюдение на това семейство на злонамерен софтуер и ще продължи да приема подходящи действия за подпомагане на сигурността на потребителите на Android. “Изявлението не отговори на въпроси, ако Google работи за вкопаване на C2.

5000 браузъри без глава

Хакерът каза, че целта на ботнета е да генерира измамни приходи от реклама, причинявайки на заразените телефони колективно достъп до хиляди реклами всяка секунда. Ето как става работи: контролиран от атакуващ сървър огромен брой безглави браузъри, които кликват върху уеб страници, съдържащи реклами, които плащат комисионни за реферали. За да не позволите на рекламодателите да открият фалшификатите трафик, сървърът използва SOCKS прокси сървъри, за да маршрутизира трафика през компрометираните устройства, които се завъртат на всеки пет секунди.

Хакерът заяви, че е компрометиран от С2 и последвалите му кражба на основния изходен код показа, че DressCode разчита пет сървъра, които изпълняват 1000 нишки на всеки сървър. В резултат на това използва 5000 прокси устройства във всеки даден момент и след това само за пет секунди, преди да освежите басейна с 5000 нови заразени устройства.

След като прекарате месеци, търкайки изходния код и други лични данни, използвани в ботнета, хакерът прецени, че ботнетът има – или при поне в един момент имаше – около четири милиона устройства, докладващи за него. Хакерът, позовавайки се на подробни графики за ефективност от над 300 Приложенията за Android, използвани за заразяване на телефони, също изчислиха, че има ботнет генерира 20 милиона долара от измамни приходи от реклама през последните няколко години. Той каза, че интерфейсите за програмиране и изходният код на C2 показват, че един или повече хора с контрол над adecosystems.com домейн активно поддържат ботнет.

Hebeisen на Lookout заяви, че е в състояние да потвърди този на хакера твърди, че C2 сървърът е този, използван както от DressCode, така и от Sockbot и че призовава поне две публични програми интерфейси, включително този, който установява SOCKS връзка на заразени устройства. Приложенията API, потвърди Hebeisen, са хоствани на сървъри, принадлежащи на adecosystems.com, домейн, използван от доставчик на мобилните услуги. Той също потвърди, че вторият интерфейс е използва се за предоставяне на потребителски агенти за използване при измама с кликвания. (Ars е отказва да се свърже с API, за да предотврати по-нататъшно злоупотреба с тях.) Той каза, че също е видял “силна зависимост” между сървъри и сървъри на adecosystems.com, посочени в DressCode и Sockbot код. Тъй като изследователят на Lookout не е имал достъп до частни части от сървърите, той не успя да потвърди, че SOCKS proxy беше свързан към интерфейса на потребителския агент, за да се уточни номерът на заразени устройства, докладващи на С2, или за определяне на количеството от приходите, които ботнетът е генерирал през годините.

Длъжностни лица от Adeco Systems казаха, че тяхната компания няма връзка с ботнет и че те разследват как техните сървърите бяха използвани за хостване на API-тата.

Използвайки браузър, посетете връзките към adecosystems.com домакин на API, беше възможно да се правят снимки на заразени устройства, включващи техния IP адрес и географско местоположение. Обновяването на връзката бързо ще предостави същите подробности за a различен компрометиран телефон. Тъй като данните не са защитени от a парола, вероятно всеки, който познава връзките, може да установи собствената им връзка SOCKS с устройствата, каза Хебейзен.

API 1

API 1

API 1

API 2

API 2

API 2

Хакерът също така получи достъп до база данни, съдържаща уникалния хардуерен идентификатор, оператор, MAC номер и номер на устройството за всяко заразено устройство. Той предостави един-единствен екран, който се появи в съответствие с описаното от него.

Много от злонамерените приложения, включително много от тях, остават налични на пазарни пазари на трети страни като APKPure. Нито едното Hebeisen нито хакерът заявиха, че имат доказателства, които има Google Play домакин на приложения DressCode или Sockbot през последните месеци.

Въпреки че Google заяви, че има възможност за дистанционно деинсталиране злонамерени приложения от устройства с Android, някои критици твърдят това това ниво на контрол, особено без предварително съгласие на крайния потребител от време, превишава червената линия. Следователно Google може да не е склонен използваи го. Дори да приемем, че отдалечената способност е тежко предавана, то значителна заплаха, породена от лекотата на създаване на SOCKS връзки с потенциално милиони устройства е спорно точно онзи случай, който би оправдал използването на Google инструмента. Ако е възможно, Google трябва допълнително да предприеме стъпки за свалете С2 сървъра и API на adecosystems.com, на който разчита На.

В момента няма известен списък с приложения, които инсталират DressCode и Sockbot код. Хората, които смятат, че телефонът им може да бъде заразените трябва да инсталират антивирусно приложение от Check Point, Symantec или Lookout и сканирайте за злонамерени приложения. (Всяка консерва първоначално се използва безплатно.) За да се предотврати използването на устройства компрометирани на първо място, хората трябва да бъдат силно избирателни за приложенията, които инсталират на своите устройства с Android. Те трябва изтегляйте приложения само от Play и дори тогава само след това изследвания както на приложението, така и на разработчика.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: