Выступая на конференции Virus Bulletin в Лондоне, исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast рассказали, как им удалось обнаружить один из крупнейших Android-ботнетов, созданный на основе банковского трояна. Как оказалось, в состав вредоносной сети, получившей кодовое имя Geost, входят как минимум 800 тыс. зараженных устройств, расположенных преимущественно в России, а ее операторы суммарно контролируют несколько миллионов евро на счетах своих жертв в пяти российских банках.
Командный сервер нового ботнета был найден по чистой случайности в ходе анализа трафика другого зловреда, HtBot. Эта вредоносная программа устанавливает прокси-сервер на зараженных устройствах, позволяя своим хозяевам зарабатывать на продаже услуг по анонимизации трафика. Как выяснилось, этим прикрытием пользуются также ботоводы Geost.
По всей видимости, качество прокси-сервиса на основе HtBot оставляло желать лучшего, так как исследователям удалось отследить обращение зараженного зловредом устройства к C&C-серверу нового ботнета. Получить представление о деятельности операторов Geost помогла еще одна их ошибка: сообщники вели переговоры в чате, не используя шифрование. Это позволило наблюдателям узнать, каким образом злоумышленники заходят на свои серверы, заражают Android-устройства, обходят антивирусную защиту, получают доступ к банковским счетам.
Оказалось, что новый троян распространяется под видом легитимных банковских приложений и клиентов социальных сетей. По набору функций он мало отличается от других мобильных зловредов — разве что их разнообразием. «Авторы атак, по всей видимости, имеют возможность читать SMS-сообщения, отправлять их, взаимодействовать с банками и перенаправлять трафик телефона на другие сайты, — рассказывают докладчики. — Ботоводы также получают доступ к большому количеству личной информации пользователя». После заражения все SMS-сообщения жертвы отсылаются на C&C-сервер для хранения.
Инфраструктура нового ботнета довольно сложна. «В распоряжении ботоводов Geost имеются сотни созданных по DGA вредоносных доменов, как минимум 13 IP-адресов C&C в шести странах, не менее 800 тыс. жертв из России и доступ к нескольким млн евро на счетах жертв, — пишут авторы исследования в аннотации. — Мы видели снимки панелей управления, списки жертв и их SMS-сообщения. Ботнет может напрямую подключаться к пяти топовым банкам в России для проведения транзакций, он развернул более 200 APK-файлов, имитирующих десятки Android-приложений».
Объединенная команда исследователей связалась с затронутыми российскими банками и вместе с ними пытается остановить вредоносную кампанию. Два из этих банков ведут деловые операции в Западной и Восточной Европе, один входит в состав холдинга с филиалами в 15 странах. «Тот факт, что список [целей] включает лишь пять позиций, наводит на мысль об особых операциях, возможных только в этих банках, — заключают исследователи. — Не исключено, что вредоносные APK или код C&C способны получать доступ к аккаунтам и совершать переводы только в этих банках, однако это лишь предположение».
Источник: https://threatpost.ru/virus-bulletin-geost-android-botnet/34338/