Китайские киберпреступники используют вредоносное ПО RottenSys для создания ботнета, который уже насчитывает порядка 5 млн Android-устройств.
Тем не менее, исследователи из Check Point обнаружили свидетельства применения злоумышленниками нового модуля на языке Lua для объединения зараженных гаджетов в одну гигантскую ботсеть. По словам исследователей, ботнет предоставит киберпреступникам гораздо больше возможностей, чем простое отображение рекламы. «У этого ботнета будут расширенные возможности, в том числе незаметная установка дополнительных приложений и автоматизация пользовательского интерфейса», – пишут исследователи.
По словам экспертов, RottenSys не всегда был таким опасным. Вредонос появился в сентябре 2016 года, и большую часть времени киберпреступники занимались его распространением с целью отображения рекламы. С течением времени число зараженных устройств медленно, но верно росло и к настоящему времени достигло порядка 4 964 460.
Компонент на Lua, позволяющий операторам ботнета получать контроль над зараженными устройствами, был добавлен в RottenSys только в прошлом месяце. Пока что вредонос активен только на китайском рынке и распространяется через китайские инфицированные приложения. Большую часть ботнета составляют устройства Huawei (свыше 1 млн), Xiaomi (почти 0,5 млн), OPPO, vivo, LeEco, Coolpad и GIONEE.
По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными».
Сначала с помощью Small вредонос создает виртуальные контейнеры для своих внутренних компонентов, позволяющие им запускаться параллельно в одно и то же время. Как правило, ОС Android не поддерживает такой функционал. Затем с помощью MarsDaemon вредонос поддерживает процессы активными. Даже когда пользователь завершает их, механизм внедрения рекламы все равно не отключается.