lans.by

Вредоносные приложения Minecraft превращают Android-устройства в ботнет

Исследователи безопасности из компании Symantec обнаружили в Google Play Store по меньшей мере 8 приложений, инфицированных вредоносным ПО Sockbot, позволяющим подключать устройства к ботнету и осуществлять DDoS-атаки.

По данным исследователей, приложения скачали 600 тыс. — 2,6 млн раз. Вредоносная кампания преимущественно нацелена на пользователей в США, России, Украине, Бразилии и Германии.

На первый взгляд, приложения предназначены для изменения внешнего вида персонажей в игре Minecraft: Pocket Edition, однако в фоновом режиме включен сложный и хорошо замаскированный вредоносный функционал. В ходе анализа исследователи выявили активность, направленную на незаконное получение доходов от скрытой рекламы. Для получения команд приложение подключается к C&C-серверу через порт 9001.

C&C-сервер отправляет команду открыть сокет по протоколу SOCKS и дождаться соединения по указанному IP-адресу. Затем приложению отправляется команда для подключения к целевому серверу.

Подключившись к последнему, приложение получает список рекламных объявлений и связанных с ними метаданных (тип объявления, размер экрана). Используя SOCKS-прокси, приложение подключается к рекламному серверу и отправляет рекламные запросы. Само приложение не обладает функционалом для отображения рекламы.

По словам исследователей, данный механизм прокси может быть использован для эксплуатации ряда уязвимостей и проведения не только сетевых, но и DDoS-атак. Как выяснили исследователи, с данной кампанией связана всего одна учетная запись разработчика — FunBaster.

Исследователям не удалось получить более полную информацию о разработчике, поскольку вредоносный код приложений обфусцирован, а ключевые строки зашифрованы. Помимо этого, автор подписывает каждое приложение разным ключом, что усложняет идентификацию с помощью статического анализа. Google уже удалила вредоносные приложения из Play Store.

Источник

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *