Исследователи безопасности из компании Symantec обнаружили в Google Play Store по меньшей мере 8 приложений, инфицированных вредоносным ПО Sockbot, позволяющим подключать устройства к ботнету и осуществлять DDoS-атаки.
На первый взгляд, приложения предназначены для изменения внешнего вида персонажей в игре Minecraft: Pocket Edition, однако в фоновом режиме включен сложный и хорошо замаскированный вредоносный функционал. В ходе анализа исследователи выявили активность, направленную на незаконное получение доходов от скрытой рекламы. Для получения команд приложение подключается к C&C-серверу через порт 9001.
C&C-сервер отправляет команду открыть сокет по протоколу SOCKS и дождаться соединения по указанному IP-адресу. Затем приложению отправляется команда для подключения к целевому серверу.
Подключившись к последнему, приложение получает список рекламных объявлений и связанных с ними метаданных (тип объявления, размер экрана). Используя SOCKS-прокси, приложение подключается к рекламному серверу и отправляет рекламные запросы. Само приложение не обладает функционалом для отображения рекламы.
По словам исследователей, данный механизм прокси может быть использован для эксплуатации ряда уязвимостей и проведения не только сетевых, но и DDoS-атак. Как выяснили исследователи, с данной кампанией связана всего одна учетная запись разработчика – FunBaster.
Исследователям не удалось получить более полную информацию о разработчике, поскольку вредоносный код приложений обфусцирован, а ключевые строки зашифрованы. Помимо этого, автор подписывает каждое приложение разным ключом, что усложняет идентификацию с помощью статического анализа. Google уже удалила вредоносные приложения из Play Store.