Długotrwały botnet Androida ewoluuje, może stanowić zagrożenie dla sieci firmowych

Android Trojan, który jest jednym z najdłużej działających wielozadaniowych mobilnych botnetów, został zaktualizowany, by stać się bardziej skrępowany i bardziej odporny.

Botnet jest używany głównie do spamu i nieuczciwych wiadomości błyskawicznych kupowanie biletów, ale może być wykorzystany do przeprowadzenia ukierunkowanych ataków na sieci korporacyjne, ponieważ złośliwe oprogramowanie umożliwia atakującym używanie zainfekowanych urządzeń jako serwerów proxy, twierdzą naukowcy z firmy ochroniarskiej Lookout.

Dubbingowany NotCompatible, trojan mobilny został odkryty w 2012 roku i pierwsze złośliwe oprogramowanie dla Androida, które ma być rozpowszechniane jako pobieranie z zainfekowanych stron internetowych.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Urządzenia odwiedzające takie witryny uld automatycznie rozpocznie pobieranie szkodliwego pliku .apk (pakietu aplikacji na Androida). Użytkownicy będą wtedy widzieć powiadomienia o ukończonych pobraniach i klikną na nich, zachęcając złośliwą aplikację do zainstalowania, jeśli ich urządzenia mają włączone ustawienie "nieznanych źródeł".

Podczas gdy metoda dystrybucji pozostała w większości taka sama, szkodliwe oprogramowanie i jego infrastruktura dowodzenia i kontroli znacznie się rozwinęła od 2012 roku.

Nowo odkryta wersja programu trojańskiego, o nazwie NotCompatible.C, szyfruje komunikację z serwerami kontroli, czyniąc ruch nie do odróżnienia od legalnego SSL, SSH lub Ruch VPN, analitycy bezpieczeństwa Lookout, powiedział w środę w poście na blogu. Szkodliwe oprogramowanie może również komunikować się bezpośrednio z innymi zainfekowanymi urządzeniami, tworząc sieć typu peer-to-peer, która zapewnia potężną redundancję w przypadku wyłączenia głównych serwerów kontroli.

Osoby atakujące używają technik równoważenia obciążenia i geolokalizacji po stronie infrastruktury, więc że zainfekowane urządzenia są przekierowywane na jeden z ponad 10 oddzielnych serwerów zlokalizowanych w Szwecji, Polsce, Holandii, Wielkiej Brytanii i USA

"W NotCompatible.C widzimy innowacje technologiczne w mobilnym systemie złośliwego oprogramowania, który osiąga poziomy bardziej tradycyjnie wyświetlane przez cyberprzestępców z komputerów PC ", stwierdzili naukowcy z Lookout.

Botnet NotCompatible.C został użyty do wysyłania spamu na adresy Live, AOL, Yahoo i Comcast; kupować hurtowo bilety od Ticketmaster, Live Nation, EventShopper i Craigslist; uruchamianie brutalnych ataków polegających na zgadywaniu haseł przeciwko witrynom WordPress; i kontrolować przejęte strony za pomocą powłok internetowych. Badacze uważają, że botnet jest prawdopodobnie wynajmowany innym cyberprzestępcom w związku z różnymi działaniami.

Chociaż do tej pory nie był wykorzystywany bezpośrednio w atakach na sieci korporacyjne, potencjał trojana sprawia, że ​​jest on potencjalnym zagrożeniem dla takich środowisk.

Jeśli urządzenie zainfekowane programem NotCompatible.C zostanie wprowadzone do organizacji, może dać operatorom botnetu dostęp do sieci tej organizacji, podali badacze Lookout. "Korzystając z serwera proxy NotCompatible, osoba atakująca mogłaby zrobić wszystko, od wyliczenia podatnych hostów w sieci, do wykorzystania luk w zabezpieczeniach i wyszukiwania narażonych danych."

"Uważamy, że funkcja NotCompatible jest już obecna w wielu sieciach korporacyjnych, ponieważ zaobserwowaliśmy, za pośrednictwem bazy użytkowników Lookout, setek sieci korporacyjnych z urządzeniami, które spotkały się z NotCompatible "- powiedzieli badacze Lookout.