В Китае обнаружен ботнет из 140 тысяч Android-устройств

В Китае обнаружен ботнет из 140 тысяч Android-устройств

Пользователи двух крупнейших операторов сотовой связи Китая оказались жертвами троянской программы, которая объединила их в ботнет рекордного размера. По мнению экспертов Symantec, размер этого ботнета может достигать сотен тысяч (!) устройств под управлением операционной системы Android.



Специалисты Symantec узнали о вредоносной программе RootSmart, которая распространяется в альтернативных китайских каталогах программного обеспечения. В официальном Android Market такого пока не обнаружено. Программа RootSmart устанавливается вместе с обычными программами из каталога, но при этом передаёт на удалённый сервер информацию о заражённом устройстве: номер IMEI, номер IMSI, ID соты, location area code и код мобильной сети, передает xakep.ru.

Логотип ярлыка для программы RootSmart схож с логотипом ярлыка «Настройки». RootSmart является второй программой после GingerMaster, которая применила на практике известный рут-эксплоит GingerBreak (для Android OS младше 2.3.3 и для 3.0).

В отличие от своего предшественника, RootSmart не идёт в комплекте с рут-эксплоитом, а подгружает GingerBreak с удалённого сервера после установки и запускает на исполнение с целью повышения привилегий. Рут-эксплоит идёт в архиве shells.zip в комплекте с двумя вспомогательными скриптами для установки в системную область.

Данная возможность ранее теоретически была описана для Android-устройств исследователем Джоном Оберхейде, который для демонстрации дыры написал демо-программу RootStrap.

После рутования телефона программа подгружает с удалённого сервера программу DroidLive, которая выполняет роль средства удалённого администрирования и выполняет команды с сервера C&C. Таким образом, телефон становится частью ботнета.

На рутованном телефоне хозяин ботнета может инициировать любые действия. По словам китайских исследователей, они уже видели, что программа для удалённого управления посылает SMS, блокирует входящие SMS, записывает информацию об исходящих вызовах (включая номер телефона и продолжительность звонка), инициирует собственные телефонные вызовы. Программа также способна менять адрес командного сервера, самостоятельно подключаться к интернету и передавать данные. По словам исследователей, самое опасное то, что она передаёт большие объёмы данных в сторону C&C, так что есть риск утечки приватных данных немалого количества пользователей.

Если рутование не удаётся, RootSmart всё равно пытается скачать и установить программы для удалённого управления телефоном, но он уже не может это сделать незаметно для пользователя. В данном случае пользователь должен сам выдать разрешения программам, и тогда телефон тоже станет частью ботнета.

Специалисты Symantec решили исследовать, насколько велик размер ботнета, созданного благодаря программе RootSmart (ботнет получил название Android.Bmaster). Они проанализировали трафик на C&C-серверах и пришли к выводу, что ботнет действует с сентября 2011 года, а количество активных инфицированных устройств варьируется от 110 тыс. до 140 тыс. в день. От 10 тыс. до 30 тыс. телефонов в день использовались для отправки платных SMS и звонков на платные номера. По оценкам специалистов, ботнет генерировал своим хозяевам от $1600 до $9000 в сутки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В мессенджер Signal для Windows добавили поддержку Arm64

Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.

Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.

Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.

В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.

Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.

Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru