В Китае обнаружен ботнет из 140 тысяч Android-устройств

Пользователи двух крупнейших операторов сотовой связи Китая оказались жертвами троянской программы, которая объединила их в ботнет рекордного размера. По мнению экспертов Symantec, размер этого ботнета может достигать сотен тысяч (!) устройств под управлением операционной системы Android.

Специалисты Symantec узнали о вредоносной программе RootSmart, которая распространяется в альтернативных китайских каталогах программного обеспечения. В официальном Android Market такого пока не обнаружено. Программа RootSmart устанавливается вместе с обычными программами из каталога, но при этом передаёт на удалённый сервер информацию о заражённом устройстве: номер IMEI, номер IMSI, ID соты, location area code и код мобильной сети, передает xakep.ru.

Логотип ярлыка для программы RootSmart схож с логотипом ярлыка «Настройки». RootSmart является второй программой после GingerMaster, которая применила на практике известный рут-эксплоит GingerBreak (для Android OS младше 2.3.3 и для 3.0).

В отличие от своего предшественника, RootSmart не идёт в комплекте с рут-эксплоитом, а подгружает GingerBreak с удалённого сервера после установки и запускает на исполнение с целью повышения привилегий. Рут-эксплоит идёт в архиве shells.zip в комплекте с двумя вспомогательными скриптами для установки в системную область.

Данная возможность ранее теоретически была описана для Android-устройств исследователем Джоном Оберхейде, который для демонстрации дыры написал демо-программу RootStrap.

После рутования телефона программа подгружает с удалённого сервера программу DroidLive, которая выполняет роль средства удалённого администрирования и выполняет команды с сервера C&C. Таким образом, телефон становится частью ботнета.

На рутованном телефоне хозяин ботнета может инициировать любые действия. По словам китайских исследователей, они уже видели, что программа для удалённого управления посылает SMS, блокирует входящие SMS, записывает информацию об исходящих вызовах (включая номер телефона и продолжительность звонка), инициирует собственные телефонные вызовы. Программа также способна менять адрес командного сервера, самостоятельно подключаться к интернету и передавать данные. По словам исследователей, самое опасное то, что она передаёт большие объёмы данных в сторону C&C, так что есть риск утечки приватных данных немалого количества пользователей.

Если рутование не удаётся, RootSmart всё равно пытается скачать и установить программы для удалённого управления телефоном, но он уже не может это сделать незаметно для пользователя. В данном случае пользователь должен сам выдать разрешения программам, и тогда телефон тоже станет частью ботнета.

Специалисты Symantec решили исследовать, насколько велик размер ботнета, созданного благодаря программе RootSmart (ботнет получил название Android.Bmaster). Они проанализировали трафик на C&C-серверах и пришли к выводу, что ботнет действует с сентября 2011 года, а количество активных инфицированных устройств варьируется от 110 тыс. до 140 тыс. в день. От 10 тыс. до 30 тыс. телефонов в день использовались для отправки платных SMS и звонков на платные номера. По оценкам специалистов, ботнет генерировал своим хозяевам от $1600 до $9000 в сутки.