Ένα νέο Android Banking Botnet που δρα τουλάχιστον από το 2016, το οποίο ανακαλύφθηκε από Ερευνητές του Τεχνικού Πανεπιστημίου της Τσεχίας, του Πανεπιστημίου UNCUYO και της Avast, στοχεύει Ρώσους πολίτες.
Το Geost botnet, όπως είναι το όνομά του, έχει μολύνει πάνω από 800.000 συσκευές Android σύμφωνα με τις εκτιμήσεις των ερευνητών και οι hacker πίσω από αυτό ενδέχεται να έχουν αποκτήσει αρκετά εκατομμύρια ευρώ.
Οι ερευνητές κατάφεραν να ανακαλύψουν το botnet, όταν οι δημιουργοί του αποφάσισαν να εμπιστευτούν ένα κακόβουλο proxy network built, χρησιμοποιώντας ένα malware που ονομάζεται HtBot. Το malware HtBot παρέχει μια υπηρεσία proxy, που μπορεί να ενοικιαστεί για να παρέχει στους χρήστες μια ψευδο-ανώνυμη σύνδεση στο διαδίκτυο. Αναλύοντας την επικοινωνία του δικτύου HtBot, οι ερευνητές ανακάλυψαν τη μεγάλη κακόβουλη επιχείρηση.
Επιπλέον οι hacker πίσω από το botnet, απέτυχαν να κρυπτογραφήσουν τις επικοινωνίες τους, οι οποίες έδωσαν στους ερευνητές μια άνευ προηγουμένου άποψη σχετικά με τις ενέργειές τους. Τα αρχεία καταγραφής των συνομιλιών αποκάλυψαν τον τρόπο πρόσβασης σε server, την εισαγωγή νέων συσκευών στο botnet και την αποφυγή εντοπισμού από το λογισμικό προστασίας από ιούς.
Λίγα λόγια για το Geost botnet
Σύμφωνα με την ερευνήτρια ασφαλείας της Avast, Anna Shirakova, οι απρόσεκτες επιλογές των hacker, ήταν αυτές που οδήγησαν στην ανακάλυψη των δραστηριοτήτων τους:
“Έχουμε πραγματικά μια άνευ προηγουμένου ιδέα, για το πώς λειτουργεί μία τέτοιου είδους επιχείρηση. Επειδή αυτή η ομάδα έκανε κάποιες πολύ κακές επιλογές σχετικά με το τρόπο που επέλεξε να κρύψει τις ενέργειές της, μπορούσαμε να δούμε όχι μόνο δείγματα του κακόβουλου λογισμικού, αλλά και να εμβαθύνουμε περισσότερο στον τρόπο με τον οποίο λειτουργεί η ομάδα, με χειριστές χαμηλότερου επιπέδου που φέρνουν συσκευές στο botnet, ενώ όσοι ανήκουν στα υψηλότερα κλιμάκια, χειρίζονται όσα χρήματα βρισκόταν υπό τον έλεγχό τους. Συνολικά, υπήρχαν πάνω από οκτακόσιες χιλιάδες θύματα και η ομάδα ενδεχομένως ελέγχει εκατομμύρια και σε ψηφιακό νόμισμα.”
Το Geost botnet φαίνεται ότι αποτελεί μια πολύπλοκη υποδομή από μολυσμένα Android smartphone. Τα τηλέφωνα μολύνονται αρχικά από Android APKs που μοιάζουν με διάφορες ψεύτικες εφαρμογές, όπως εφαρμογές τραπεζών και κοινωνικών δικτύων. Μόλις ένα μολυσμένο τηλέφωνο συνδεθεί με το botnet, ελέγχεται εξ αποστάσεως και οι επιτιθέμενοι έχουν πρόσβαση στη συσκευή και μπορούν να προχωρήσουν σε αποστολή μηνυμάτων SMS, να επικοινωνούν με τράπεζες και να ανακατευθύνουν τη ροή δεδομένων της συσκευής σε διαφορετικούς ιστότοπους. Μπορούν επίσης να έχουν πρόσβαση σε πολλές προσωπικές πληροφορίες των χρηστών.
Το botnet Geost διαθέτει μια πολύπλοκη υποδομή αποτελούμενη από τουλάχιστον 13 διευθύνσεις C & C IP, πάνω από 140 τομείς και περισσότερα από 140 αρχεία APK. Οι πρωταρχικοί στόχοι του banking Trojan ήταν πέντε τράπεζες και η πλειοψηφία τους ήταν από τη Ρωσία.
