МОСКВА, 3 окт — ПРАЙМ. Компания-разработчик программного обеспечения в сфере информбезопасности Avast обнаружила банковский ботнет (сеть устройств с установленным хакерским ПО), который с 2016 года заразил более 800 тысяч Android-устройств россиян, говорится в сообщении компании.
"Редко встречающаяся цепочка ошибок OpSec привела к открытию нового банковского ботнета Android, нацеленного на жителей России. По оценкам исследователей, ботнет Geost действует с 2016 года и заразил более 800 тысяч Android-устройств и мог контролировать несколько миллиардов рублей", — говорится в релизе.
Обнаружить ботнет удалось после того, как хакеры решили воспользовались прокси-сетью, созданной с использованием вредоносной программы HtBot, — она позволяет пользователям псевдоанонимно общаться в интернете. Анализ сетевого взаимодействия HtBot позволил раскрыть злоумышленников. Мошенникам не удалось зашифровать свои сообщения, и эксперты смогли найти их личные переписки, где упоминались отмывание денег и платежи с использованием популярных среди русскоязычных киберпреступников систем. Дальнейший анализ показал, как хакеры вводят устройства в ботнет, как доставляется банковский троян на банковский счет жертвы.
"Мы получили действительно беспрецедентное представление о том, как работают подобные группировки. Поскольку эта группа не смогла скрыть свои действия, у нас получилось увидеть не только образцы вредоносного ПО, но и понять, как хакеры работают с шпионскими программами более низкого уровня, которые подключают устройства к ботнету. В общей сложности уже было более восьмисот тысяч жертв. По предварительным данным, группа могла контролировать миллионы в валюте", — приводятся в релизе слова исследователя Avast Анны Широковой.
Ботнет Geost представляет собой сложную инфраструктуру зараженных телефонов на базе ОС Android — она включает как минимум 13 IP-адресов, более 140 доменов и более 140 файлов APK (Android Package Kit — приложения для Android). Телефоны заражены Android APK, которые похожи на различные поддельные приложения: банковские приложения и приложения соцсетей.
После заражения телефоны подключаются к ботнету и могут управляться удаленно. Как правило, злоумышленники могут получить доступ к SMS, к их отправке, к общению с банками и перенаправлению трафика телефона на разные сайты, а также к большому объему личной информации пользователя. Все SMS-сообщения обрабатывались в автономном режиме на командном сервере для автоматического расчета баланса каждой жертвы. После обработки данных хакеры могли узнать, у кого из жертв самый большой баланс на счете.