Uhkaava Android-bottiverkko menestyy edelleen 16 kuukautta valoon tultuaan

Uhkaava Android-bottiverkko menestyy edelleen 16 kuukautta julkistamisen jälkeenEnlargeCheck Point -ohjelmisto

Vuonna 2016 tutkijat paljastivat bottiverkon, joka sai tartunnan Android-puhelimet peiteltyihin kuunteluviesteihin, jotka voivat sifonkiutua arkaluontoisia tietoja suojatuista verkoista. Google tuolloin sanoi se poisti 400 Google Play -sovellusta, jotka asensivat haittaohjelman botnet-koodi ja ryhtyi muihin määrittelemättömiin “tarvittaviin toimiin” suojata tartunnan saaneet käyttäjät.

Lisälukema

Yli 400 haittaohjelmaa tunkeutuu Google Playen

Nyt, noin 16 kuukautta myöhemmin, hakkeri on toimittanut todisteita että ns. DressCode-bottiverkko kukoistaa edelleen ja saattaa orjuuttaa tällä hetkellä jopa neljä miljoonaa laitetta. Infektiot aiheuttavat merkittävän riskin, koska ne saavat puhelimet käyttämään SOKKEITA protokolla suoran yhteyden avaamiseksi hyökkääjän palvelimille. hyökkääjät voi sitten tunnelin koti- tai yritysverkkoihin, joihin puhelimet kuuluvat yrittämään varastaa reitittimen salasanat ja anturi kytkettynä tietokoneet haavoittuvuuksien tai suojaamattoman datan varalta.

Vielä pahempaa, ohjelmointirajapinta että hyökkääjän komento ja ohjauspalvelin yhteyden muodostamiseen käyttää salausta eikä vaadi todennusta, heikkous, joka sallii muun hyökkääjät väärinkäyttämään tartunnan saaneita puhelimia.

“Koska laite avaa aktiivisesti yhteyden C2: een palvelin, yhteys yleensä kulkee kuten palomuurit löytyy koti- ja pienreitittimistä “, Christoph Hebeisen, tutkija mobiiliturvayhtiö Lookout, sanoi tutkittuaan todisteet. Hebeisen jatkoi:

Kun yhteys on auki, kuka hallitsee sen toista päätä se voi nyt tunneloida mobiililaitteen kautta verkkoon johon laite on tällä hetkellä kytketty. Koska suojaamaton API [hakkeri] löysi, se voi olla mahdollista kaikille, joilla on sellainen tiedot pääsyyn laitteisiin ja palveluihin, joiden oletetaan olevan rajoitettu sellaisiin yksityisiin verkkoihin, jos laite, jolla on [haittaohjelmat] se on verkon sisällä. Kuvittele käyttäjää, joka käyttää käynnissä olevaa laitetta yksi näistä sovelluksista työnantajansa yritys-Wi-Fi: ssä. hyökkääjällä voi nyt olla suora pääsy kaikkiin resursseihin, jotka ovat yleensä suojattu palomuurilla tai IPS: llä (tunkeutumisen estäminen järjestelmä).

Bottiverkko dokumentoitiin julkisesti viimeistään elokuussa 2016, kun turvallisuusyrityksen Check Point Software -yrityksen tutkijat julkaisivat tämä lyhyt viesti, joka korosti SOKK-aktivoitumisen riskiä haittaohjelmia. Kuukautta myöhemmin, Trend Micro ilmoitti löytäneensä DressCode sulautettu 3000 Android-sovellukseen, joista 400 oli saatavana virallisilla Play-markkinoilla, kunnes Google poisti ne.

Sitten lokakuussa 2017 – yli 14 kuukautta robotin tulosta syttyy – Symantec ilmoitti uudesta haitallisesta Google Playsta sovelluksia, jotka oli ladattu jopa 2,6 miljoonaa kertaa. Sillä aikaa Symantec nimitti haittaohjelman Sockbotiksi, se käytti samaa C2-palvelinta ja julkisesti saatavilla olevat, todentamattomat ohjelmointirajapinnat DressCode samalla tarkoituksella harjoittaa napsautuspetoksia.

Tiedot edelleen kukoistavasta robottiverkosta herättää tärkeitä kysymyksiä Google-tapausten reagoinnin tehokkuudesta haitalliset Android-sovellukset, jotka ryöstävät puhelimet robottiverkkoihin. todisteita – jotka toimitti joku, joka väitti saaneensa hakkeroinut perusteellisesti C2-palvelimen ja yksityisen GitHub-tilin isännöity C2-lähdekoodi – ehdottaa, että koodi piilotettu syvälle haitallisten nimikkeiden määrää jatketaan edelleen merkittävällä määrällä laitteita huolimatta toistuvista yksityisistä ilmoituksista Googlelle turvallisuustutkijat. Ei ole selvää, poistivatko Google etätiedot DressCode- ja Sockbot-sovellukset tartunnan saaneista puhelimista ja hyökkääjistä onnistui vaarantamaan uuden laitejoukon tai jos Google salli sen puhelimet pysyäkseen tartunnan saaneet.

Todisteet osoittavat myös, että infrastruktuuritutkijat dokumentoivat yli 16 kuukautta sitten ja että hakkeri sanoo, että se on ollut toiminnassa viisi vuotta. Yleinen teollisuuskäytäntö on tarkoitettu turvayhtiöille tai ohjelmistoille, joita asia koskee yritykset tarttumaan tottuneiden Internet-verkkotunnusten ja palvelimien hallintaan aja bottiverkkoja sinkholing-tunnetussa prosessissa. Ei ole selvää mitä vaiheet, jos joku Google ryhtyi poistamaan DressCode. C2-palvelin ja kaksi julkista sovellusliittymää pysyi aktiivisena tämän viestin mennessä elää.

Google-edustaja kirjoitti sähköpostiviestissä: “Suojaamme käyttäjiä DressCodesta ja sen muunnelmista vuodesta 2016. Olemme jatkuvasti seuraamaan tätä haittaohjelmaperhettä, ja jatkaa asianmukaiset toimenpiteet Android-käyttäjien suojaamiseksi. “Lausunto ei vastannut kysymyksiin, jos Google pyrkii upottamaan C2.

5000 päättömät selaimet

Hakkeri sanoi, että bottiverkon tarkoitus on tuottaa petolliset mainostulot aiheuttamalla tartunnan saaneet puhelimet pääsy kollektiivisesti tuhansia mainoksia sekunnissa. Näin se on toimii: hyökkääjän ohjaamalla palvelimella on valtava määrä päättömiä selaimet, jotka napsauttavat verkkosivuja, jotka sisältävät palkkioita maksavia mainoksia lähetteille. Estää mainostajia havaitsemasta väärennöksiä liikennettä, palvelin käyttää SOCKS-välityspalvelimia liikenteen reitittämiseen vaarantuneet laitteet, joita kierretään joka viides sekunti.

Hakkeri sanoi kompromissinsa C2: sta ja sitä seuraavista taustalla olevan lähdekoodin varkaus osoitti, että DressCode luottaa viisi palvelinta, jotka käyttävät 1 000 säiettä kullakin palvelimella. Seurauksena on käyttää 5000 välityspalvelinta käyttävää laitetta milloin tahansa, ja sitten vain viisi sekuntia ennen uima-altaan virkistämistä 5000 uudella tartunnan saaneella laitteet.

Vietettyään kuukausia hankaamalla lähdekoodia ja muuta yksityistä bottiverkossa käytettyjen tietojen perusteella hakkeri arvioi, että bottiverkolla on – tai ainakin yhdessä vaiheessa – noin neljä miljoonaa laitetta ilmoitti sille. Hakkeri, vedoten yli 300: n yksityiskohtaiseen suorituskykytaulukkoon Android-sovellukset, joita käytetään puhelinten tartuttamiseen, arvioidaan myös bottiverkolla tuotti 20 miljoonan dollarin arvosta vilpillisiä mainostuloja muutaman viimeisen vuoden aikana vuotta. Hän sanoi ohjelmointirajapintojen ja C2-lähdekoodin osoittavat, että yksi tai useampi ihminen, jolla on hallinta adekosystems.com-sivustossa verkkotunnus ylläpitää aktiivisesti bottiverkkoa.

Näköalapaikan Hebeisen kertoi pystyvänsä vahvistamaan hakkerit väittää, että C2-palvelin on se, jota käyttävät sekä DressCode että Sockbot ja että se kutsuu vähintään kahta julkista ohjelmointia rajapinnat, mukaan lukien se, joka muodostaa SOCKS-yhteyden tartunnan saaneissa laitteissa. Hebeisenin vahvistamat sovellusliittymät isännöidään palvelimet, jotka kuuluvat adecosystems.com-verkkoon, palveluntarjoajan käyttämään verkkotunnukseen matkaviestinpalveluista. Hän vahvisti myös, että toinen käyttöliittymä on käytetään tarjoamaan käyttäjän edustajia käytettäväksi napsautuspetoksissa. (Ars on kieltäytyminen linkittämästä sovellusliittymiin estämään niiden väärinkäyttöä.) Hän sanoi myös näkevänsä “vahvan korrelaation” adecosystems.com-palvelimet ja palvelimet, joihin viitataan DressCodessa ja Sockbot-koodi. Koska Lookout-tutkija ei päässyt yksityiseen osissa palvelimia, hän ei pystynyt vahvistamaan, että SOKIT välityspalvelin sidottiin käyttäjän edustajarajapintaan numeron määrittämiseksi tartunnan saaneista laitteista, jotka ilmoittavat C2: lle, tai määrän määrittämiseksi tuloista, joita bottiverkko on tuottanut vuosien varrella.

Adeco Systemsin virkamiehet kertoivat, että heidän yrityksellään ei ole yhteys bottiverkkoon ja että he tutkivat miten palvelimia käytettiin sovellusliittymien isäntämiseen.

Käymällä selainta käydäksesi adecosystems.com-linkkeissä isännöi sovellusliittymiä, oli mahdollista saada tilannekuvia tartunnan saaneista laitteet, jotka sisälsivät IP-osoitteensa ja maantieteellisen sijaintinsa. Linkin päivittäminen antaisi nopeasti samat tiedot a: lle erilainen vaarantunut puhelin. Koska tietoja ei suojaa salasanan avulla on todennäköistä, että kuka tahansa linkkien tunteva voi luoda oman SOKS-yhteyden laitteisiin, Hebeisen kertoi.

API 1

API 1

API 1

API 2

API 2

API 2

Hakkeri käytti myös tietokantaa, joka sisälsi ainutlaatuisen laitteistotunnus, operaattori, MAC-numeron osoite ja laitteen tunnus jokainen tartunnan saanut laite. Hän antoi yhden kuvakaappauksen, joka ilmestyi yhdenmukainen hänen kuvaamansa kanssa.

Monet haitallisista sovelluksista, mukaan lukien monet näistä, säilyvät saatavana kolmansien osapuolten markkinoilla, kuten APKPure. Ei kumpikaan Hebeisen eikä hakkeri sanonut, että heillä olisi todisteita Google Playsta isännöinyt DressCode- tai Sockbot-sovelluksia viime kuukausina.

Vaikka Google on sanonut, että sillä on kyky poistaa etäyhteys jotkut kriitikot ovat väittäneet, että Android-laitteiden haitallisia sovelluksia tämä valvonnan taso, etenkin ilman loppukäyttäjän suostumusta ajan, ylittää punaisen viivan. Siksi Google voi olla haluton Käytä sitä. Vaikka oletetaan, että kauko-ominaisuus on raskas, sukkien perustamisen helppous aiheuttaa merkittävän uhan yhteydet mahdollisesti miljooniin laitteisiin ovat kiistatta juuri sellainen ulkopuolinen tapaus, joka oikeuttaisi Googlen käyttämisen työkalu. Jos mahdollista, Googlen tulisi lisäksi ryhtyä toimiin poista C2-palvelin ja adecosystems.com-sovellusliittymät, joihin se luottaa päällä.

Tällä hetkellä ei ole tunnettua luetteloa sovelluksista, jotka asentavat DressCode ja Sockbot-koodi. Ihmiset, jotka ajattelevat heidän puhelintansa olevan tartunnan saaneiden tulee asentaa virustentorjuntasovellus Check Pointista, Symantec tai Lookout ja etsi haitallisia sovelluksia. (Jokainen tölkki aluksi käyttää ilmaiseksi.) Estä laitteiden olemassaolo ensinnäkin vaarantuneena, ihmisten tulisi olla erittäin valikoivia sovelluksista, jotka he asentavat Android-laitteisiinsa. Niiden pitäisi lataa sovelluksia vain Playsta ja silloinkin vasta tekemisen jälkeen sekä sovelluksen että kehittäjän tutkimus.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: