Największy w historii botnet atakujący system Android
Analitycy firmy Doctor Web wykryli największy w historii botnet, składający się z urządzeń z systemem Android. Jak do tej pory ponad 200 tysięcy smartfonów, w tym należących do polskich użytkowników, zostało zainfekowanych wirusami z rodziny Android.SmsSend i włączonych do sieci kontrolowanej przez cyberprzestępców. Wstępne oceny sugerują, że szkody wyrządzone przez malware mogą wynieść setki tysięcy dolarów.
Do zainfekowania urządzeń w celu włączenia ich do botnetu cyberprzestępcy użyli kilku złośliwych programów: wykrytego ostatnio Android.SmsSend.754.origin, Android.SmsSend.412 (znanego w Doctor Web od marca 2013 i rozpowszechniającego się jako przeglądarka mobilna), Android.SmsSend.468.origin (znanego od kwietnia 2013) i Android.SmsSend.585.origin, (rozpoznanego w czerwcu 2013).
Najwcześniejsza wersja trojana powiązana ze śledztwem dotyczącym tego incydentu to Android.SmsSend.233.origin, dodany do baz Dr.Web w listopadzie 2012. W przeważającej części przypadków, źródłem infekcji okazały się strony będące własnością przestępców oraz witryny zaatakowane i kontrolowane przez nich w celu dalszego rozprzestrzeniania wirusów.
Trojan Android.SmsSend.754.origin ukrywa się pod aplikacją o nazwie Flow_Player.apk. Podczas instalacji, wyświetla ona monit o konieczności uruchomienia jej z uprawnieniami administratora - dzięki temu złośliwa aplikacja zyskuje uprawnienia do blokowania i odblokowywania ekranu. Dodatkowo Android.SmsSend.754.origin zyskuje możliwość późniejszego usunięcia swojej ikony z ekranu "home" systemu Android. Po zakończeniu instalacji, trojan wysyła atakującym wiadomość na temat zainfekowanego urządzenia, która może zawierać takie dane jak IMEI, ilość środków na koncie karty pre-paid, kod kraju czy kod operatora - wystawcy karty SIM, numer i model telefonu komórkowego oraz wersję systemu operacyjnego. Następnie Android.SmsSend.754.origin oczekuje na komendy od intruzów, w odpowiedzi na które potrafi na przykład wysłać zdefiniowaną wiadomość SMS na konkretny numer lub zbiorczą wiadomość SMS na numery z książki adresowej telefonu, otworzyć określony adres URL w przeglądarce lub wyświetlić wiadomość o konkretnym tytule i treści na ekranie urządzenia.
Według informacji zebranych przez analityków, botnet zawiera ponad 200 tysięcy urządzeń mobilnych opartych na systemie Android. Większość z nich (124 458) zlokalizowano w Rosji, na drugim miejscu jest Ukraina (39 020 infekcji), na trzecim zaś Kazachstan (21 555). Polscy użytkownicy, mimo że z niższym wynikiem (192 zainfekowane urządzenia), również znaleźli się w obszarze działanie tego botnetu.
Wykryty incydent jest jednym z największych ataków na urządzenia z systemem Android, jakie zostały odnotowane w ciągu ostatnich sześciu miesięcy. Wstępne oceny pozwalają przypuszczać, że rezultatem działania tego botnetu mogą być dotkliwe szkody wyrządzone użytkownikom przez wspomniane rodzaje malware.
Aby uniknąć infekcji specjaliści Doctor Web rekomendują zaniechanie pobierania i instalowania programów pochodzących z podejrzanych, nieautoryzowanych źródeł.