Das bedrohliche Android-Botnetz gedeiht noch 16 Monate nachdem sie ans Licht gekommen sind

Bedrohliches Android-Botnet gedeiht noch 16 Monate nach BekanntwerdenEnlargeCheck Point Software

Im Jahr 2016 entdeckten Forscher ein Botnetz, das infiziert wurde Android-Handys in verdeckte Abhörposten, die siphonieren könnten sensible Daten aus geschützten Netzwerken. Google sagte damals Es wurden die 400 Google Play-Apps entfernt, in denen das Schadprogramm installiert war Botnet-Code und ergriffen andere, nicht näher bezeichnete “notwendige Maßnahmen”, um Schützen Sie infizierte Benutzer.

Weitere Lektüre

Mehr als 400 bösartige Apps infiltrieren Google Play

Jetzt, ungefähr 16 Monate später, hat ein Hacker Beweise geliefert dass das so genannte DressCode-Botnetz weiterhin floriert und kann Derzeit versklaven bis zu vier Millionen Geräte. Die Infektionen stellen ein erhebliches Risiko dar, da sie dazu führen, dass Telefone die SOCKS verwenden Protokoll, um eine direkte Verbindung zu den Servern des Angreifers herzustellen. Angreifer kann dann in Heim- oder Firmennetzwerke tunneln, zu denen die Telefone gehören gehören in einen Versuch, Router-Passwörter zu stehlen und Probe verbunden Computer für Sicherheitslücken oder ungesicherte Daten.

Schlimmer noch, eine Programmierschnittstelle, die der Angreifer befiehlt und Control Server verwendet, um die Verbindung herzustellen, ist unverschlüsselt und erfordert keine Authentifizierung, eine Schwäche, die andere erlaubt Angreifer, die infizierten Telefone selbstständig zu missbrauchen.

“Da das Gerät die Verbindung zum C2 aktiv öffnet Server wird die Verbindung in der Regel Firewalls wie diese passieren gefunden in Heim – und SMB – Routern, “Christoph Hebeisen, ein Forscher bei Mobile Security-Firma Lookout, sagte nach Überprüfung der Beweise. Hebeisen fuhr fort:

Sobald die Verbindung offen ist, wird derjenige das andere Ende von kontrollieren es kann nun über das mobile gerät in das netzwerk tunneln mit dem das gerät aktuell verbunden ist. Angesichts der ungeschützten API [der Hacker] hat herausgefunden, dass dies für jeden möglich sein kann Informationen für den Zugriff auf Geräte und Dienste, die sein sollen auf solche privaten Netzwerke beschränkt, wenn ein Gerät mit [bösartigen Apps] Darauf befindet sich innerhalb des Netzwerks. Stellen Sie sich einen Benutzer vor, der ein laufendes Gerät verwendet eine dieser Apps über das Firmen-WLAN ihres Arbeitgebers. Das Angreifer haben jetzt möglicherweise direkten Zugriff auf alle vorhandenen Ressourcen in der Regel durch eine Firewall oder ein IPS geschützt (Intrusion Prevention) System).

Das Botnetz wurde spätestens im August 2016 öffentlich dokumentiert. als Forscher der Sicherheitsfirma Check Point Software veröffentlichten dieser kurze Beitrag, der das Risiko der SOCKS-fähigen hervorhob Malware. Einen Monat später berichtete Trend Micro, DressCode gefunden zu haben eingebettet in 3.000 Android Apps, von denen 400 im Internet verfügbar waren offiziellen Spielemarkt, bis Google sie entfernt hat.

Dann im Oktober 2017 – mehr als 14 Monate nach dem Eintreffen des Botnetzes zu hell – Symantec hat einen neuen Stapel bösartiger Google Play gemeldet Apps, die 2,6 Millionen Mal heruntergeladen wurden. Während Symantec nannte den Malware-Sockbot, er verwendete denselben C2-Server und öffentlich zugängliche, nicht authentifizierte Programmierschnittstellen als DressCode für den gleichen Zweck der Beteiligung an Klickbetrug.

Hinweise auf das immer noch florierende Botnetz werfen wichtige Fragen auf über die Wirksamkeit von Google-Vorfällen bei der Beantwortung von Berichten von bösartige Android-Apps, die Telefone in Botnets verwandeln. Das Beweise – die von jemandem geliefert wurden, der behauptete zu haben gründlich gehackt der C2 Server und ein privater GitHub Account das gehosteter C2-Quellcode: Legt nahe, dass der Code tief im Code verborgen ist böswillige titel laufen weiterhin auf einer erheblichen anzahl von Geräte trotz wiederholter privater Benachrichtigungen an Google aus Sicherheitsforscher. Es ist nicht klar, ob Google das entfernt hat DressCode- und Sockbot-Apps von infizierten Handys und Angreifern es gelang, eine neue Gruppe von Geräten zu kompromittieren oder wenn Google dies zuließ Telefone bleiben infiziert.

Die Beweise belegen auch ein Versagen beim Abbau eines Infrastrukturforscher dokumentierten vor mehr als 16 Monaten und dass der Hacker sagt, ist seit fünf Jahren in Betrieb. Ein gemeinsames Die Branchenpraxis gilt für Sicherheitsunternehmen oder betroffene Software Unternehmen die Kontrolle über Internet-Domains und Server zu übernehmen, die es gewohnt sind Führen Sie Botnetze in einem Prozess aus, der als Sinkholing bezeichnet wird. Es ist nicht klar was Schritte, wenn Google es nötig hat, DressCode herunterzufahren. Der C2 Server und Zwei öffentliche APIs waren zum Zeitpunkt des Postings noch aktiv Leben.

Ein Google – Sprecher schrieb in einer E – Mail: “Wir haben unsere Benutzer von DressCode und seinen Varianten seit 2016. Wir sind ständig Überwachung dieser Malware-Familie, und wird auch weiterhin die nehmen geeignete Maßnahmen, um Android-Benutzer zu schützen. “Die Aussage hat nicht auf Fragen geantwortet, wenn Google daran gearbeitet hat, das zu versenken C2.

5.000 kopflose Browser

Der Hacker sagte, der Zweck des Botnetzes sei es, etwas zu generieren betrügerische Werbeeinnahmen, indem die infizierten Telefone dazu veranlasst werden Greifen Sie gemeinsam jede Sekunde auf Tausende von Anzeigen zu. Hier ist, wie es geht funktioniert: Auf einem von Angreifern kontrollierten Server wird eine große Anzahl von Headless ausgeführt Browser, die auf Webseiten mit Anzeigen klicken, für die Provisionen anfallen für Empfehlungen. Um zu verhindern, dass Werbetreibende die Fälschung erkennen Verkehr verwendet der Server die SOCKS-Proxys, um den Verkehr weiterzuleiten die kompromittierten Geräte, die alle fünf Sekunden gedreht werden.

Der Hacker sagte seinen Kompromiss der C2 und seiner nachfolgenden Der Diebstahl des zugrunde liegenden Quellcodes hat gezeigt, dass DressCode darauf vertraut fünf Server, auf denen 1.000 Threads auf jedem Server ausgeführt werden. Infolgedessen ist es Verwendet zu einem bestimmten Zeitpunkt 5.000 Proxy-Geräte, und zwar nur für bestimmte Zwecke fünf Sekunden, bevor der Pool mit 5.000 Neuinfizierten aufgefrischt wird Geräte.

Nach monatelangem Durchstöbern von Quellcode und anderen privaten Inhalten Daten, die im Botnetz verwendet werden, hat der Hacker geschätzt, dass das Botnetz über – oder um – verfügt Zumindest zu einem Zeitpunkt waren es ungefähr vier Millionen Geräte, die sich bei ihm melden. Der Hacker zitiert detaillierte Performance-Charts von mehr als 300 Android-Apps, mit denen Telefone infiziert werden, werden auch vom Botnetz geschätzt In den letzten paar Jahren wurden betrügerische Werbeeinnahmen in Höhe von 20 Millionen US-Dollar erzielt Jahre. Er sagte, die Programmierschnittstellen und der C2-Quellcode Zeigen Sie, dass eine oder mehrere Personen die Kontrolle über adecosystems.com haben Domain pflegen das Botnetz aktiv.

Lookouts Hebeisen sagte, er könne den Hacker bestätigen behauptet, dass der C2-Server derjenige ist, der von DressCode und verwendet wird Sockbot und dass es mindestens zwei öffentliche Programme aufruft Schnittstellen, einschließlich derjenigen, die eine SOCKS-Verbindung herstellen auf infizierten Geräten. Die APIs werden, wie Hebeisen bestätigt, auf gehostet Server von adecosystems.com, einer Domain, die von einem Provider verwendet wird von mobilen Diensten. Er bestätigte auch, dass die zweite Schnittstelle ist Wird verwendet, um Benutzeragenten zur Verwendung bei Klickbetrug bereitzustellen. (Ars ist den Link zu den APIs ablehnen, um weiteren Missbrauch zu verhindern.) He sagte, er sehe auch eine “starke Korrelation” zwischen der Server von adecosystems.com und Server, auf die in DressCode und verwiesen wird Sockbot-Code. Weil der Lookout-Forscher nicht auf privat zugegriffen hat Teile der Server konnte er nicht bestätigen, dass die SOCKS Der Proxy wurde an die Benutzer-Agent-Oberfläche gebunden, um die Nummer anzugeben von infizierten Geräten an die C2 zu melden, oder um die Menge zu bestimmen der Einnahmen, die das Botnetz im Laufe der Jahre generiert hat.

Beamte von Adeco Systems sagten, dass ihr Unternehmen keine hat Verbindung zum Botnetz und dass sie untersuchen, wie ihre Server wurden zum Hosten der APIs verwendet.

Durch die Verwendung eines Browsers, um die adecosystems.com Links zu besuchen, die Hosted die APIs, war es möglich, Snapshots von infizierten zu bekommen Geräte, die ihre IP-Adresse und ihren geografischen Standort enthielten. Wenn Sie den Link aktualisieren, erhalten Sie schnell dieselben Details für a anderes kompromittiertes Telefauf. Weil die Daten nicht durch ein geschützt sind Passwort ist es wahrscheinlich, dass jeder, der die Links kennt, herstellen kann ihre eigene SOCKS-Verbindung mit den Geräten, sagte Hebeisen.

API 1

API 1

API 1

API 2

API 2

API 2

Der Hacker hat auch auf eine Datenbank zugegriffen, die das Unique enthält Hardware-ID, Netzbetreiber, MAC-Nummer, Adresse und Geräte-ID für jedes infizierte Gerät. Er lieferte einen einzigen Screenshot, der erschien im Einklang mit dem, was er beschrieben hatte.

Viele der bösartigen Apps, einschließlich vieler dieser Apps, bleiben bestehen auf Märkten von Drittanbietern wie APKPure erhältlich. Weder Weder Hebeisen noch der Hacker sagten, sie hätten Beweise für Google Play hat in den letzten Monaten DressCode- oder Sockbot-Apps gehostet.

Während Google gesagt hat, hat es die Möglichkeit, aus der Ferne zu deinstallieren bösartige Apps von Android-Geräten, einige Kritiker haben das argumentiert Dieses Maß an Kontrolle, insbesondere ohne vorherige Zustimmung des Endbenutzers Überschreitet eine rote Linie. Google kann daher zögern benutze es. Selbst wenn die Remote-Fähigkeit hartnäckig ist, ist die erhebliche Bedrohung durch die einfache Einrichtung von SOCKS Verbindungen mit potenziell Millionen von Geräten sind fraglich genau die Art von Ausreißer-Fall, die Google mit rechtfertigen würde das Werkzeug. Nach Möglichkeit sollte Google zusätzlich Maßnahmen ergreifen, um Fahren Sie den C2-Server und die zugehörigen adecosystems.com-APIs herunter on.

Im Moment gibt es keine bekannte Liste von Apps, die das installieren DressCode und Sockbot Code. Leute, die denken, dass ihr Telefon sein kann infiziert sollte eine Antivirus-App von Check Point installieren, Symantec oder Suchen und Scannen nach bösartigen Apps. (Jede Dose zunächst kostenlos genutzt werden.) Um zu verhindern, dass Geräte werden Menschen, die in erster Linie gefährdet sind, sollten sehr selektiv sein Informationen zu den Apps, die sie auf ihren Android-Geräten installieren. Sie sollten Laden Sie Apps nur von Play herunter und auch dann erst, nachdem Sie dies getan haben Recherche sowohl über die App als auch über den Entwickler.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: