Эксперты по кибербезопасности из Avast практически случайно обнаружили мощный банковский ботнет, который с 2016 года заразил более 800 тысяч Android-устройств россиян.
По предварительным оценкам исследователей, злоумышленники получили доступ к банковским счетам россиян, на которых в общей сложности хранилось несколько миллионов евро (то есть, несколько миллиардов рублей).
Такой серьезный ботнет мог остаться незамеченным, если бы не ошибки в операционной безопасности (OpSec) киберпреступников: использование незашифрованных журналов чата, обнаруженных в ходе расследования, и незащищенной прокси-сети, которая не смогла обеспечить анонимность.
Структурно ботнет Geost устроен весьма прихотливо: система представляет собой сложную инфраструктуру зараженных телефонов на базе ОС Android — она включает как минимум 13 IP-адресов, более 140 доменов и более 140 файлов APK (Android Package Kit — приложения для Android). Телефоны заражены Android APK, которые похожи на различные поддельные приложения: банковские приложения и приложения соцсетей.
После заражения телефоны подключаются к ботнету и могут управляться удаленно. Как правило, злоумышленники могут получить доступ к SMS, к их отправке, к общению с банками и перенаправлению трафика телефона на разные сайты, а также к большому объему личной информации пользователя.
Все SMS-сообщения обрабатывались в автономном режиме на командном сервере для автоматического расчета баланса каждой жертвы. Так, например, после обработки данных хакеры могли моментально узнать, у кого из жертв самый большой баланс на счете.
Читайте также на АКБ:
Ботнет поедает Европу – троян атакует нефтянку Штатов
Avast и французские копы накрыли ботнет из 850 тысяч машин
Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows