Бот-сеть из 200 тысяч Android- устройств

По сообщению компании «Доктор Веб», ее специалисты обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. По их данным, в нее входят более 200 тыс. смартфонов, зараженных вредоносными программами семейства Android.SmsSend. Основной источник заражения – принадлежащие злоумышленникам или взломанные интернет-ресурсы. Наибольшее число инфицированных устройств принадлежит российским пользователям, на втором месте – Украина, далее следуют Казахстан и Белоруссия. Это один из наиболее массовых случаев заражения Android-совместимых мобильных устройств, зафиксированных в текущем полугодии. По предварительным оценкам, нанесенный пользователям ущерб может исчисляться сотнями тысяч долларов.

Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них новый троянец Android.SmsSend.754.origin, вредоносные программы Android.SmsSend.412.origin (известна с марта 2013 г., распространяется под видом мобильного браузера), Android.SmsSend.468.origin (известна с апреля 2013 г.) и маскирующийся под мобильный клиент для социальной сети «Одноклассники» троянец Android.SmsSend.585.origin, известный с июня 2013 г. Наиболее ранняя версия троянца, замеченного в ходе расследования данного инцидента, Android.SmsSend.233.origin, появилась еще в ноябре 2012 г. В большинстве случаев источниками заражения являются принадлежащие злоумышленникам либо взломанные сайты, распространяющие вредоносные программы.

Троянец Android.SmsSend.754.origin представляет собой apk-приложение с именем Flow_Player.apk. Устанавливаясь в ОС, он просит пользователя запустить данную программу с привилегиями администратора устройства, что позволяет приложению управлять блокировкой дисплея. Кроме того, Android.SmsSend.754.origin в дальнейшем скрывает свой значок с главного экрана мобильного устройства.

После завершения процедуры установки троянец отправляет злоумышленникам информацию об инфицированном устройстве, включая уникальный идентификатор IMEI, сведения о балансе, код страны, номер телефона жертвы, код оператора, модель мобильного телефона и версию ОС. Затем Android.SmsSend.754.origin ожидает поступления команды, по которой он может отправить СМС-сообщение с определенным текстом на заданный номер, выполнить СМС-рассылку по списку контактов, открыть заданный URL в браузере или продемонстрировать на экране мобильного устройства сообщение с определенным заголовком и текстом.

В настоящий момент все описанные выше угрозы детектируются и удаляются антивирусным ПО Dr.Web. Пользователям мобильных Android-устройств во избежание заражения рекомендуется не загружать и не устанавливать ПО с подозрительных сайтов.