Avast revela ataques de bots na Rússia

0


Uma rara cadeia de erros da OpSec levou à descoberta de uma nova botnet bancária para Android, destinada a cidadãos russos que estava em operação desde 2016. A botnet Geost, revelada por pesquisadores da Czech Technical University, UNCUYO University e Avast infectou mais de 800.000 dispositivos Android (de acordo com a estimativa dos pesquisadores) e potencialmente controlou vários milhões de euros. Os pesquisadores descobriram uma história surpreendente, quando começaram a dissecar os registros de bate-papo não criptografados e encontrados como parte de sua investigação.

A descoberta incomum foi feita quando os botmasters decidiram confiar em uma rede proxy maliciosa, criada usando um malware chamado HtBot. O malware HtBot fornece um serviço proxy que pode ser alugado para oferecer aos usuários uma comunicação pseudo-anônima na internet. A análise da comunicação de rede HtBot levou à descoberta e divulgação de uma grande operação maliciosa, que infectou mais de 800.000 dispositivos Android.

Além da má escolha por uma plataforma de anonimato para ocultar rastros, os botmasters falharam em criptografar suas comunicações, permitindo aos pesquisadores uma visão sem precedentes do seu funcionamento interno. Os registros de bate-papo encontrados revelaram como eles acessavam servidores, traziam novos dispositivos para a botnet e como evitavam o software antivírus, mas também algo mais íntimo sobre as relações sociais entre os botmasters.

Em uma conversa, um membro queria deixar o grupo, porém o líder o encorajou a ficar, dizendo: "Alexander, sério, se começamos juntos, precisamos terminar, porque agora está funcionando e podemos ganhar dinheiro. Nem todos os dias estamos recebendo 100 mil por uma promoção".


Embora não esteja completamente claro o que se entende por "promoção", o líder também se envolveu em conversas sobre lavagem de dinheiro e pagamentos usando sistemas populares entre os cibercriminosos russos. Uma análise mais profunda ilustrou como os botmasters trazem dispositivos para a botnet e como é feita a entrega do trojan bancário e a infiltração na conta bancária da vítima.

"Realmente temos uma visão sem precedentes de como uma operação como essa funciona", diz Anna Shirakova, pesquisadora da Avast. "Como esse grupo fez algumas escolhas muito ruins na tentativa de ocultar suas ações, pudemos ver não apenas amostras do malware, mas também nos aprofundarmos em como o grupo trabalha tanto em um nível inferior das operações ao trazer dispositivos para a botnet, como em um nível superior das operações sobre o volume de dinheiro que estava sob seu controle. No total, houve mais de oitocentas mil vítimas e o grupo potencialmente controlou milhões em moeda".

Geost Botnet e Trojan Bancário

A botnet Geost parece ser uma infraestrutura complexa de telefones Android infectados. Os telefones estão infectados com APKs do Android que se assemelham a diferentes aplicativos fraudulentos, como bancos falsos e redes sociais falsas. Uma vez infectados, os telefones se conectam à botnet e são controlados remotamente. Ações habituais dos cibercriminosos parecem ser o acesso e envio de SMS, a comunicação com bancos e o redirecionando do tráfego do telefone para sites diferentes. Os botmasters também acessam uma grande quantidade de informações pessoais do usuário.

Após a infecção, o comando e controle armazenam a lista completa de mensagens SMS de todas as vítimas, começando no momento em que o dispositivo é infectado. SMSs foram processados offline no servidor C&C, para calcular automaticamente o saldo de cada vítima. Em estudos subsequentes, foi possível aos pesquisadores entender o processo do botmaster para determinar quais vítimas online tinham o maior saldo em dinheiro.

A botnet tinha uma infraestrutura complexa, incluindo menos de 13 endereços IP de C&C, mais de 140 domínios e mais de 140 arquivos APK. Cinco bancos, principalmente da Rússia, foram os principais alvos do trojan bancário.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.