Исследователи фирмы Panda Security натолкнулись еще на один пример того, как
всемирно известные компании вследствие халатного отношения к вопросам
безопасности распространяют среди своих клиентов вредоносное ПО. В
исследовательском блоге антивирусной фирмы этот случай
разобран подробно.
Автор сообщения пишет, что одна из его коллег получила от оператора мобильной
связи Vodafone новенький смартфон HTC Magic, работающий на базе операционной
системы Google Android OS. Подключив его к своему компьютеру через порт USB, она
увидела предупреждение антивирусного сканера, сообщившего ей о том, что файлы
autorun.inf и autorun.exe, имеющиеся на телефоне, являются вредоносными. Быстрый
осмотр содержимого памяти телефона позволил установить, что он заражен и
распространяет инфекцию на любой ПК, к которому подключен.
Дальнейший анализ показал, что телефон инфицирован клиентом огромного ботнета
Mariposa, трое администраторов которого были арестованы на прошлой неделе.
Впрочем, эта разновидность бота распространялась и управлялась не задержанными
членами испанской хакерской группировки DDP Team, а неким хакером по прозвищу “tnls”,
что явствует из кода управления зомби-сетью:
Кроме того, специалистам удалось установить и сами серверы управления
ботнетом, для получения инструкции от которых использовался протокол UDP:
Заразив компьютер, бот “отзванивался домой” для получения дальнейших
инструкций по краже персональных данных авторизации жертвы.
Проводивший анализ эксперт отмечает, что клиент ботнета Mariposa - не
единственный вирус, обнаруженный им на смартфоне Vodafone HTC Magic. Кроме него,
в аппарате присутствовал червь Conficker и троян для кражи паролей к игре
Lineage.
