Хакер #305. Многошаговые SQL-инъекции
В апреле текущего года специалисты команды IBM X-Force описывали в своем блоге интересную ситуацию: автор популярного мобильного банкера GM Bot оказался заблокирован на крупных торговых площадках даркнета, и за освободившееся место на данном «рынке» немедленно развернулась активная борьба. Среди претендентов на роль нового лидера в этой области был и мобильный троян Bilal Bot. Но, как оказалось, весной исследователи IBM X-Force описали данный троян не совсем верно, о чем им недавно сообщил сам автор этой малвари.
Сначала создатель Bilal Bot связался с журналистами издания Softpedia, сообщив им, что они распространяют ложную информацию о его вредоносе. Журналисты не восприняли письмо всерьез и, по сути, отмахнулись от его автора, посоветовав тому поговорить с представителями IBM X-Force, которые являлись первоисточником опубликованных данных. Разумеется, никто не ожидал, что автор трояна в самом деле станет предъявлять претензии исследователям, но именно так и произошло.
Исследователь IBM X-Force Лаймор Кессем (Limor Kessem) рассказал в официальном блоге компании, что автор Bilal Bot действительно прислал аналитикам письмо. Вот что пишет автор малвари:
«Здравствуйте! Я разработчик и владелец малвари Bilal Bot. На вашем сайте опубликована неверная информация. Во-первых, KLN bot более не продается, так как его хозяин, rashe, забанен на андеграундных площадках за скам, так же как Ganjaman с его GM Bot и Mazar. Это во-первых. Во-вторых, вы рассматривали бета-версию моего Bilal Bot. С тех пор было много изменений и улучшений, так что ваш текст в целом и перечисленные в нем цены в частности абсолютно устарели. Если хотите, я дам вам интервью относительно моей малвари Bilal Bot, или я хотел бы попросить вас изменить или обновить вашу публикацию».
«Вероятно, цена возросла с тех пор, как малварь вышла из бета-версии, и разработчик не захотел, чтобы потенциальные покупатели требовали снизить цену, прочитав о тарифах где-то в сети, — объясняет Кессем. — Я все еще сижу и просто качаю головой после получения этого сообщения, ведь потенциальный автор предложил нам интервью, в котором обещал рассказать последнюю информацию о Bilal Bot. Да, конечно, автор Bilal Bot, мы с радостью возьмем у тебя интервью. Только имей в виду, что мы можем попросить у тебя подтверждение твоей реальной личности и местоположения».
Тем не менее, исследователи IBM X-Force не могли оставить послание без внимания и изучили Bilal Bot повторно. Малварь действительно обновилась, причем сроки ее обновления совпадают со сроками отправки письма, из чего эксперты делают вывод, что автором послания, скорее всего, действительно выступал разработчик трояна.
Среди функций Bilal Bot, которых не было замечено в апреле 2016 года, исследователи перечисли следующие: троян научился перехватывать входящие SMS-сообщения, а также получать доступ к уже существующим SMS; появилось перенаправление голосовых звонков; появилась функция перекрытия экрана устройства и так далее. Кроме того, исследователи пишут, что возросла стоимость трояна. Напомню, что ранее Bilal Bot стоил $3000.
Фото: Faris Algosaibi