Avast: 800 000 россиян стали жертвами банковского ботнета

Исследователи из Чешского технического университета,  Университета UNCUYO и компании Avast изучили Android-ботнет Geost, а также историю действий его создателей, представив доклад о своем исследовании на конференции Virus Bulletin 2019.

К раскрытию банковского ботнета, нацеленного на жителей России, привел ряд ошибок, которые допустили преступники. По оценкам исследователей, ботнет Geost действует с 2016 года, уже заразил более 800 000 Android-устройств, а также мог контролировать несколько миллиардов рублей.

Необычное открытие было сделано после того, как хакеры решили довериться вредоносной прокси-сети, созданной с использованием малвари HtBot. Это прокси-сервис, который можно арендовать, чтобы дать возможность пользователям псевдоанонимно общаться в интернете. Именно анализ сетевого взаимодействия HtBot привел к обнаружению и раскрытию крупной вредоносной кампании, которая затронула более 800 000 устройств на базе Android.

Злоумышленники крайне неудачно выбрали платформы анонимизации, чтобы скрыть свои следы. Так, им не удалось зашифровать сообщения, что позволило исследователям узнать подробности об их внутренней работе. Обнаруженные чаты показали, как хакеры обращались к серверам, вводили новые устройства в ботнет и избегали антивирусного ПО. Но самое интересное — исследователи смогли обнаружить даже личные переписки злоумышленников.

В одной из таких бесед в Skype  член группы сообщает, что хочет покинуть ее, но тимлид уговаривает его остаться: «Александр, если мы начали вместе, нам нужно закончить работу тоже вместе. Сейчас это работает, и мы можем зарабатывать деньги. Не каждый день мы получаем 100 тысяч за продвижение».

Исследователям не совсем понятно, что подразумевается под «продвижением», поскольку в беседе также упоминались отмывание денег и платежи с использованием популярных среди русскоязычных киберпреступников систем. Дальнейший анализ показал, как хакеры вводят устройства в ботнет, как доставляется банковский троян на банковский счет жертвы.

«Мы получили действительно беспрецедентное представление о том, как работают подобные группировки, — говорит Анна Широкова, исследователь Avast. — Поскольку эта группа не смогла скрыть свои действия, у нас получилось увидеть не только образцы вредоносного ПО, но и понять, как хакеры работают с шпионскими программами более низкого уровня, которые подключают устройства к ботнету. В общей сложности уже было более восьмисот тысяч жертв. По предварительным данным, группа могла контролировать миллионы в валюте».

Ботнет и банкер Geost

Ботнет, который исследователи назвали Geost, представляет собой сложную инфраструктуру из зараженных Android-устройств. Злоумышленники берут за основу для малвари легитимные приложения из магазина Google Play, редактируют код, чтобы добавить вредоносные возможности к реальной функциональности приложения, а затем загружают приложения в сторонние магазины для Android. Такие подделки, например, имитируют игры, банковские приложения и приложения социальных сетей.

После установки такой такой малвари на телефон, он становится частью ботнета и может управляться удаленно. Как правило, злоумышленники могут получить доступ к SMS, к их отправке, к общению с банками и перенаправлению трафика телефона на разные сайты. Также хакеры получают доступ к огромному количеству личной информации о пользователе. Иногда операторы малвари также инициировали отображение фейковых всплывающих окон с просьбой предоставить учетные данные.

После заражения управляющий сервер сохраняет полный список SMS-сообщений жертв, начиная с момента заражения устройства. SMS-сообщения затем обрабатываются на командном сервере в автономном режиме для автоматического расчета баланса каждой жертвы. После обработки данных операторы малвари могут узнать, у кого из жертв самый большой баланс на счете.

Ботнет имеет сложную инфраструктуру, включающую как минимум 13 IP-адресов, более 140 доменов и более 150 файлов APK. Главными целями банковского трояна были пять банков, которые, в основном, расположены в России. Два из этих банков ведут деловые операции в Западной и Восточной Европе, один входит в состав холдинга с филиалами в 15 странах.

Так как в настоящее время Geost все еще активна, исследователи планируют и дальше использовать свои знания о группе, чтобы продолжать отслеживать ее деятельность. Ведь несмотря на слабую операционную безопасность злоумышленников, они по-прежнему имеют доступ к огромной сети зараженных устройств.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.