На прошлой неделе испанская полиция арестовала серверы Android-приложения Mobdro, предназначенного для стриминга пиратского видео, которым пользовались около 43 000 000 человек (более 100 000 000 загрузок). Издание TorrentFreak отмечает, что популярность Mobdro можно сравнить с Popcorn Time, Showbox и Terrarium TV, ведь благодаря прямой трансляция, спортивным каналам и другому контенту Mobdro было одним из фаворитов пользователей.
По информации Евроюста, расследование деятельности Mobdro началось еще в 2018 году, после жалоб со стороны Профессиональной футбольной лиги Испании (Ла Лига), Премьер-лиги и Alliance for Creativity and Entertainment. В итоге в прошлом месяце объединенные усилия Европола, Интерпола, Евроюста и властей Испании привели к операции против бывшего гражданина Испании, перебравшегося в Андорру, и трех работавших на него инженеров. Правоохранители предприняли следующие действия:
- 3 обыска домов (2 в Испании и 1 в Андорре);
- 3 ареста (3 в Испании и 1 в Андорре);
- получили 3 судебных постановления о блокировке доменов;
- заблокировали 20 доменов и серверов;
- заморозили банковские счета;
- отключили один сервер в Португалии, а еще один изучают в Чехии.
Так как Mobdro использовали для просмотра нелицензионного контента около 43 000 000 пользователей, правоохранители считают, что владельцы приложения заработали на нем более 5 000 000 евро.
Прибыль в основном приносили показы рекламы внутри приложения и продажа личных данных пользователей рекламодателям. Однако испанские власти заявляют, что «по мере продвижения расследования» полиция обнаружила еще один источник дохода: приложение регистрировало пользовательские устройств в сети другой компании. Власти Испании и Европол не раскрывают названия этой компании, но утверждают, что она использовала зараженные устройства в качестве прокси для тех, кому нужна анонимность, а также применяла их для организации DDoS-атак.
Нужно сказать, что для ИБ-экспертов вредоносная функциональность Mobdro не стала сюрпризом. Еще в 2019 году специалисты компании Digital Citizens писали в своем отчете, что приложение опасно и связано с ботнетом. Исследователи приводили следующие факты:
- после загрузки приложение передавало логин и пароль от сети Wi-Fi на сервер, который, похоже, находился в Индонезии;
- Mobdro исследовало сеть пользователя в поисках уязвимостей, которые позволили бы ему получить доступ к файлам и другим устройствам. В тесте Digital Citizens оно выгрузило более 1,5 Тб данных с устройства исследователя;
- Mobdro искало доступ к медиа-контенту и другим легитимным приложениям;
- преступники выдавали себя за известные стриминговые сайты, такие как Netflix, облегчая себе доступ к законной подписке реального пользователя.