Một botnet Android mạnh mẽ có tên Geost đã được phát hiện nhắm mục tiêu vào các công dân Nga, với mục tiêu cuối cùng là phân phối banking trojan cho các nạn nhân.
Các nhà nghiên cứu từ Đại học Kỹ thuật Séc, Đại học UNCUYO và Avast đã phát hiện ra mạng botnet này đã lây nhiễm hơn 800.000 thiết bị Android, gây thiệt hại vài triệu Euro.
Các nhà nghiên cứu lưu ý rằng botnet có thể vẫn chưa được khám phá nếu không có một loạt các lỗ hổng trong bảo mật hoạt động của tội phạm mạng (OpSec) – bao gồm sử dụng nhật ký trò chuyện không được mã hóa được tìm thấy trong cuộc điều tra và sử dụng mạng proxy bị rò rỉ để ẩn danh.
Theo một nghiên cứu, được trình bày tại Virus Bulletin 2019 ở London vào thứ Tư. Phát hiện bất thường được thực hiện khi các nhà quản trị thực vật quyết định tin tưởng một mạng proxy độc hại được xây dựng bởi một phần mềm độc hại có tên là HtBot. Phần mềm độc hại HtBot cung cấp một dịch vụ proxy có thể được thuê để cung cấp cho người dùng một giao tiếp giả mạo với internet. Việc phân tích truyền thông mạng HtBot đã dẫn đến việc phát hiện và tiết lộ một hoạt động độc hại lớn.
HtBot hoạt động bằng cách biến nạn nhân thành các proxy internet tư nhân bất hợp pháp bất đắc dĩ. Các nạn nhân bị nhiễm chuyển tiếp thông tin liên lạc từ người dùng HtBot lên internet; và, lưu lượng liên tục được chuyển hướng đến các nạn nhân mới, khiến việc theo dõi trở nên khó khăn.
Tuy nhiên, vì các bot này cung cấp các kết nối proxy bất hợp pháp nên có thể nắm bắt tất cả lưu lượng truy cập đến từ người dùng bất hợp pháp vào internet, theo nghiên cứu. Trong khi phân tích lưu lượng mạng của người dùng bất hợp pháp, một mẫu đã được phát hiện; điều này hóa ra là nội dung của kênh liên lạc chỉ huy và kiểm soát (C2) của mạng botnet Geost mới.
Bên cạnh đó Geost cũng không thể mã hóa thông tin liên lạc của họ, khiến các nhà nghiên cứu có cái nhìn trực tiếp vào hoạt động nội bộ của đối thủ. Điều này bao gồm các chi tiết kỹ thuật như cách họ truy cập máy chủ, đưa các thiết bị mới vào botnet và cách họ trốn tránh phần mềm chống vi-rút; cũng như manh mối về cách các thành viên của nhóm tương tác với nhau.
Các cuộc trò chuyện khác xoay quanh hoạt động rửa tiền và xâm nhập vào tài khoản ngân hàng của nạn nhân; nó chỉ ra rằng các nhà điều hành cấp thấp hơn chịu trách nhiệm đưa các thiết bị vào mạng botnet, trong khi các nhà điều hành cấp cao hơn xác định số tiền nằm dưới sự kiểm soát của họ.
Tuyên truyền và tiếp cận
Botnet Geost bao gồm các điện thoại Android bị nhiễm, là nạn nhân của botnet thông qua các ứng dụng giả mạo, độc hại. Chúng bao gồm các ứng dụng ngân hàng giả và mạng xã hội giả mạo. Sau khi bị nhiễm, điện thoại kết nối với botnet và được điều khiển từ xa.
Các hành động thông thường của những kẻ tấn công dường như là truy cập SMS, gửi SMS, liên lạc với các ngân hàng và chuyển hướng lưu lượng của điện thoại đến các trang web khác nhau, nhóm giải thích. Các nhà quản trị thực vật cũng truy cập rất nhiều thông tin cá nhân từ người dùng.
Sau khi bị lây nhiễm, C2 lưu trữ danh sách đầy đủ các tin nhắn SMS của tất cả các nạn nhân bắt đầu từ thời điểm thiết bị bị nhiễm bệnh.
Về cơ sở hạ tầng, Geost khá phức tạp. Mạng botnet Geost đã chứng minh có hàng trăm tên miền độc hại được tạo bởi thuật toán DGA, ít nhất 13 địa chỉ IP C2 ở sáu quốc gia, ít nhất 800.000 nạn nhân ở Nga và truy cập vào hàng triệu Euro trong tài khoản ngân hàng của các nạn nhân, nhóm ghi chú trong bài báo của mình. Chúng tôi có thể thấy màn hình của các máy chủ C2, danh sách nạn nhân và tin nhắn SMS của nạn nhân. Mạng botnet có thể kết nối trực tiếp với năm ngân hàng hàng đầu ở Nga để vận hành và triển khai hơn 200 APK Android để giả mạo hàng tá ứng dụng.
Nhóm nghiên cứu đã liên hệ với năm ngân hàng Nga bị ảnh hưởng và đang hợp tác với họ để đóng cửa chiến dịch.
One là một trong năm nhà cung cấp thẻ tín dụng hàng đầu ở Nga. Ngân hàng thứ hai là một trong những ngân hàng thương mại tư nhân lớn nhất tại quốc gia đó. Thứ ba là một trong ba ngân hàng lớn nhất ở Nga và Đông Âu và ngân hàng thứ tư là một trong 500 tổ chức lớn nhất ở châu Âu. Thứ năm là một phần của một nhóm lớn các hợp tác xã với các công ty con tại hơn 15 quốc gia.
Theo nghiên cứu, chỉ có năm ngân hàng được liệt kê cho thấy có một loại hành động đặc biệt chỉ có thể xảy ra với những ngân hàng đó, theo nghiên cứu. Có vẻ như các APK phần mềm độc hại hoặc mã C & C có thể truy cập và thực hiện chuyển khoản trong tài khoản của các ngân hàng đó, nhưng giả thuyết này chưa được chứng minh.