Analitycy firmy Doctor Web wykryli największy w historii botnet (grupę komputerów zainfekowanych złośliwym oprogramowaniem), składający się z urządzeń z systemem Android. Jak do tej pory ponad 200 tysięcy smartfonów, w tym należących do polskich użytkowników, zostało zainfekowanych wirusami z rodziny Android.SmsSend i włączonych do sieci kontrolowanej przez cyberprzestępców. Wstępne oceny sugerują, że szkody wyrządzone przez malware jako rezultat tego incydentu mogą wynieść setki tysięcy dolarów.

Do zainfekowania urządzeń w celu włączenia ich do botnetu cyberprzestępcy użyli kilku złośliwych programów: wykrytego ostatnio Android.SmsSend.754.origin, Android.SmsSend.412 (znanego w Doctor Web od marca 2013 i rozpowszechniającego się jako przeglądarka mobilna), Android.SmsSend.468.origin (znanego od kwietnia 2013) i Android.SmsSend.585.origin, (rozpoznanego w czerwcu 2013). Najwcześniejsza wersja Trojana powiązana ze śledztwem dotyczącym tego incydentu to Android.SmsSend.233.origin, dodany do baz Dr.Web w listopadzie 2012. W przeważającej części przypadków, źródłem infekcji okazały się strony będące własnością przestępców oraz witryny zaatakowane i kontrolowane przez nich w celu dalszej propagacji wirusów.

Trojan Android.SmsSend.754.origin ukrywa się pod aplikacją o nazwie Flow_Player.apk. Podczas instalacji, wyświetla ona monit o konieczności uruchomienia jej z uprawnieniami administratora – dzięki temu złośliwa aplikacja zyskuje uprawnienia do blokowania i odblokowywania ekranu. Dodatkowo Android.SmsSend.754.origin zyskuje możliwość późniejszego usunięcia swojej ikony z ekranu "home" systemu Android. Po zakończeniu instalacji, Trojan wysyła atakującym wiadomość na temat zainfekowanego urządzenia, która może zawierać takie dane jak IMEI, ilość środków na koncie karty pre-paid, kod kraju czy kod operatora – wystawcy karty SIM, numer i model telefonu komórkowego oraz wersję systemu operacyjnego. Następnie Android.SmsSend.754.origin oczekuje na komendy od intruzów, w odpowiedzi na które potrafi na przykład wysłać zdefiniowaną wiadomość SMS na konkretny numer lub zbiorczą wiadomość SMS na numery z książki adresowej telefonu, otworzyć określony adres URL w przeglądarce lub wyświetlić wiadomość o konkretnym tytule i treści na ekranie urządzenia.

Według informacji zebranych przez analityków Doctor Web, botnet zawiera ponad 200 tysięcy urządzeń mobilnych opartych na systemie Android. Większość z nich (124,458) zlokalizowano w Rosji, na drugim miejscu jest Ukraina (39,020 infekcji), na trzecim zaś Kazachstan (21,555). Polscy użytkownicy, mimo że z niższym wynikiem (192 zainfekowane urządzenia), również znaleźli się w obszarze działanie tego botnetu.

Największy botnet w historii atakujący system Android
Powyższy diagram przedstawia geograficzny rozkład infekcji, źródło Doctor Web

Wykryty incydent jest jednym z największych ataków na urządzenia z systemem Android, jakie zostały odnotowane w ciągu ostatnich sześciu miesięcy. Wstępne oceny pozwalają przypuszczać, że rezultatem działania tego botnetu mogą być dotkliwe szkody wyrządzone użytkownikom przez wspomniane rodzaje malware.

Wszystkie wymienione wyżej złośliwe programy są wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web, jednak aby uniknąć infekcji specjaliści Doctor Web rekomendują zaniechanie pobierania i instalowania programów pochodzących z podejrzanych, nieautoryzowanych źródeł. Analitycy Doctor Web nadal wnikliwie monitorują zaistniałą sytuację.

Źródło: Doctor Web