Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении вредоносного мобильного приложения для устройств Android, которое использовалось для запуска DDoS-атаки. На этот раз целью киберпреступников стал официальный веб-сайт ESET — www.eset.com. Исследователи воспользовались возможностью проанализировать атаку и помочь пользователям избежать подобных атак в будущем.
«Вообще DDoS-атаки с мобильных устройств являются достаточно редким явлением. Как правило, они запускаются через персональные компьютеры или серверы. Однако сейчас мобильные устройства становятся все более мощными, а их возможности связи быстро растут. Поэтому вместе с увеличением их доли в общем Интернет-трафике они все чаще становятся целями киберпреступников для осуществления других видов атак», — комментирует Лукаш Стефанко, исследователь компании ESET.
Детали DDoS-атаки на сайт ESET
Эта атака произошла в январе 2020 года и проводилась с использованием более 4 000 уникальных IP-адресов. Они были определены как вредоносные и заблокированы на время атаки. Стоит отметить, что после идентификации приложения исследователи ESET сообщили о нем в компанию Google, которая быстро удалила вредоносную программу из магазина.
Updates for Android впервые был загружен в магазин Google Play 09 сентября 2019 года. В оригинальной версии программы отсутствовала функция загрузки JavaScript, которая использовалась для осуществления DDoS-атаки. Она была добавлена в большинство приложений как обновление за две недели до атаки. Программа была загружена более 50 000 раз, однако количество обновленных программ вредоносной версии неизвестна.
«Атака на инфраструктуру ESET является достаточно наглядным примером: киберпреступникам удалось достичь более пятидесяти тысяч инсталляций приложения. Однако ранее количество инсталляций мобильного рекламного ПО могло достигать и миллиона до момента обнаружения. Это показывает, что можно быстро построить мощный ботнет», — комментирует Лукаш Стефанко.
Для сбора такого большого количества пользователей злоумышленники использовали сайт i-Updater [.] Com, который позиционируется как «ежедневные обновления новостей». Стоит отметить, что сайт все еще работает, нет никаких оснований для его удаления, поскольку сам сайт не является вредоносным.
Функциональные возможности вредоносного приложения
Updates for Android приобрел такую популярность через функцию отображения ежедневных новостей для пользователя. Чтобы избежать подозрений, приложение действительно показывало некоторые новости, однако его основная функциональность заключалась в получении команд из заранее определенного сайта, который выполнял функции командного сервера (C&C). Вредоносное программное обеспечение проверяло связь с командным сервером каждые 150 минут и предоставляло ему идентификатор устройства, что позволяло контролировать каждое устройство индивидуально.
На основе команд, которые программа получает из командного сервера, она может отображать рекламу в браузере по умолчанию в системе пользователя (эта возможность распространяется за пределами приложения), маскировать присутствие программы от пользователя, скрывая ее иконку, а также выполнять удаленный JavaScript. Последняя функция была использована для осуществления DDoS-атаки на сайт ESET.
DDoS-атака начинается с зараженного устройства, который получает команду для загрузки скрипта злоумышленника с целевым доменом. После загрузки скрипта устройство начинает отправлять запросы на целевой домен, пока командный сервер не предоставит другой скрипт.
«Во время исследования DDoS-атаки мы стали свидетелями еще 6 скриптов, каждый из которых содержал разный домен для атакующих устройств. Это были известные новостные сервисы и сайты электронной коммерции, большинство из которых находится в Турции. С 02 февраля скрипт стал пустой, что означало прекращение деятельности злоумышленников», — комментируют исследователи компании.
Стоит отметить, что обнаружить такой вид вредоносного ПО достаточно непросто, поскольку та самая техника (конечно, без загрузки вредоносного JavaScript) используется десятками легитимных программ для Android. Это означает, что любое обычное выявление на основе такого кода приведет к множеству ложных срабатываний.
Компания ESET усовершенствовала свои механизмы выявления для защиты от DDoS-атак в соответствии с особенностями и поведением этого приложения. Некоторые из этих улучшений уже были внедрены в технологии, которые используются для защиты магазина Google Play в рамках программы App Defense Alliance. Другие реализуются на других уровнях безопасности в решениях для защиты рабочих станций, включая выявление на основе машинного обучения.