Китайские хакеры создали ботнет из 5 млн Android-устройств
Китайские киберпреступники используют вредоносное ПО RottenSys для создания ботнета, который уже насчитывает порядка 5 млн Android-устройств. В своей теперешней форме вредонос используется для отображения навязчивой рекламы на экране зараженных устройств. Тем не менее, исследователи из Check Point обнаружили свидетельства применения злоумышленниками нового модуля на языке Lua для объединения зараженных гаджетов в одну гигантскую ботсеть.
По словам исследователей, ботнет предоставит киберпреступникам гораздо больше возможностей, чем простое отображение рекламы. «У этого ботнета будут расширенные возможности, в том числе незаметная установка дополнительных приложений и автоматизация пользовательского интерфейса», - пишут исследователи.
По словам экспертов, RottenSys не всегда был таким опасным. Вредонос появился в сентябре 2016 года, и большую часть времени киберпреступники занимались его распространением с целью отображения рекламы. С течением времени число зараженных устройств медленно, но верно росло и к настоящему времени достигло порядка 4 964 460.
Компонент на Lua, позволяющий операторам ботнета получать контроль над зараженными устройствами, был добавлен в RottenSys только в прошлом месяце. Пока что вредонос активен только на китайском рынке и распространяется через китайские инфицированные приложения. Большую часть ботнета составляют устройства Huawei (свыше 1 млн), Xiaomi (почти 0,5 млн), OPPO, vivo, LeEco, Coolpad и GIONEE.
По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными».
Сначала с помощью Small вредонос создает виртуальные контейнеры для своих внутренних компонентов, позволяющие им запускаться параллельно в одно и то же время. Как правило, ОС Android не поддерживает такой функционал. Затем с помощью MarsDaemon вредонос поддерживает процессы активными. Даже когда пользователь завершает их, механизм внедрения рекламы все равно не отключается.