HWSW

SMS-eket lopott az androidos botnet hálózat

Kiterjedt androidos botnet hálózatra bukkantak a FireEye szakértői. A MisoSMS nevű malware a felhasználók SMS üzeneteire vadászik, azokat pedig kínai és koreai email címekre továbbítja. A biztonsági cég már megtette az első lépéseket a kártevő megfékezésére, és a hatóságokkal együttműködve lekapcsolták a támadók email fiókjait.

Újabb adattolvaj mobil-botnet ütötte fel a fejét, amely elsősorban az Android platformot veszi célba. A MisoSMS nevű rosszindulatú szoftver a személyes SMS üzeneteket gyűjti össze, és továbbítja a támadóknak. A fenyegetést a FireEye biztonsági cég kutatói azonosították, a MisoSMS szerintük egyike az eddig felfedezett legkiterjedtebb fejlett mobil botneteknek, és eddig több mint 60 nagyszabású adatgyűjtő akció során használták.

A szakértők információi szerint a támadók a elsősorban Koreából és Kínából fértek hozzá az ellopott üzenetekhez. A FireEye jelentése alapján [1] a MisoSMS egy Google Vx nevű rosszindulatú alkalmazás telepítésével kerül fel az androidos telefonokra, amelyeken adminisztrációs célokra szolgáló appnak álcázza magát. A Google Vx képes észrevétlenül települni a készülékekre, majd a személyes üzeneteket megszerezve azokat egy webmailre továbbítja. Az ilyen módon megkaparintott levelezésből aztán a támadók olyan értékes információkat nyerhetnek ki, mint az adott felhasználó SMS-ben kapott belépőkódjai, azonosítói vagy fizetési adatai, amelyekkel visszaélve komoly kárt okozhatnak az áldozatoknak.

xA kutatók eddig 64 mobil-botnet vonalat fedeztek fel a MisoSMS malware-családon belül, amelyekhez több mint 450 egyedi rosszindulatú webmail fiók társul. A szoftver ráadásul szokatlan módon tulajdonítja el a felhasználók SMS-eit. A hasonló malware-ek többnyire a támadók irányítása alatt álló telefonszámokra továbbítják az üzeneteket, vagy TCP kapcsolaton kerül egy CnC szerverre küldik azokat. A Google Vx ezzel ellentétben a lopott SMS-eket SMTP kapcsolat segítségével továbbítja megadott email címekre.

A botnetek olyan rosszindulatú programok, amelyek számos eszközre települve online kapcsolatban állnak egymással, és közösen hajtanak végre feladatokat, így a hálózatot uraló támadó annak minden készülékét irányíthatja. A FireEye szerint a MisoSMS Koreában jelenleg is aktív, és rendkívül elterjedt, ám az ország és Kína hatóságai már megtették az első lépéseket felszámolására és minden a támadókkal összefüggésbe hozható email fiókot lekapcsoltak. A fertőzött készülékek pontos számát, és hogy a fenyegetés a nyugatabbra fekvő területekre is eljutott-e egyelőre nem tudni.

A cikkben hivatkozott linkek:
[1] http://www.fireeye.com/blog/technical/botnet-activities-research/2013/12/misosms.html
A cikk adatai:
//www.hwsw.hu/hirek/51492/android-botnet-misosms-korea-fireeye-malware.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2013. december 18. 12:55
Rovat: vállalati it