Бот-сеть на базе Android — миф
24-10-2011
Использование бот-сети на базе мобильных устройств платформы Android для рассылки спама – это нечто новое в индустрии, так как его полноценная реализация возможна лишь при выявлении и эксплуатации новых уязвимостей. Однако, возможны и другие сценарии, имитирующие вышеописанный вариант. Например, отправка спама со скомпрометированных ПК.
Среди возможных тем письма:
- • Wall Street SHOCK ahead!;
- • Leading Edge Market Analysis;
- • RE RE: Controlled Prescriptions;
- • Special Situation Report;
- • Fwd: Ground Breaking News Report.
В данном случае можно видеть два признака того, что письмо было отправлено взломанным почтовым клиентом Android: в техническом заголовке сообщения присутствует идентификатор «androidMobile», и в подпись сообщения включена строка «Sent from Yahoo! Mail on Android», которая используется по умолчанию при отправке писем через приложение Yahoo! Mail for Android.
Специалистам Symantec удалось выяснить, что в действительности подобные сообщения отправляются не вредоносной программой, установленной на мобильных устройствах Android. И для подобного утверждения есть серьезные основания.
Во-первых, без эксплуатации уязвимости мобильного устройства невозможно автоматически в фоновом режиме отправлять письма через основное почтовое приложение Android – у пользователя будет запрашиваться подтверждение отправки. Кроме того, исследованные сообщения позиционировали себя как отправленные не с почтового клиента, используемого в Android по умолчанию, а с «Yahoo! Mail for Android».
Во-вторых, учетные записи, которыми пользовались спамеры, не выглядят реальными адресами электронной почты. Скорее всего, они создаются специально для рассылки этого спама в строгом соответствии с заданным шаблоном: Имя, Фамилия, два символа в нижнем регистре и две цифры.
И, наконец, большая часть IP-адресов, с которых производятся рассылки, не принадлежит мобильным сетям. Некоторые из них уже были скомпрометированы рассылкой спама, но не имеют непосредственного отношения к мобильным устройствам. К сожалению, однозначно определить тип устройства по IP-адресу невозможно, так как они могут в разное время быть выделены разным устройствам, например беспроводной точкой доступа.
У специалистов Symantec есть несколько версий происхождения подобного спама:
1. Спамеры используют те же веб-сервисы, что и приложение «Yahoo! Mail for Android». В этом случае спам рассылается с компьютеров, принадлежащих злоумышленникам, но может распространяться и вредоносной программой на ОС Android. Эксперты Symantec подтверждают возможность отправки почты с ПК через веб-сервисы;
2. Вредоносная программа взломала приложение «Yahoo! Mail for Android», и почтовые сообщения создаются и отправляются автоматически в фоновом режиме без уведомления пользователя. Реализация такого сценария предполагает наличие серьёзной ошибки в архитектуре приложения. Специалисты продолжают его изучать, но на текущий момент ничего подобного не выявлено;
3. Спамеры просто подделывают технические заголовки рассылаемых писем. Первая версия представляется наиболее вероятной, однако, какая бы тактика не использовалась в реальности, злоумышленники преследуют очевидную цель – обойти спам-фильтры, пропускающие сообщения с мобильных платформ.
По материалам пресс-релиза.
