Разкрива се масовата андроид злонамерена индустрия в Android

Мобилната охранителна компания Lookout пусна днес доклад в DefCon, който разкрива невероятните размери, обхват и сложност на операциите със зловреден софтуер Android в Русия. В доклада се установява, че по-голямата част от този руски злонамерен софтуер не идва от самотни хора в мазета, а с добре смазани машини за производство на зловреден софтуер.

Говорейки пред SecurityWatch, старши изследовател и инженер за реакции Райън Смит обясни, че интересът на Lookout е бил засилен, когато забелязали, че злонамерен софтуер с измами от Русия съставлява цели 30 процента от всички зловредни програми, които компанията открива. В продължение на шест месеца компанията разкри вилна индустрия, която се разрасна около производството и разпространението на зловреден софтуер за Android.

Измамата

Lookout откри, че 10 организации са отговорни за около 60 процента от руския SMS зловреден софтуер там. Те бяха съсредоточени около „Malware HQs“, който всъщност създава злонамерените приложения. След като бъдат изтеглени, тези приложения използват SMS къси кодове, които фактурират жертви чрез безжичния си оператор. В САЩ често виждаме такива, свързани с благотворителни организации като Червения кръст.

Ето как работи измамата: Malware HQ създава злонамерени приложения, които могат да бъдат конфигурирани да изглеждат почти на всичко. Те също така регистрират и поддържат шорткодовете с безжични оператори. Съдружници или хора, работещи от името на Malware HQ, персонализирайте злонамерения софтуер и го пускайте на пазара чрез своите уебсайтове и социални медии.

Жертвите намират партньорския уебсайт или социалната медия спам и изтеглят злонамерените приложения. Веднъж на Android устройството на жертвата, зловредният софтуер изпраща едно или повече първокласни SMS съобщения - обикновено струва на жертвата между $ 3 и 20 USD.

Тъй като Malware HQ притежава шорт-кодовете, те получават парите от превозвача на жертвата. Те правят намаление и дават останалото на филиалите, които очевидно са платени като нормални служители въз основа на работата си. Смит казва, че Lookout наблюдавал някои филиали, които правят $ 12 000 USD месечно в продължение на повече от пет месеца, предполагайки, че това е доходоносен и стабилен "бизнес".

Огромен в мащаб и сложност

Това е доста проста измама и вероятно най-прекият начин да печелите пари с Android зловреден софтуер. Това, което прави откритието на Lookout забележимо, е размерът и странният корпоративен характер на операциите.

Например, Malware HQ направи удивително лесно за филиалите персонализирането на зловредния софтуер. Смит каза, че Malware HQ създаде няколко теми, за да улесни филиалите да персонализират зловредния софтуер. „Те могат да направят това да изглежда като Skype, Google Play, всичко, което да накара потребителя да го изтегли и да повярва, че е истинско“, каза Смит.

Смит каза, че HQ организациите за злонамерен софтуер също изтласкват актуализации и нов код на всеки една до две седмици, "като всеки друг пъргав старт". Много от тези актуализации са създадени специално за избягване на компаниите за сигурност, дори стигайки дотам, че „криптират части от програмата, които са дешифрирани преди да бъдат използвани“.

От другата страна на операцията, филиалите са силно ангажирани с работата си, но и нестабилни. Има, каза Смит, форуми и уебсайтове, където филиалите сравняват работата на различни щабове на зловреден софтуер. Въпреки че редовността на плащанията е била основна грижа, обслужването на клиентите - в основата на партньорската техническа поддръжка - беше от решаващо значение. Ако филиалите са недоволни от конкретен щаб за злонамерен софтуер, те ще мигрират към друг.

Шеловете на зловредния софтуер излизат от пътя си, за да направят и своите партньори успешни. Смит казва, че лидерите на ринга биха мотивирали филиалите с парични награди за високо представяне - някои от тях са около 300 000 долара. Те дори създадоха рекламни платформи за филиали, за да предоставят по-добра информация кои измами се представят по-добре в кои региони.

Сребърната подплата

Въпреки че е ужасяващо да видим престъпление, извършено в такъв мащаб и с всички пристрастия за нормалност, тук има някои добри новини. Читателите в САЩ могат да си починат лесно, тъй като повечето от тези измами използват специфични кратки кодове, които няма да работят извън Русия и околните страни.

По-важното е, че Смит обясни, че разгадавайки пълната степен на тази измама, те могат да осигурят по-добра защита. "Вече сме в състояние да се върнем към тяхното разпространение", каза Смит. Сега компанията очевидно може да блокира повече от кода, който често се променя, но също така да скринира сървърите, IP адресите и други маркери.

Това няма да спре измамниците направо. В крайна сметка, ако са достатъчно интелигентни, за да променят кода си, те са достатъчно умни, за да знаят, че охранителните компании са на тях. И все пак Смит казва, че това може да бъде победа в дългосрочен план: "За да направят промените, които трябва да направят, това ще им струва скъпо."

И знаем, че преминаването след портфейла е чудесен начин за борба със злонамерен софтуер.

Кликнете, за да видите цялото изображение