Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення шкідливого мобільного додатку для пристроїв Android, який використовувався для запуску DDoS-атаки. Цього разу ціллю кіберзлочинців став офіційний веб-сайт ESET — www.eset.com. Дослідники скористалися можливістю проаналізувати атаку та допомогти користувачам уникнути подібних атак у майбутньому.
«Взагалі DDoS-атаки з мобільних пристроїв є досить рідкісним явищем. Як правило, вони запускаються через персональні комп’ютери або сервери. Однак зараз мобільні пристрої стають все більш потужними, а їх можливості зв’язку швидко зростають. Тому разом зі збільшенням їх частки в загальному Інтернет-трафіку вони все частіше ставатимуть цілями кіберзлочинців з метою здійснення інших видів атак», — коментує Лукаш Стефанко, дослідник компанії ESET.
Деталі DDoS-атаки на сайт ESET
Ця атака сталася в січні 2020 року та проводилася з використанням більше 4 000 унікальних IP-адрес. Вони були визначені як шкідливі і заблоковані на час атаки. Варто зазначити, що після ідентифікації додатку дослідники ESET повідомили про нього в компанію Google, яка швидко видалила шкідливу програму з магазину.
Updates for Android було вперше завантажено в магазин Google Play 09 вересня 2019 року. В оригінальній версії програми була відсутня функція завантаження JavaScript, яка використовувалася для здійснення DDoS-атаки. Вона була додана в більшість додатків як оновлення за два тижні до атаки. Програму було завантажено понад 50 000 разів, однак кількість оновлених програм до шкідливої версії невідома.
«Атака на інфраструктуру ESET є досить показовим прикладом: кіберзлочинцям вдалося досягти понад п’ятдесяти тисяч інсталяцій додатку. Однак раніше кількість інсталяцій мобільного рекламного ПЗ могла досягати й мільйону до моменту виявлення. Це показує, що можна швидко побудувати потужний ботнет», — коментує Лукаш Стефанко.
Для збору такої великої кількості користувачів зловмисники використовували веб-сайт i-Updater [.] Com, який позиціонується як «щоденні оновлення новин». Варто зазначити, що сайт все ще працює, нема ніяких підстав для його видалення, оскільки сам сайт не є шкідливим.
Функціональні можливості шкідливого додатку
Updates for Android набув такої популярності через функцію відображення щоденних новин для користувача. Щоб уникнути підозр, додаток дійсно показував деякі новини, проте його основна функціональність полягала в отриманні команд із заздалегідь визначеного веб-сайту, який виконував функції командного сервера (C&C). Шкідливе програмне забезпечення перевіряло зв’язок з командним сервером кожні 150 хвилин і надавало йому ідентифікатор пристрою, що дозволяло контролювати кожен пристрій індивідуально.
На основі команд, які програма отримує з командного сервера, вона може відображати рекламу у браузері за замовчуванням у системі користувача (ця можливість поширюється за межами додатка), маскувати присутніть програми від користувача, приховуючи її іконку, а також виконувати віддалений JavaScript. Остання функція була використана для здійснення DDoS-атаки на веб-сайт ESET.
DDoS-атака починається з інфікованого пристрою, який отримує команду для завантаження скрипта зловмисника з цільовим доменом. Після завантаження скрипта пристрій починає відправляти запити на цільовий домен, поки командний сервер не надасть інший скрипт.
«Під час дослідження DDoS-атаки ми стали свідками ще 6 скриптів, кожен з яких містив різний домен для атакуючих пристроїв. Це були відомі новинні сервіси та сайти електронної комерції, більшість з яких знаходиться в Туреччині. З 02 лютого скрипт став пустим, що означало припинення діяльності зловмисників», — коментують дослідники компанії.
Варто зазначити, що виявити такий вид шкідливого ПЗ досить непросто, оскільки та сама техніка (звичайно, без завантаження зловмисного JavaScript) використовується десятками легітимних програм для Android. Це означає, що будь-яке звичайне виявлення на основі такого коду призведе до безлічі помилкових спрацювань.
Компанія ESET вдосконалила свої механізми виявлення для захисту від DDoS-атак відповідно до особливостей та поведінки цього додатку. Деякі з цих покращень уже були впроваджені в технології, які використовуються для захисту магазину Google Play в рамках програми App Defense Alliance. Інші реалізовуються на інших рівнях безпеки в рішеннях для захисту робочих станцій, включаючи виявлення на основі машинного навчання.