La botnet de banca de Android apunta a miles de personas

Investigadores de la Universidad Técnica Checa, la Universidad UNCUYO y Avast han descubierto una nueva botnet de banca Android, dirigida a ciudadanos rusos, operativa desde al menos 2016.

Según las estimaciones de los investigadores, la botnet Geost ha infectado más de 800,000 dispositivos Android, y los piratas informáticos podrían controlar varios millones de euros.

El descubrimiento inusual de la botnet se realizó cuando los piratas informáticos decidieron confiar en una red proxy maliciosa construida utilizando un malware llamado HtBot. El malware HtBot proporciona un servicio proxy que se puede alquilar para proporcionar a los usuarios una conexión a Internet pseudoanónima. Al analizar la comunicación de red HtBot, los investigadores descubrieron la gran operación maliciosa.

Los piratas informáticos detrás de la red de bots también no pudieron encriptar sus comunicaciones, dando a los investigadores una visión sin precedentes de sus empleados internos. Sus registros de discusión revelaron cómo accedieron a los servidores, trajeron nuevos dispositivos a la botnet y evitaron el software antivirus.

Geost botnet y troyano bancario

Anna Shirakova, investigadora de Avast, explica cómo las malas elecciones del grupo han permitido a los investigadores comprender mejor sus operaciones, afirmando:

"Realmente tenemos una visión sin precedentes de cómo funciona tal operación". Debido a que este grupo tomó muy malas decisiones sobre cómo trataron de ocultar sus acciones, pudimos ver no solo ejemplos de programas maliciosos, sino también analizar en profundidad cómo funciona el grupo con los operadores de red. nivel inferior que introduce dispositivos en la botnet y en un nivel superior. agentes determinando cuánto dinero estaba bajo su control. En total, hubo más de 800,000 víctimas y el grupo potencialmente controlaba millones de dólares.

La botnet Geost parece ser una infraestructura compleja de teléfonos inteligentes Android infectados. Los teléfonos están inicialmente infectados con APK de Android que se ven como diferentes aplicaciones falsas, incluidas aplicaciones bancarias falsas y redes sociales falsas. Una vez que un teléfono infectado se conecta a la botnet, se controla de forma remota y los atacantes pueden acceder a los SMS y enviarlos, enviar SMS, comunicarse con los bancos y redirigir el tráfico del dispositivo a diferentes sitios. Los hackers también pueden acceder a mucha información personal de los usuarios de estos dispositivos infectados.

Después de la infección, los servidores de comando y control almacenan una lista completa de mensajes SMS para todas las víctimas desde el momento en que el dispositivo fue infectado. Estos mensajes se procesan sin conexión en el servidor de C&C para calcular automáticamente el saldo bancario de cada víctima.

La botnet Geost tiene una infraestructura compleja que consta de al menos 13 direcciones IP C y C, más de 140 dominios y más de 140 archivos APK. El caballo de Troya bancario estaba dirigido principalmente por cinco bancos, aunque la mayoría de ellos eran rusos.