По свидетельству Lookout, ботнет на базе новой версии Android-троянца, нареченного экспертами NotCompatible, обладает повышенной жизнестойкостью, так как использует резервирование и шифрование C&C-коммуникаций.
Исследователи обнаружили NotCompatible 2,5 года назад и с тех пор исправно отслеживают его эволюцию. В то время мобильный зловред работал как простейший релей и использовался преимущественно для рассылки текстового спама или массовой скупки билетов на зрелищные мероприятия. Основными способами распространения данной вредоносной программы являются drive-by-загрузки с взломанных сайтов и email-спам; раздается она обычно под видом системного обновления или патча со сторонних, не Google сайтов.
Географический разброс и разнообразие таких источников навели исследователей на мысль, что операторы NotCompatible просто покупают готовые базы скомпрометированных ресурсов и почтовых аккаунтов.
Проведенный Lookout анализ третьей, новейшей версии NotCompatible показал, что обновленный троянец по-прежнему используется для рассылки спама и скупки билетов в онлайн-кассах, но также умеет взламывать WordPress-сайты подбором паролей (bruteforce) и выполнять разные действия на сервере, используя предварительно залитый веб-шелл c99. Способы распространения зловреда остались прежними, с упором на социальный инжиниринг; темпы экспансии новой версии пока невелики: по всей видимости, она проходит период обкатки.
После обновления командная инфраструктура и внутренние коммуникации NotCompatible в новой версии претерпели значительные изменения. Ботоводы ввели одноранговые отношения между зараженными устройствами, разделили их по географическому признаку и добавили второй уровень в систему управления, ограничив доступ к контроллерам с помощью шлюза. Кстати, региональное сегментирование ботнета, по мнению исследователей, очень удобно для сдачи его в аренду.
В новой иерархии NotCompatible сервер-шлюз регулирует нагрузку по входящему клиентскому трафику, распределяя ее по серверам, контролирующим обмен между пирами. Он фильтрует запросы от зараженных устройств, обслуживая лишь авторизованных клиентов, и отдает конфигурационные файлы с адресами ближайших активных C&C (как в CDN-сети). Исследователи насчитали более 10 операционных контроллеров NotCompatible.C, размещенных на территории Швеции, Польши, Голландии, Великобритании и США.
Получив адреса «полевых командиров», уполномоченный представитель региона вновь проходит процедуру аутентификации и запрашивает у них обновление списка пиров. Этот список клиент раздает своим собратьям путем сравнения конфигурационных файлов.
Примечательно, что все коммуникации между клиентами и C&C шифруются, чего не наблюдалось ранее, и итоговый трафик, по свидетельству Lookout, практически неотличим от легитимного SSL, SSH или VPN. Для взаимной аутентификации клиентов и серверов NotCompatible.C использует криптосистему с открытым ключом.
На настоящий момент обновленный Android-зловред используется преимущественно для рассылки спама и обхода антифрод-механизмов на сервисах электронной коммерции, так как многочисленные мошеннические транзакции, распределенные по широкой бот-сети, вполне могут быть приняты за легальный трафик. Тем не менее эксперты склонны видеть в NotCompatible потенциальную угрозу корпоративной безопасности: использование этого троянца позволяет его операторам проникнуть в любую сеть при подключении к ней зараженного устройства, в том числе в корпоративную Wi-Fi или VPN. При этом прокси-функциональность зловреда обеспечивает тот бэкдор, через который можно совершать разные действия в целевой сети: искать уязвимые хосты, эксплуатировать уязвимости, воровать информацию.
Исследователи обнаружили NotCompatible 2,5 года назад и с тех пор исправно отслеживают его эволюцию. В то время мобильный зловред работал как простейший релей и использовался преимущественно для рассылки текстового спама или массовой скупки билетов на зрелищные мероприятия. Основными способами распространения данной вредоносной программы являются drive-by-загрузки с взломанных сайтов и email-спам; раздается она обычно под видом системного обновления или патча со сторонних, не Google сайтов.
Географический разброс и разнообразие таких источников навели исследователей на мысль, что операторы NotCompatible просто покупают готовые базы скомпрометированных ресурсов и почтовых аккаунтов.
Проведенный Lookout анализ третьей, новейшей версии NotCompatible показал, что обновленный троянец по-прежнему используется для рассылки спама и скупки билетов в онлайн-кассах, но также умеет взламывать WordPress-сайты подбором паролей (bruteforce) и выполнять разные действия на сервере, используя предварительно залитый веб-шелл c99. Способы распространения зловреда остались прежними, с упором на социальный инжиниринг; темпы экспансии новой версии пока невелики: по всей видимости, она проходит период обкатки.
После обновления командная инфраструктура и внутренние коммуникации NotCompatible в новой версии претерпели значительные изменения. Ботоводы ввели одноранговые отношения между зараженными устройствами, разделили их по географическому признаку и добавили второй уровень в систему управления, ограничив доступ к контроллерам с помощью шлюза. Кстати, региональное сегментирование ботнета, по мнению исследователей, очень удобно для сдачи его в аренду.
В новой иерархии NotCompatible сервер-шлюз регулирует нагрузку по входящему клиентскому трафику, распределяя ее по серверам, контролирующим обмен между пирами. Он фильтрует запросы от зараженных устройств, обслуживая лишь авторизованных клиентов, и отдает конфигурационные файлы с адресами ближайших активных C&C (как в CDN-сети). Исследователи насчитали более 10 операционных контроллеров NotCompatible.C, размещенных на территории Швеции, Польши, Голландии, Великобритании и США.
Получив адреса «полевых командиров», уполномоченный представитель региона вновь проходит процедуру аутентификации и запрашивает у них обновление списка пиров. Этот список клиент раздает своим собратьям путем сравнения конфигурационных файлов.
Примечательно, что все коммуникации между клиентами и C&C шифруются, чего не наблюдалось ранее, и итоговый трафик, по свидетельству Lookout, практически неотличим от легитимного SSL, SSH или VPN. Для взаимной аутентификации клиентов и серверов NotCompatible.C использует криптосистему с открытым ключом.
На настоящий момент обновленный Android-зловред используется преимущественно для рассылки спама и обхода антифрод-механизмов на сервисах электронной коммерции, так как многочисленные мошеннические транзакции, распределенные по широкой бот-сети, вполне могут быть приняты за легальный трафик. Тем не менее эксперты склонны видеть в NotCompatible потенциальную угрозу корпоративной безопасности: использование этого троянца позволяет его операторам проникнуть в любую сеть при подключении к ней зараженного устройства, в том числе в корпоративную Wi-Fi или VPN. При этом прокси-функциональность зловреда обеспечивает тот бэкдор, через который можно совершать разные действия в целевой сети: искать уязвимые хосты, эксплуатировать уязвимости, воровать информацию.