Банковский ботнет Geost инфицировал как минимум 800 тыс. Android-устройств в РФ

[Artifact]

Ботнет удалось обнаружить из-за ошибок в операционной безопасности киберпреступников.
Исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast https://www.virusbulletin.com/confer...an-opsec-errorодин из крупнейших банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс. владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро.
По словам исследователей, ботнет мог остаться незамеченным, если бы не ошибки в операционной безопасности (OpSec) киберпреступников, включая использование незашифрованных журналов чата, обнаруженных в ходе расследования, и незащищенной прокси-сети, которая не смогла обеспечить анонимность.
«Редкая цепь ошибок в OpSec привела к обнаружению нового банковского Android-ботнета. Необычное открытие было сделано, когда преступники решили довериться прокси-сети, созданной вредоносным ПО HtBot. HtBot предлагает в аренду прокси-сервис, предоставляющий пользователям псевдоанонимное общение в Интернете. Анализ сетевого взаимодействия HtBot привел к обнаружению и раскрытию крупной вредоносной операции», — пояснили исследователи.
HtBot работает, превращая жертв в частные незаконные интернет-прокси. Зараженные жертвы передают сообщения от пользователей HtBot в Интернет. Трафик постоянно перенаправляется новым жертвам, что затрудняет отслеживание.
Киберпреступники также не смогли зашифровать свои сообщения, позволив исследователям наблюдать за их действиями. Информация включала технические подробности обращения к серверам, ввод новых устройств в ботнет, методы уклонения от антивирусных решений и подробности об отношениях между злоумышленниками. Специалисты выяснили, что операторы более низкого ранга отвечают за ввод устройств в ботнет, а высокого — определяют, сколько денег находится под их контролем.
Ботнет Geost состоит Android-устройств, инфицированных через вредоносные и фальшивые программы, включая поддельные банковские приложения и социальные сети. После заражения телефоны подключаются к ботнету и управляются удаленно. Как пояснили исследователи, злоумышленники могут получать доступ и отправлять SMS-сообщения, осуществлять общение с банками и перенаправлять трафик телефона на разные сайты. Ботнет мог напрямую подключаться к пяти крупнейшим банкам России для работы и разворачивать более 200 Android APK для фальсификации десятков приложений.
Команда исследователей связалась с затронутыми российскими банками и вместе с ними принимает меры по обезвреживанию вредоносной кампании.