Symantec: бот-сеть на базе Android — миф

Корпорация Symantec сообщила о возможных вариантах фальсификации бот-сети, якобы функционирующей на базе мобильных устройств платформы Android. Согласно недавним сообщениям, сеть рассылает спам, рекламирующий акции, финансовые услуги и фармацевтическую продукцию.

Использование бот-сети на базе мобильных устройств платформы Android для рассылки спама — это нечто новое в индустрии, так как полноценная реализация данной схемы возможна лишь при выявлении и эксплуатации новых уязвимостей. Однако, возможны и другие сценарии, имитирующие вышеописанный вариант, считают в Symantec. Например, отправка спама со скомпрометированных ПК.

Как отметили в компании, в данном случае можно видеть два признака того, что письмо было отправлено взломанным почтовым клиентом Android: в техническом заголовке сообщения присутствует идентификатор "androidMobile", а в подпись сообщения включена строка "Sent from Yahoo! Mail on Android", которая используется по умолчанию при отправке писем через приложение Yahoo! Mail for Android.

Однако специалистам Symantec удалось выяснить, что в действительности подобные сообщения отправляются не вредоносной программой, установленной на мобильных устройствах Android. Во-первых, без эксплуатации уязвимости мобильного устройства невозможно автоматически в фоновом режиме отправлять письма через основное почтовое приложение Android — у пользователя будет запрашиваться подтверждение отправки. Кроме того, исследованные сообщения позиционировали себя как отправленные не с почтового клиента, используемого в Android по умолчанию, а с “Yahoo! Mail for Android”.

Во-вторых, учетные записи, которыми пользовались спамеры, не выглядят реальными адресами электронной почты. Скорее всего, они создаются специально для рассылки этого спама в строгом соответствии с заданным шаблоном: имя, фамилия, два символа в нижнем регистре и две цифры, например: Corina Ullman [CorinaUllmande03@yahoo.com]; Dionne Wellner [DionneWellnerur36@yahoo.com]; Celeste Syrus [CelesteSyrusjf71@yahoo.com]; Kristin Jamison [KristinJamisondc53@yahoo.com]; Pearl Runge [PearlRungene76@yahoo.com].

И, наконец, большая часть IP-адресов, с которых производятся рассылки, не принадлежит мобильным сетям, утверждают в Symantec. Некоторые из них уже были скомпрометированы рассылкой спама, но не имеют непосредственного отношения к мобильным устройствам. К сожалению, однозначно определить тип устройства по IP-адресу невозможно, так как они могут в разное время быть выделены разным устройствам, например беспроводной точкой доступа.

У специалистов Symantec есть несколько версий происхождения подобного спама. Первая версия — спамеры используют те же веб-сервисы, что и приложение “Yahoo! Mail for Android”. В этом случае спам рассылается с компьютеров, принадлежащих злоумышленникам, но может распространяться и вредоносной программой на ОС Android. Эксперты Symantec подтверждают возможность отправки почты с ПК через веб-сервисы.

Вторая версия — вредоносная программа взломала приложение “Yahoo! Mail for Android”, и почтовые сообщения создаются и отправляются автоматически в фоновом режиме без уведомления пользователя. Реализация такого сценария предполагает наличие серьёзной ошибки в архитектуре приложения. Специалисты продолжают его изучать, но на текущий момент ничего подобного не выявлено.

Третья версия — спамеры просто подделывают технические заголовки рассылаемых писем.

По мнению специалистов Symantec, первая версия представляется наиболее вероятной. Однако какая бы тактика не использовалась в реальности, злоумышленники преследуют очевидную цель — обойти спам-фильтры, пропускающие сообщения с мобильных платформ.

Наблюдения Symantec показали увеличение объема этого типа спама с мая 2012 г., и специалисты компании уже приняли соответствующие меры, чтобы не допустить попадания нежелательной почты в папки входящих сообщений пользователей. Эксперты продолжат мониторинг ситуации, чтобы выявить истинный источник данного спама.

©  CNews