Злоумышленники из Китая создали гигантский ботнет из гаджетов на базе Android.
Исследователи кибербезопасности из компании Check Point обнаружили нового представителя вредоносного семейства, жертвами которого стали почти 5 миллионов владельцев Android-устройств.
Зловред RottenSys, авторство которого приписывают китайским хакерам, появился еще в 2016 году. Он постепенно распространялся среди гаджетов производителей Huawei, Xiaomi, OPPO, vivo, LeEco, Coolpad и GIONEE и в основном досаждал пользователям навязчивой нескрываемой рекламой.
Исследуя один из телефонов Xiaomi, эксперты Check Point обратили внимание на странный процесс, выдававший себя за системную Wi-Fi службу. Он не имел никакого отношения к беспроводной связи, зато требовал множество нетипичных для сети разрешений, в частности — на «тихую» загрузку файлов, доступ к календарю и службе специальных возможностей.
Более подробный анализ показал, что за процессом скрывается зловред RottenSys, который незаметно для пользователя скачивает необходимые для заражения компоненты. После этого он использует два фреймворка с открытым исходным кодом: Small — для виртуализации приложений и параллельного запуска нескольких процессов, и MarsDaemon — для их поддержания в активном состоянии. В результате на устройстве жертвы появляется неотключаемая реклама, аккумулятор начинает разряжаться быстрее, а общая производительность заметно падает.
Кроме того, исследователи из Check Point обнаружили, что в прошлом месяце авторы RottenSys провели дополнительную работу над зловредом и добавили модуль для объединения зараженных устройств в один гигантский ботнет. Учитывая, что общее число жертв вредоносного ПО приближается к 5 миллионам, перед китайскими хакерами открываются большие возможности. По мнению специалистов из Check Point, ботнет позволит авторам RottenSys незаметно устанавливать дополнительные приложения на телефоны и планшеты и автоматизировать пользовательский интерфейс.
Как отмечается в отчете, более половины зараженных устройств были куплены в одной и той же китайской розничной сети Tian Pai, что наводит на мысль об умышленной установке вредоносного ПО перед продажей. Такой подход давно пользуется популярностью у злоумышленников: еще в 2014 году эксперты кибербезопасности сообщали о бэкдоре на только что сошедших с конвейера гаджетах, а всего две недели назад в недорогих телефонах малоизвестных производителей обнаружили предустановленный троян Triada, предназначенный для кражи финансовой информации.
По счастью, в случае с RottenSys исследователи обнаружили, что дроппер несложно удалить из системы, если знать имя вредоносного приложения. В обзоре, посвященном этому экземпляру рекламного ПО, эксперты Check Point приводят несколько названий пакетов, на которые стоит обратить внимание пользователям: