Powstał pierwszy androidowy botnet?

Terry Zink z Forefront tłumaczy w firmowym blogu, że ciekawość pracowników firmy wzbudziło to, iż w wykrywanych ostatnio wiadomościach spamowych szczególnie często powtarzały się e-maile okraszone sygnaturą świadczącą o tym, że wysłano je z urządzeń z Androidem (dopiskiem 'Sent from Yahoo! Mail on Android'). Analiza adresów e-mail wykazała, że większość takich wiadomości wysłana została z krajów rozwijających się - m.in. Chile, Indonezji, Libanu, Omanu, Filipin, Tajlandii, Ukrainy oraz Wenezueli.

Zdaniem Zinka, wiadomości te pochodzą ze smartfonów, których użytkownicy zainstalowali (świadomie lub nie) złośliwą aplikację, prawdopodobnie pochodzącą spoza oficjalnego serwisu Google Play. Dodajmy jednak, że wcale nie jest to takie oczywiste - w przeszłości autorzy szkodliwego oprogramowania już kilkakrotnie zdołali wprowadzić je do serwisu Google'a.

"Sądzę, że mamy tu do czynienia z użytkownikami, którzy szukali w Internecie nielegalnych, darmowych wersji płatnych aplikacji - zamiast tego znaleźli złośliwe oprogramowanie" - tłumaczy specjalista. Informacje podane przez Forefront Online Security potwierdzają specjaliści z firmy Sophos - oni również twierdzą, że mamy do czynienia ze spamem, wysyłanym masowo z sieci urządzeń pracujących pod kontrolą Androida.

Firma dodaje, że wprowadzenie złośliwego oprogramowania na tę platformę jest stosunkowo łatwym zadaniem - dlatego że urządzenia z Androidem zwykle nie są w żaden sposób zabezpieczone przed złośliwym oprogramowaniem pobieranym z źródeł innych niż Google Play. "Google, Amazon i inni [operatorzy serwisów z aplikacjami mobilnymi - red.] czasami nie radzą sobie z zablokowaniem wszystkich złośliwych aplikacji, ale faktem jest, że pobieranie oprogramowania dla Androida z nieoficjalnych źródeł wiąże się z dużo większym ryzykiem" - twierdzą przedstawiciele Sophos.

Dodajmy, że Google nie zgadza się z twierdzeniem, jakoby istniał botnet zainfekowanych urządzeń z Androidem - zdaniem przedstawicieli firmy równie prawdopodobne jest, że mamy do czynienia z klasyczną, "pecetową" siecią komputerów zombie, która wysyła spam załączając sfałszowaną sygnaturę.

Aktualizacja: Grum - wyjątkowo żywotny botnet

"Dwa zlikwidowane ostatnio serwery były wykorzystywane do przekazywania komputerom-zombie instrukcji dotyczących wysyłania spamu. Bez nich zainfekowanym maszynom wkrótce prawdopodobnie skończy się lista adresów, pod które mają wysyłać spam - to powinno oznaczać koniec spamowania" - tłumaczy Atif Mushtaq, specjalista z firmy FireEye.

Jego zdaniem gdyby faktycznie Grum przestał "pompować" spam, odnotowalibyśmy znaczący spadek liczby takich wiadomości, ponieważ botnet ten jest jednym z najbardziej aktywnych spamerów w Internecie. Niestety, nie jest pewne, czy tak faktycznie się stanie - z najnowszych analiz wynika, że operatorzy Gruma mają do dyspozycji co najmniej jeszcze dwa serwery C&C (command & control), zlokalizowane w Rosji i Panamie (te zamknięte działały w Holandii).

Twórcy Gruma korzystali z dwóch typów serwerów - jeden służył do wysyłania komputerom-zombie instrukcji dotyczących spamu (tzn. treści wiadomości oraz adresów, na jakie mają być wysyłane), drugi - do przekazywania do zainfekowanych maszyn aktualizacji. Na razie wyeliminowany tylko serwery pierwszego typu, a to oznacza, że twórcy botnetu wciąż mogą stworzyć nowe serwery z instrukcjami i przekierować na nie zombiePC.

Na razie jednak to się nie stało - Grum jest stale monitorowany i nie odnotowano żadnych prób modyfikowania jego ustawień. Specjaliści z FireEye wysłali już do firm ISP z Panamy i Rosji informacje o działających w ich infrastrukturze przestępczych serwerach - zarządano również ich dezaktywowania, ale na razie nic takiego się nie stało.

Dodajmy, że Grum był do niedawna odpowiedzialny za wysyłanie ok. 35% całego światowego spamu. Eksperci szacują, że gdyby udało się permanentnie usunąć z Sieci trzy najbardziej aktywne spamerskie botnety - Lethic, Cutwail oraz Grum - to nastąpił by jeden z największych i najbardziej trwałych spadków ilości spamu w historii. Aktualizacja: 20 lipca 2012 09:33
Firmie FireEye oraz współpracującym z niej specjalistom z projektu Spamhaus udało się w końcu dezaktywować wszystkie serwery kontrolujące Gruma - wszystko wskazuje na to, że botnet ten został wreszcie unicestwiony. Odnotowano już zresztą gwałtowny spadek ilości spamu wysyłanego przez komputery wchodzące w jego skład - co prawda reklamowe wiadomości są jeszcze rozsyłane, ale jest ich zdecydowanie mniej niż jeszcze kilka dni temu. Zdaniem specjalistów z FireEye, po wykonaniu ostatnich instrukcji wysłanych przez serwery kontrolne do botów, Grum powinien finalnie przestać funkcjonować.