Des chercheurs de l'Université technique tchèque, de l'Université UNCUYO et d'Avast ont découvert un nouveau botnet bancaire Android, destiné aux citoyens russes, opérationnel depuis au moins 2016.
Selon les estimations des chercheurs, le botnet Geost a infecté plus de 800 000 appareils Android, et les pirates informatiques derrière lui pourraient potentiellement contrôler plusieurs millions d'euros.
La découverte inhabituelle du botnet a été faite lorsque les pirates ont décidé de faire confiance à un réseau proxy malveillant construit en utilisant un malware appelé HtBot. Le malware HtBot fournit un service proxy qui peut être loué pour fournir aux utilisateurs une connexion pseudo-anonyme à Internet. En analysant la communication réseau HtBot, les chercheurs ont découvert la grande opération malveillante.
Les pirates informatiques derrière le botnet ont également échoué à chiffrer leurs communications, ce qui a donné aux chercheurs une vue sans précédent sur leurs employés internes. Leurs journaux de discussion ont révélé comment ils avaient accédé à des serveurs, apporté de nouveaux appareils au botnet et évité les logiciels antivirus.
Sommaire
Geost botnet et cheval de Troie bancaire
Anna Shirakova, chercheuse à Avast, explique comment les mauvais choix du groupe ont permis aux chercheurs de mieux comprendre leurs opérations, en déclarant:
«Nous avons vraiment une vue sans précédent sur le fonctionnement d’une telle opération. Parce que ce groupe a fait de très mauvais choix quant à la manière dont il a essayé de cacher ses actions, nous avons pu voir non seulement des exemples de programmes malveillants, mais aussi analyser en profondeur la façon dont le groupe fonctionne avec des opérateurs de niveau inférieur qui introduisent des périphériques dans le botnet et à un niveau supérieur. les agents en déterminant combien d’argent était sous leur contrôle. Au total, il y a eu plus de huit cent mille victimes et le groupe a potentiellement contrôlé des millions de dollars ».
Le botnet Geost semble être une infrastructure complexe de smartphones Android infectés. Les téléphones sont d'abord infectés par des APK Android qui ressemblent à différentes applications factices, notamment de fausses applications bancaires et de faux réseaux sociaux. Une fois qu'un téléphone infecté se connecte au botnet, il est contrôlé à distance et les attaquants peuvent accéder aux SMS et les envoyer, envoyer des SMS, communiquer avec les banques et rediriger le trafic de l'appareil vers différents sites. Les pirates peuvent également accéder à de nombreuses informations personnelles provenant d'utilisateurs de ces appareils infectés.
Après l’infection, les serveurs de commande et de contrôle stockent une liste complète des messages SMS de toutes les victimes à partir du moment où le périphérique a été infecté. Ces messages sont traités hors ligne sur le serveur C & C afin de calculer automatiquement le solde bancaire de chaque victime.
Le botnet Geost dispose d’une infrastructure complexe composée d’au moins 13 adresses IP C & C, de plus de 140 domaines et de plus de 140 fichiers APK. Le cheval de Troie bancaire avait pour cible principale cinq banques, bien que la majorité d'entre elles soient russes.
