Ваш пристрій на Android може бути частиною хакерської мережі
Експерти з мережевої безпеки б'ють на сполох: планшети і смартфони на Android стають жертвами хакерів. Підкоривши собі ваш пристрій, хакери здатні перетворити його на солдата своєї армії.
Торік серія рекордних за інтенсивністю DDoS-атак зробила заголовки світових ЗМІ: найширше висвітлювався скандал з падінням сайту фахівця з мережевої безпеки Брайана Креббса KrebsOnSecurity, який за кілька днів до атаки викрив ізраїльських хакерів - шахраїв, і атака, яка поклала сайт French Web.
DDoS (Distributed Denial of Service) - це атака зомбі, тільки в цифрі: найбільші здійснюються за участю мільйонів пристроїв, який зловмисники підпорядковують собі за допомогою вірусів. У призначену годину хакери віддають ботнету (тобто всім підлеглим пристроям) команду почати бомбардування цілі запитами; пропускної здатності каналу, до якої підключена мета, і обчислювальних ресурсів не вистачає на обробку всіх запитів. У результаті користувачі не можуть потрапити на потрібні сторінки, і трафік різко падає. Якщо сайт, на який спрямована атака, надає послуги, він втрачає можливість обслуговувати клієнтів; тому DDoS найчастіше використовується для вимагання або залякування конкурентів.
Комп'ютери-зомбі - не завжди комп'ютери в побутовому розумінні слова; атаки на KrebsOnSecurity, наприклад, здійснили за допомогою величезної кіберармії пристроїв, підключених до інтернету - принтерів, «розумних кавоварок», а головним чином - камер спостереження і відеореєстраторів, про безпеку яких користувачі рідко замислюються.
Наприкінці серпня з'явилося повідомлення про те, що хакери знайшли новий, майже невичерпний ресурс: планшети і смартфони на Android. Величезний ботнет WireX, про який йде мова в повідомленні створили за допомогою майже 300 додатків, доступних в Google Play Market. Скачуючи такий додаток, користувач робить свій смартфон або планшет частиною глобальної мережі, в будь-який момент готовою обрушитися на жертву.
На піку могутності WireX складався з 120 тисяч пристроїв із сотні країн. Сміттєвий трафік вони створювали, відправляючи жертві нескінченні HTTP-запити - просили мету назвати своє «ім'я». Уявіть, що 120 тисяч міліціонерів просять вас представитися і пред'явити документи; приблизно так само почувалися сервери сайтів, на які хакери направляли свою армію Android-ів. Ботнет відправляв запити зі швидкість 20 тисяч штук на секунду. Взагалі-то це не дуже велике навантаження навіть на малопотужний канал, але хакери вміло направляли свій удар: якщо всі ці запити обрушити на сторінку пошуку сайту, можна вичерпати обчислювальні потужності всього сайту.
Коли WireX виявили і знешкодили, він був ще малий; трапися це пізніше, фахівцям з ІБ довелося б мати справу з набагато більш потужною мережею, розповідає Джастін Пейн (Justin Paine), фахівець Cloudflare - однієї з семи компаній, які брали участь у нейтралізації ботнету. У ліквідації ботнету також брали участь Akamai, Flashpoint, Google, Dyn, RiskIQ і Team Cymru.
Атаки, за висновком експертів, почалися 2 серпня. Швидко виявилося, що всі користувачі, які відправляють запити, мали цифровий підпис з 26 латинських букв у випадковому порядку. Це було підказкою: так підписуються пристрої на Android. Першим шкідливим додатком, який вдалося ідентифікувати, стало twdlphqg_v1.3.5_apkpure.com.apk; потім знайшлося три сотні інших (назви не розкриваються). Google видалив їх з Play Market і з заражених пристроїв.
Найчастіше шкідливі програми прикидаються чимось корисним - менеджерами файлів, медіапрогравачами, рінгтонами. Навіть коли додаток неактивний, та його частина, яка відповідає за ботнет, працює. Майже будь-який антивірус для Android бачить такі додатки як віруси, блокує їх і повідомляє користувача.