ИБ-эксперты из Symantec выявили в Google Play как минимум 8 приложений, зараженных вредоносной программой Sockbot, которая дает возможность подключить устройства к ботсети и организовывать DDoS-атаки.
Как утверждают специалисты, все приложения были скачаны от 600000 до 2600000 раз. Киберкампания, прежде всего, направлена против американских, бразильских, немецких, российских и украинских пользователей.
Приложения якобы меняют внешний вид персонажей в игре Minecraft: Pocket Edition, но в действительности утилита имеет вредоносный функционал. Эксперты обнаружили активность, которая направлена на получение незаконных доходов от скрытой рекламы.
Программа осуществляет подключение к командному серверу через порт 9001. Сервер передает команду на открытие сокета по протоколу SOCKS и ожидание соединения по определенному IP-адресу. Далее приложение подключается к целевому серверу и получает перечень рекламных объявлений и метаданных, которые связаны с ними. С помощью SOCKS-прокси программа осуществляет подключение к рекламному серверу и отправку рекламных запросов. В то же время в самом приложении отсутствует функционал для демонстрации рекламы.
Как утверждают специалисты, этот механизм может быть задействован для использования различных уязвимостей и организации DDoS-атак.
Сотрудники Google уже удалили вредоносные приложения из Google Play.
