Шкідливі програми Minecraft

Шкідливі програми Minecraft перетворюють Android-пристрої в ботнет. 

Шкідлива кампанія націлена на користувачів в США, Росії, Україні, Бразилії та Німеччини.

Дослідники безпеки з компанії Symantec виявили в Google Play Store щонайменше 8 додатків, інфікованих шкідливим ПЗ Sockbot, що дозволяє підключати пристрої до ботнету і здійснювати DDoS-атаки. За даними дослідників, додатки завантажили 600 тис. - 2,6 млн разів. Шкідлива кампанія переважно націлена на користувачів в США, Росії, Україні, Бразилії та Німеччини.

На перший погляд, додатки призначені для зміни зовнішнього вигляду персонажів у грі Minecraft: Pocket Edition, однак у фоновому режимі включений складний і добре замаскований шкідливий функціонал. В ході аналізу дослідники виявили активність, спрямовану на незаконне отримання доходів від прихованої реклами.

Для отримання команд додаток підключається до C & C-сервера через порт 9001. C & C-сервер відправляє команду відкрити сокет по протоколу SOCKS і дочекатися з'єднання за вказаною IP-адресою. Потім з додатком відправляється команда для підключення до цільового сервера. Підключившись до останнього, додаток отримує список рекламних оголошень і пов'язаних з ними метаданих (тип оголошення, розмір екрану). Використовуючи SOCKS-проксі, додаток підключається до рекламного сервера і відправляє рекламні запити. Сам додаток не володіє функціоналом для відображення реклами.

За словами дослідників, даний механізм проксі може бути використаний для експлуатації ряду вразливостей і проведення не тільки мережевих, але і DDoS-атак.

Як з'ясували дослідники, з даною кампанією пов'язана всього один обліковий запис розробника - FunBaster. Дослідникам не вдалося отримати більш повну інформацію про розробника, оскільки шкідливий код додатків обфусцірован, а ключові рядки зашифровані. Крім цього, автор підписує кожен додаток різним ключем, що ускладнює ідентифікацію за допомогою статичного аналізу.

Google вже видалила шкідливі програми з Play Store.