Esistono botnet noti che si rivolgono specificamente agli smartphone? Qual è la loro topologia e come vengono controllati?
A cosa servono?
Esistono botnet noti che si rivolgono specificamente agli smartphone? Qual è la loro topologia e come vengono controllati?
A cosa servono?
C'è almeno una botnet che conosco, si trattava di malware nascosto come un'app normale. Mentre l'app era in esecuzione, si collegava agli indirizzi email di Yahoo e iniziava a inviare spam. Questa particolare botnet è stata scoperta da Terry Zink, un ricercatore di sicurezza di Microsoft.
Il malware è stato diffuso utilizzando archivi di applicazioni indipendenti. Quasi tutti i telefoni risiedono in Argentina, Ucraina, Pakistan, Giordania e Ryssua, dove gli appstore indipendenti sono popolari ma spesso contengono più malware.
botnet controllata da SMS
Georgia Weidman , un famoso ricercatore per la sicurezza che attualmente si sta concentrando su Android, ha fatto una dimostrazione del concetto che una botnet possa essere utilizzata sugli smartphone. Utilizzava SMS per comunicare con i diversi robot utilizzando un carico utile crittografato che solo l'applicazione bot sarebbe in grado di decodificare e riconoscere.
Il bot si posizionerebbe tra il modem e lo spazio utente. Se il bot riceve un messaggio destinato a lui, lo manterrà (firma), altrimenti verrà inviato allo userspace.
La topologia è 1 master - > più sentinelle (bot con infezione lunga) - > altri robot
Il suo esempio includeva un PoC per Android (Root exploit) e per iPhone (Jailbroken e iKbee worm per telefoni senza root).
Presentazione completa qui .
Se ti chiedi perché sms, è perché usa meno batterie di una sonda costante usando la connessione internet.
Ikee.b worm
Il worm Ikee.b è risultato da Ikee.a un worm di Ashley Towns. Dove Ikee.a era relativamente benigno (Rick Rolling users). Tuttavia, Ikee.b è stato utilizzato per estorcere gli utenti. Ha anche ascoltato un server C & C in Lituania. Periodicamente tutti i robot sondano il server per verificare se ci siano istruzioni.
Puoi trovare maggiori informazioni su questo worm qui .
In generale, non abbiamo visto botnet di lunga durata formate da smartphone compromettenti, proprio come abbiamo visto per i desktop. (Ci sono eccezioni su piccola scala, ma questa è una buona prima approssimazione.) Certamente non c'è stata penuria di malware indirizzati agli smartphone, ma quello che fa una volta compromessa la tua macchina sembra un po 'diverso da ciò che tende ad accadere sui desktop.
È istruttivo guardare al perché. Perché i cattivi vogliono compromettere il tuo desktop o il tuo smartphone? Perché vogliono fare soldi. Pertanto, saranno guidati e motivati da ciò che possono fare con la tua macchina compromessa - in particolare, come possono trarne profitto.
In questo momento, i principali modi per fare soldi da un desktop compromesso sono cose come l'invio di spam, l'hosting di siti Web sbagliati (siti di phishing, vetrine di prodotti farmaceutici, ecc.), l'avvio di attacchi DDoS, il furto di credenziali dell'utente e così via.
La maggior parte di questi attacchi non è possibile o meno attraente sugli smartphone. Gli smartphone tendono ad avere una larghezza di banda di rete inferiore rispetto ai desktop, quindi non sono così utili per inviare spam, ospitare siti non validi o lanciare attacchi DDoS. Inoltre, a causa del sandboxing e di altre protezioni di sicurezza, non è così facile rubare le credenziali degli utenti (è possibile, ma non così banale).
Per questi motivi, non dovremmo aspettarci di vedere i cattivi sfruttare gli smartphone compromessi nello stesso modo in cui sfruttano macchine desktop compromesse.
Per ulteriori dettagli, consulta il seguente documento di ricerca, che esamina i malware per smartphone visti in natura (fino al 2011) e ipotizza incentivi che potrebbero causare comportamenti dannosi in futuro:
Per ulteriori ricerche, vedi quanto segue:
Soldato spam (vedi qui , qui e qui ) si rivolge a dispositivi Android con messaggi di testo che ti portano a scaricare malware. Il malware viene quindi utilizzato per rendere il dispositivo parte di una botnet di spamming. Questo è un attacco "in the wild", non solo un esercizio teorico. Il "modello di business" dietro l'attacco è il modello standard di spam standard.
Leggi altre domande sui tag iphone android smartphone botnet