По свидетельству Lookout, ботнет на базе новой версии Android-троянца, нареченного экспертами NotCompatible, обладает повышенной жизнестойкостью, так как использует резервирование и шифрование C&C-коммуникаций.

Исследователи обнаружили NotCompatible 2,5 года назад и с тех пор исправно отслеживают его эволюцию. В то время мобильный зловред работал как простейший релей и использовался преимущественно для рассылки текстового спама или массовой скупки билетов на зрелищные мероприятия. Основными способами распространения данной вредоносной программы являются drive-by-загрузки с взломанных сайтов и email-спам; раздается она обычно под видом системного обновления или патча со сторонних, не Google сайтов. Географический разброс и разнообразие таких источников навели исследователей на мысль, что операторы NotCompatible просто покупают готовые базы скомпрометированных ресурсов и почтовых аккаунтов.

Эксперты не преминули отметить, что NotCompatible — далеко не единственный мобильный ботнет, используемый для рассылки спама, однако от прочих его отличает поразительно долгий срок службы. Более молодой SpamSoldier, например, просуществовал лишь несколько недель.

Проведенный Lookout анализ третьей, новейшей версии NotCompatible показал, что обновленный троянец по-прежнему используется для рассылки спама и скупки билетов в онлайн-кассах, но также умеет взламывать WordPress-сайты подбором паролей (bruteforce) и выполнять разные действия на сервере, используя предварительно залитый веб-шелл c99. Способы распространения зловреда остались прежними, с упором на социальный инжиниринг; темпы экспансии новой версии пока невелики: по всей видимости, она проходит период обкатки.

После обновления командная инфраструктура и внутренние коммуникации NotCompatible в новой версии претерпели значительные изменения. Ботоводы ввели одноранговые отношения между зараженными устройствами, разделили их по географическому признаку и добавили второй уровень в систему управления, ограничив доступ к контроллерам с помощью шлюза. Кстати, региональное сегментирование ботнета, по мнению исследователей, очень удобно для сдачи его в аренду.

В новой иерархии NotCompatible сервер-шлюз регулирует нагрузку по входящему клиентскому трафику, распределяя ее по серверам, контролирующим обмен между пирами. Он фильтрует запросы от зараженных устройств, обслуживая лишь авторизованных клиентов, и отдает конфигурационные файлы с адресами ближайших активных C&C (как в CDN-сети). Исследователи насчитали более 10 операционных контроллеров NotCompatible.C, размещенных на территории Швеции, Польши, Голландии, Великобритании и США.

Получив адреса «полевых командиров», уполномоченный представитель региона вновь проходит процедуру аутентификации и запрашивает у них обновление списка пиров. Этот список клиент раздает своим собратьям путем сравнения конфигурационных файлов.

Примечательно, что все коммуникации между клиентами и C&C шифруются, чего не наблюдалось ранее, и итоговый трафик, по свидетельству Lookout, практически неотличим от легитимного SSL, SSH или VPN. Для взаимной аутентификации клиентов и серверов NotCompatible.C использует криптосистему с открытым ключом.

На настоящий момент обновленный Android-зловред используется преимущественно для рассылки спама и обхода антифрод-механизмов на сервисах электронной коммерции, так как многочисленные мошеннические транзакции, распределенные по широкой бот-сети, вполне могут быть приняты за легальный трафик. Тем не менее эксперты склонны видеть в NotCompatible потенциальную угрозу корпоративной безопасности: использование этого троянца позволяет его операторам проникнуть в любую сеть при подключении к ней зараженного устройства, в том числе в корпоративную Wi-Fi или VPN. При этом прокси-функциональность зловреда обеспечивает тот бэкдор, через который можно совершать разные действия в целевой сети: искать уязвимые хосты, эксплуатировать уязвимости, воровать информацию.

Для справки: «Лаборатория Касперского» детектирует NotCompatible с сентября 2013 года с вердиктом Trojan.AndroidOS.NioServ. По данным компании, за истекший период троянец расселился по всему миру; наибольшее количество заражений выявлено в США и Западной Европе, а также в России и Индии.

Категории: Вредоносные программы, Главное, Спам