Компания Sadbottrue, специализирующаяся на расследовании мошенничества в соцсетях и онлайн-рекламе, выявила в Twitter ботнет, состоящий из 3 млн зомби-аккаунтов, а также два ботнета поменьше — по 100 тыс. ботов. Как считают аналитики, скорее всего, это фейковые аккаунты, которые используются для продажи или аренды. Хотя в Twitter запрещена такая практика, этот неоднозначный бизнес существует уже давно: чтобы потешить собственное самолюбие, многие пользователи или корпоративные аккаунты покупают фолловеров-ботов.

Обычно компании, промышляющие продажей ботов, имеют лишь несколько тысяч фейковых аккаунтов, которые становятся фолловерами по нажатию кнопки.

Зарегистрировать такое огромное количество ботов нелегко: сотрудники Twitter заметят большой скачок количества новых регистраций. Но, судя по всему, все 3 млн ботов были зарегистрированы в один и тот же день — 17 апреля 2014 года (то есть в среднем со скоростью 35,4 регистрации в секунду).

Кроме того, ботоводы смогли синхронизировать юзернеймы с Twitter ID; обычно идентификатор профиля присваивается пользователю только после того, как тот зарегистрирует аккаунт, поэтому, скорее всего, проверки были пройдены заранее.

Продолжая копать, сотрудники Sadbottrue проанализировали количество Twitter ID до и после появления ботов, выявив, что кто-то «зарезервировал» более 168 млн ID 22 октября 2013 года.

В поиске ботнет можно найти по юзернейму @sfa_200xxxxxxx, где xxxxxxx — порядковый номер от 0 000 000 до 2 999 999. Все юзернеймы совпадают с Twitter ID, то есть юзернейм @sfa_2001234567 будет иметь Twitter ID 2001234567. Аккаунты похожи друг на друга: вместо ника они используют «name», имеют одну и ту же дату регистрации, а в описании профиля содержат фразу «some kinda description» («какое-то описание»). Все аккаунты закрытые, и никто не может видеть их фолловеров или чьими фолловерами являются они сами.

В общей сложности ботнет опубликовал 2,6 млрд твитов. Судя по всему, боты используются по-разному: например, у одного из них 476 990 твитов, но только один фолловер. Другой же, наоборот, фолловит 1 268 501 аккаунт, а третий сам имеет 2 999 959 фолловеров. Специалисты склоняются к версии, что владельцы ботнета могут использовать такую огромную армию ботов в качестве C&C-инфраструктуры, посылая команды через твиты. Аналогичную технику использовал зловред под названием Hammertoss — он общался с инфраструктурой посредством ссылок в соцсетях (в частности, в Twitter), а также использовал метод стеганографии на основе изображений, хранящихся в репозитории на GitHub или на скомпрометированных веб-сайтах, получая таким образом зашифрованные инструкции.

Также, по данным Sadbottrue, в Twitter было зарегистрировано два более мелких ботнета по 100 тыс. ботов.

Пока нет никаких сведений о том, кто может стоят за такой крупной армией ботов. Сами ботнеты могут быть как источником спама, так и тестом разработчиков соцсети — комментариев от них пока не поступало. Если все боты ботнета SFA заходят в Twitter хотя бы раз в месяц, они составляют почти 1% от активной аудитории Twitter.

Категории: Аналитика, Мошенничество, Спам