Новости Приложение VPN из Google Play с 5 млн. загрузок оказалось DDoS-ботнетом

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.944
Репутация
62.740
Реакции
277.154
RUB
0
Приложение автоматически превращает смартфон в инструмент для DDoS-атак.

image



— это официальное -приложение, разработанное Limestone Software Solutions для Android и iOS. Однако, исследователя Лекроми (Lecromee), версия этого приложения для Android является ботнетом и выполняет -атаки.


Все началось с того, что друг Лекроми сообщил ему о необычной последовательности запросов на его мобильном телефоне. Телефон постоянно отправлял запросы на определенный веб-сайт каждые 10 секунд. Приложение якобы использовало различные тактики, чтобы скрыть свои вредоносные действия, чтобы атака оставалась незамеченной.

Первоначально Лекроми списал эту деятельность на вредоносное ПО или вирус. Однако дальнейшее расследование показало, что все запросы отправлялись из приложения Swing VPN, которое его друг установил на свой телефон. Запросы были отправлены на тот же сайт, на который друг Лекроми никогда не заходил, что вызвало у исследователя подозрения.

Эксперт выяснил, что приложение определяет настоящий IP-адрес пользователя сразу после установки, выбора языка и принятия Политики конфиденциальности. Приложение также анализирует возвращаемый с сайта HTML-код и идентифицирует IP-адреса из ответов, в основном для поиска файлов конфигурации для загрузки.

После определения требуемого типа конфигурации приложение отправляет запросы к двум разным файлам конфигурации, хранящимся в личной учетной записи Google Диска разработчика. Эти файлы запрашиваются с определенных персональных серверов, нескольких репозиториев GitHub или учетных записей Google Диска.

Приложение завершает процесс инициализации, подключаясь к рекламной сети для загрузки рекламы, и сохраняет данные в локальном кэше, прежде чем начать DDoS-атаку сайта. Запросы Swing VPN отправляются на сайт Туркменских авиалиний (turkmenistanairlines.tm).

Исследователь был удивлен тем, что полезная нагрузка запроса содержала определенные данные и что конечная точка запросов также извлекала многие ресурсы сайта, отправляя один запрос каждые 10 секунд.

«Поскольку поиск рейса — довольно интенсивная задача, требующая большого количества баз данных и серверных ресурсов, ясно, что цель состоит в том, чтобы нагрузить сервер из ресурсов, чтобы обычные пользователи не могли получить к нему доступ, когда это необходимо», — сказал Лекроми.

По состоянию на июнь 2023 года у приложения было более 5 млн. установок на Android, что даёт потенциал DDoS-атаки в 500 000 запросов в секунду (Requests per second, RPS). Для сравнения, в октябре 2022 года на сервер Minecraft. Пик атаки длился 15 секунд и составлял 26 млн. rps. Лекроми раскритиковал Google за слабую систему безопасности, которая позволяет вредоносным приложениям использовать устройства ничего не подозревающих пользователей.









 
Приложение Swing VPN оказалось ботнетом, выполняющим DDoS-атаки. Очень печально, что вредоносные приложения могут использовать наши устройства для таких целей. Важно быть осторожным и выбирать проверенные и безопасные приложения для защиты нашей конфиденциальности и безопасности. Безопасность на интернет-платформах должна быть улучшена, чтобы предотвратить подобные инциденты в будущем.
 
Сверху Снизу