Según los investigadores de la Universidad Técnica Checa, la Universidad UNCUYO y Avast, una nueva botnet denominada Geost que ha estado activa desde al menos el 2016 y ha infectado a más de 800,000 dispositivos Android y potencialmente accedió a varios millones de euros en las cuentas bancarias de las víctimas.
La existencia de la botnet Geost salió a la luz debido a varios errores de OpSec cometidos por sus operadores. El descubrimiento se realizó cuando los botmasters decidieron confiar en una red proxy maliciosa construida, utilizando un malware llamado HtBot que convierte a la víctima infectada en un proxy no dispuesto e ilegal que recibe tráfico de la red HtBot y lo envía a Internet. Durante el análisis de la comunicación de red HtBot, los investigadores descubrieron una gran operación maliciosa que infecta a más de 800,000 dispositivos basados en Android.
Además del uso de una plataforma de anonimato no confiable para cubrir sus huellas, los botmasters tampoco pudieron encriptar sus servidores de comando y control y sesiones de chat, reutilizaron los servicios de seguridad y colaboraron con otros atacantes con incluso menos OpSec. Todo esto permitió a los investigadores echar un vistazo al funcionamiento interno del grupo, específicamente, cómo los delincuentes accedieron a los servidores, reunieron nuevos dispositivos en la red de bots, cómo evadieron el software antivirus y también para obtener una pista sobre su relación social dentro del grupo .
La operación de malware Geost involucra al menos 13 servidores de comando y control (C&C) en seis países y más de 140 dominios maliciosos. El malware se distribuye a través de aplicaciones falsas y maliciosas; compromete los dispositivos Android para que los atacantes puedan interactuar de forma remota con los servicios web de cinco bancos específicos en Europa del Este, lo que les permite potencialmente robar dinero.
«La red de bots podría conectarse directamente a los cinco principales bancos de Rusia para operar y desplegar más de 200 APK de Android para falsificar docenas de aplicaciones», reveló el equipo de investigación. «Parece que uno de los objetivos de la botnet es acceder a la información personal de las víctimas a través de sus mensajes SMS, incluidos los mensajes enviados por los bancos».
Uno de los servidores de C&C analizados de Geost contenía 1,452 páginas de información de víctimas, con 50 víctimas listadas por página para un total estimado de 72,600 víctimas. En una página de muestra, los investigadores encontraron un conjunto de 50 víctimas que colectivamente poseían 1.129.152 rublos (~ 15.000 euros) en sus cuentas bancarias. Al extrapolar este número a las 871.200 víctimas estimadas, los investigadores llegaron a la conclusión de que los operadores de Geost podrían haber tenido acceso a más de 800,000 cuentas, que en conjunto poseen unos 240 millones de euros en fondos.
«El descubrimiento de la botnet bancaria Geost Android dentro del tráfico de otro proxy de malware muestra que la seguridad operativa es muy difícil de corregir, y que simples errores pueden llevar a una comprensión profunda de las operaciones de los autores de malware. Después del descubrimiento de que los botmasters de Geost accedieron a sus servidores de C&C, fue posible encontrar más y más piezas de sus infecciones de botnet, lo que condujo a un mapeo muy grande de su infraestructura de ataque, sus binarios APK, el número de víctimas infectadas y una estimación de El tamaño económico de la operación. Finalmente, fue posible utilizar inteligencia de código abierto para relacionar un grupo de desarrolladores con parte del proceso de construcción de infraestructura de la botnet. Los desarrolladores no parecen ser los botmasters de Geost, sino un grupo clandestino relacionado con ellos ”, concluyó el informe.
Fuente: cybersecurity-help.cz
