Ερευνητές ασφάλειας προειδοποιούν για μια εξελιγμένη παραλλαγή του trojan NotCompatible, το οποίο στοχεύει και μολύνει συσκευές με Αndroid.
Σύμφωνα με τους ειδικούς, η υποδομή επικοινωνιών πάνω στην οποία στηρίζεται το Νotcompatible είναι η πιο περίπλοκη που έχει εντοπιστεί ποτέ όσον αφορά τις mobile συσκευές, ενώ η τεχνολογία στην οποία βασίζεται είναι τόσο εξελιγμένη, που συναγωνίζεται την τεχνολογία αντίστοιχων malware που έχουν σχεδιαστεί για desktop. Μάλιστα η τελευταία παραλλαγή του malware είναι τόσο προηγμένη, που αποτελεί απειλή ακόμη και για προστατευμένα εταιρικά δίκτυα.
Η βασική μέθοδος που χρησιμοποιείται από τους εγκληματίες του κυβερνοχώρου για να διανέμουν το κακόβουλο λογισμικό είναι οι επιθέσεις κοινωνικής μηχανής (Social engineering). Mέσω εκστρατειών spam, αλλά και μέσω επιθέσεων drive by download (οι οποίες πραγματοποιούνται με τη βοήθεια παραβιασμένων ιστοσελίδων) οι εγκληματίες παρασύρουν ανυποψίαστους χρήστες, ώστε να εγκαταστήσουν το NotCompatible στις συσκευές τους.
Σύμφωνα με δείγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου που εντοπίστηκαν από τους ερευνητές, φαίνεται ότι τα εν δυνάμει θύματα καλούνται να εγκαταστήσουν μια ενημερωμένη έκδοση ασφαλείας, προκειμένου να αποκτήσουν πρόσβαση σε ένα συνημμένο αρχείο.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Οι ερευνητές της Lookout παρακολουθούν το Trojan από το 2012, όταν χρησιμοποιήθηκε αρχικά ως proxy σε μολυσμένες συσκευές, για την πραγματοποίηση εκστρατειών spam. Η τελευταία παραλλαγή του NotCompatible ωστόσο βασίζεται σε εξελιγμένη peer-to-peer επικοινωνία, κρυπτογράφηση, και μια αρχιτεκτονική server που το καθιστά «άπιαστο και διαρκές».
«Το NotCompatible.C χρησιμοποιεί δύο επιπέδων αρχιτεκτονική εξυπηρετητή. Το σύστημα διοίκησης και ελέγχου (C&C Server) χρησιμοποιεί μια load balancing προσέγγιση, βάσει της οποίας oι μολυσμένες συσκευές από διαφορετικές διευθύνσεις IP φιλτράρονται και κατακερματίζονται γεωγραφικά, και μόνο επικυρωμένοι clients μπορούν να συνδεθούν», αναφέρει ο ερευνητής Tim Strazzere της Lookout, σε ένα blog post.
Σύμφωνα με την Lookout, υπάρχουν πάνω από δέκα κεντρικοί C2 διακομιστές που εξυπηρετούν το Notcompatible και λειτουργούν σε διαφορετικές χώρες, όπως Σουηδία, Πολωνία, Ολλανδία, Ηνωμένο Βασίλειο και ΗΠΑ. Από την ανάλυση της δραστηριότητας του botnet, οι ερευνητές έχουν καταλήξει στο συμπέρασμα ότι το NotCompatible ενοικιάζεται για την πραγματοποίηση διαφόρων κακόβουλων εκστρατειών, όπως παράδοση ανεπιθύμητης αλληλογραφίας (spam), brute-force επιθέσεις εναντίον log-in σελίδων του WordPress, και έλεγχο άλλων κακόβουλων προγραμμάτων (πχ του c99shell – ενός PHP shell script που παρέχει πρόσβαση στο σύστημα του θύματος).
To NotCompatible αποτελεί επίσης το τέλειο εργαλείο για την πραγματοποίηση επιθέσεων εναντίον εταιρικών δικτύων, καθώς είναι δύσκολο να ανιχνευτεί και να μπλοκαριστεί από τα συστήματα ασφάλειας των δικτύων.
«Από τη στιγμή που μια συσκευή η οποία έχει μολυνθεί με το NotCompatible.C εισέλθει στο δίκτυο ενός οργανισμού, μπορεί να χρησιμοποιηθεί για να παρέχει στους φορείς εκμετάλλευσης του botnet πρόσβαση στο δίκτυο του οργανισμού. Χρησιμοποιώντας το NotCompatible ως proxy, ένας εισβολέας θα μπορούσε ενδεχομένως να εντοπίσει ευάλωτα hosts μέσα στο δίκτυο, να εκμεταλλευτεί ευπάθειες, και να αναζητήσει εκτεθειμένα, ευαίσθητα δεδομένα», εξηγούν οι ερευνητές της Lookout.
