Эксперты по сетевой безопасности бьют тревогу: планшеты и смартфоны на Android становятся жертвами хакеров. Подчинив себе ваше устройство, хакеры способны превратить его в солдата своей армии.

В прошлом году серия рекордных по интенсивности DDoS-атак сделала заголовки мировых СМИ: шире всего освещался скандал с падением сайта специалиста по сетевой безопасности Брайана Креббса KrebsOnSecurity, за несколько дней до атаки разоблачившего израильских хакеров — мошенников, и атака, положившая сайт French Web.

DDoS (Distributed Denial of Service) — это атака зомби, только в цифре: самые крупные осуществляются с участием миллионов устройств, который злоумышленники подчиняют себе с помощью вирусов. В назначенный час хакеры отдают ботнету (то есть всем подчинённым устройствам) команду начать бомбардировку цели запросами; пропускной способности канала, к которой подключена цель, и вычислительных ресурсов не хватает на обработку всех запросов. В результате пользователи не могут попасть на нужные страницы, и трафик резко падает. Если сайт, на который направлена атака, предоставляет услуги, он теряет возможность обслуживать клиентов; поэтому DDoS чаще всего используется для вымогательства или запугивания конкурентов.

Компьютеры-зомби — не всегда компьютеры в бытовом понимании слова; атаки на KrebsOnSecurity, например, осуществили с помощью огромной киберармии устройств, подключенных к интернету — принтеров, «умных кофеварок», а главным образом — камер наблюдения и видеорегистраторов, о безопасности которых пользователи редко задумываются.

В конце августа появилось сообщение о том, что хакеры нашли новый, почти неисчерпаемый ресурс: планшеты и смартфоны на Android. Огромный ботнет WireX, о котором идёт речь в сообщени создали с помощью почти 300 приложений, доступных в Google Play Market. Скачивая такое приложение, пользователь делает свой смартфон или планшет частью глобальной сети, в любой момент готовой обрушиться на жертву.

На пике могущества WireX состоял из 120 тысяч устройств из сотни стран. Мусорный трафик они создавали, отправляя жертве бесконечные HTTP-запросы — просили цель назвать своё «имя». Вообразите, что 120 тысяч милиционеров просят вас представиться и предъявить документы; примерно так же чувствовали себя серверы сайтов, на которые хакеры направляли свою армию Android-ов. Ботнет отправлял запросы со скорость 20 тысяч штук в секунду. Вообще-то это не очень большая нагрузка даже на маломощный канал, но хакеры умело направляли свой удар: если все эти запросы обрушить на страницу поиска сайта, можно исчерпать вычислительные мощности всего сайта.

Когда WireX обнаружили и обезвредили, он был еще мал; случись это позднее, специалистам по ИБ пришлось бы иметь дело с гораздо более мощной сетью, рассказывает Джастин Пэйн (Justin Paine), специалист Cloudflare — одной из семи компаний, участвовавших в нейтрализации ботнета. В ликвидации ботнета также участвовали Akamai, Flashpoint, Google, Dyn, RiskIQ и Team Cymru.

Атаки, по заключению экспертов, начались 2 августа. Быстро обнаружилось, что все пользователи, отправляющие запросы, имели цифровую подпись из 26 латинских букв в случайном порядке. Это было подсказкой: так подписываются устройства на Android. Первым вредоносным приложением, которое удалось идентифицировать, стало twdlphqg_v1.3.5_apkpure.com.apk; затем нашлось три сотни других (названия не раскрываются). Google удалил их из Play Market и с заражённых устройств.

Чаще всего вредные приложения притворяются чем-то полезным — менеджерами файлов, медиапроигрывателями, рингтонами. Даже когда приложение неактивно, та его часть, которая отвечает за ботнет, работает. Почти любой антивирус для Android видит такие придложения как вирусы, блокирует их и уведомляет пользователя.