¿Hay botnets conocidos que se dirijan a teléfonos inteligentes?

Hay al menos una red de bots que conozco, era malware oculto como una aplicación regular. Mientras se ejecutaba la aplicación, inició sesión en las direcciones de correo electrónico de Yahoo y comenzó a enviar spam. Esta botnet en particular fue descubierta por Terry Zink, un investigador de seguridad de Microsoft.

El malware se propagó mediante el uso de tiendas de aplicaciones independientes. Casi todos los teléfonos residían en Argentina, Ucrania, Pakistán, Jordania y Ryssua, donde las tiendas de aplicaciones independientes son populares pero a menudo contienen más malware.

botnet controlada por SMS

Georgia Weidman , un famoso investigador de seguridad que actualmente se centra en Android, hizo una prueba de concepto para una red de bots para usar en teléfonos inteligentes. Utilizaba SMS para comunicarse con los diferentes bots mediante una carga útil cifrada que solo la aplicación del bot podría descifrar y reconocer.

El bot se posicionaría entre el módem y el espacio de usuario. Si el robot recibe un mensaje destinado a él, lo conservará (firma), de lo contrario, se enviará al espacio del usuario.

La topología es 1 maestra - > Centinelas múltiples (bots infectados largos) - > otros bots

Su ejemplo incluía un PoC para Android (Root exploit) y para iPhone (Jailbroken e iKbee worm para teléfonos no rooteados).

Presentación completa aquí .

Si te preguntas por qué SMS, es porque usa menos baterías que una sonda constante que usa la conexión a Internet.

Ikee.b worm

El gusano Ikee.b resultó del gusano Ashley Towns Ikee.a. Donde Ikee.a era relativamente benigno (usuarios de Rick Rolling). Sin embargo Ikee.b fue utilizado para extorsionar a los usuarios. También escuchó a un servidor de C & C en Lituania. Periódicamente, todos los robots sondearían el servidor para verificar si había instrucciones.

Puede encontrar más información sobre este gusano aquí .

En términos generales, no hemos visto botnets grandes y de larga duración formados por teléfonos inteligentes comprometidos, de la misma manera que hemos visto para equipos de escritorio. (Hay excepciones a pequeña escala, pero esta es una buena primera aproximación). Ciertamente, no ha faltado el malware que se dirige a los teléfonos inteligentes, pero lo que hace una vez que compromete su máquina parece un poco diferente de lo que suele ocurrir en los equipos de escritorio.

Es instructivo mirar por qué. ¿Por qué los malos quieren comprometer su escritorio o su teléfono inteligente? Porque quieren ganar dinero. Por lo tanto, serán motivados y motivados por lo que pueden hacer con su máquina comprometida, en particular, cómo pueden ganar dinero con ella.

En este momento, las principales formas de ganar dinero con una computadora de escritorio comprometida son cosas como enviar spam, alojar sitios web defectuosos (sitios de phishing, tiendas de productos farmacéuticos, etc.), lanzar ataques DDoS, robar las credenciales de los usuarios, etc.

La mayoría de esos ataques no son posibles o menos atractivos en los teléfonos inteligentes. Los teléfonos inteligentes tienden a tener un ancho de banda de red inferior al de los equipos de escritorio, por lo que no son tan útiles para enviar correo no deseado, alojar sitios defectuosos o lanzar ataques DDoS. Además, debido a los espacios aislados y otras protecciones de seguridad, no es tan fácil robar las credenciales de los usuarios (es posible, pero no tan trivial).

Por estas razones, no deberíamos esperar que los malos usen los teléfonos inteligentes comprometidos de la misma manera que aprovechan las máquinas de escritorio comprometidas.

Para obtener más detalles, consulte el siguiente documento de investigación, que analiza el malware de teléfonos inteligentes que se observa en forma salvaje (hasta 2011) y especula sobre los incentivos que podrían generar un comportamiento malicioso en el futuro:

• Una encuesta sobre software malicioso móvil en la naturaleza . Adrienne Porter Felt, Matthew Finifter, Erika Chin, Steven Hanna y David Wagner. ACM SPSM 2011.

Para más investigación, vea lo siguiente:

• Disección del malware de Android: Caracterización y evolución . Yajin Zhou, Xuxian Jiang. IEEE S & P 2012.

Spam Soldier (consulte aquí , here , y here ) apunta a dispositivos Android con mensajes de texto que lo llevan a descargar malware. El malware se utiliza para hacer que su dispositivo forme parte de una red de bots de spam. Este es un ataque 'en la naturaleza', no solo un ejercicio teórico. El 'modelo de negocio' detrás del ataque es el modelo de negocio estándar de spam.