Протокол XMPP используется вымогательским ПО для Android


Check Point SoftwareСпециалистами компании Check Point Software был выявлен новый вид вымогательского ПО для ОС Android. Отличительная особенность данного вредоноса в том, что он использует протокол XMPP для связи с C&C-сервером и получения от него команд.

Устанавливается вымогательское ПО со сторонних магазинов приложений, либо как самостоятельный APK-файл. Данный вредонос-вымогатель выдавал себя за мобильную версию Adobe Flash Player, поддержка официальной версии которой завершилась еще в 2012 году. Так же стоит отметить, что при установке вредоноса пользователь должен подтвердить даваемые приложению разрешения, а также разрешить и саму установку.

После этих действий вредоносное ПО шифрует все данные на телефоне и выводит сообщения якобы от АНБ США с требованием выкупа. При этом сумма выкупа составляет от $200 до $500.

Интересен вредонос и тем, что вредонос использует протокол XMPP для получения команд с C&C-сервера. Напомним, данный протокол обычно используется в приложениях для мгновенного обмена сообщениями.

Использование XMPP значительно затрудняет обнаружение C&C-трафика, да и отличить вредоносный трафик от легитимного в таком случае будет сложно. Кроме того, использование XMPP также позволяет обойти такие методы защиты, как мониторинг подозрительных URL.

Следующий интересный факт, поскольку данная технология использует внешние библиотеки для связи, то вредоносное ПО не требует дополнительных приложений, которые должны быть установлены на устройстве. Помимо этого, весь C&C-трафик шифруется, поскольку XMPP нативно поддерживает протокол TLS.

Стоит отметить, что при заражении устройства злоумышленники получали данные о его местоположении. Помимо этого, собирались данные об операторе мобильной связи, услугами которого пользовалась жертва. На основе всех полученных данных и создавалось специальное сообщение с требованием выкупа.

После того, как эксперты Check Point уведомили операторов серверов XMPP, через которые передавались C&C-команды, учетные записи злоумышленников были отключены.


Обновлено (04.09.2015 22:26)