Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Эксперты двух компаний, специализирующихся на вопросах кибербезопасности, независимо друг от друга раскрыли схемы работы нелегальных прокси-сервисов, работающих на заражённых вредоносным ПО маршрутизаторах и Android-телефонах.
Специалисты Lumen Labs обнаружили, что около 40 000 домашних и офисных маршрутизаторов оказались включены в незаконную сеть, причём каждый день в неё добавляются ещё 1000 устройств. Все они заражены вредоносами семейства TheMoon, которое появилось как минимум в 2014 году. Поначалу вирусы TheMoon поражали почти исключительно маршрутизаторы Linksys серии E1000; с годами к ним подключились модели Asus WRT, D-Link и сетевые камеры Vivotek.
В первые годы TheMoon активно распространялся и привлёк внимание экспертов в области кибербезопасности, а впоследствии стал менее заметным. К удивлению исследователей из лаборатории Black Lotus компании Lumen в начале марта всего за 72 часа в ботнете TheMoon оказались 6000 роутеров Asus. Ещё более ошеломляющим оказалось обнаружение теневой сети из 40 000 домашних и офисных маршрутизаторов в 88 странах — как выяснилось, подавляющее большинство заражённых TheMoon устройств регистрируются в незаконном прокси-сервисе Faceless, используемом для анонимизации киберпреступников. Около 80 % ботов Faceless расположены в США, а значит, основными целями пользующихся сервисом киберпреступников являются американские организации и учётные записи американских пользователей.
Эксперты подразделения Satori Intelligence компании Human обнаружили в магазине Google Play 28 приложений, которые без ведома пользователей регистрировали их устройства в прокси-сети из 190 000 узлов. Сети присвоили название ProxyLib — её существование восходит корнями к удалённому в минувшем году из Google Play приложению Oko VPN, которое использовало заражённые устройства для мошенничества с рекламой. Все 28 приложений, обнаруженные Satori Intelligence, копировали код Oko VPN и подключали устройства к прокси-сервису Asock.
Исследователи также обнаружили второе поколение приложений ProxyLib, которые монетизировались с помощью сервиса LumiApps, который добавляет в мобильное ПО те же функции подключения к той же инфраструктуре, что и Oko VPN. Такие приложения распространяются как «моды» за пределом Google Play. Эксперты не знают, какие именно устройства входили в сеть Asock — на пике её развития их было 190 000. Это могли быть Android-телефоны или также другие устройства, скомпрометированные иными способами.
Чтобы защитить свои устройства от подключения к теневым сетям, рекомендуется соблюдать некоторые меры предосторожности. Не рекомендуется пользоваться оборудованием, которое больше не поддерживается производителем — у большинства устройств в ботнете TheMoon завершился срок службы, и обновления безопасности более не поступали. Рекомендуется также без особой нужды не пользоваться функцией UPnP, а если подключать её, то только для определённых портов. Приложения на устройства Android рекомендуется устанавливать только после изучения репутации ПО и его разработчика.
Источник: