NotCompatible-Update: р2р und durchgehende Verschlüsselung

Laut Angaben von Lookout, verfügt das Botnetz auf der Grundlage der neuen Version des Android-Trojaners, den die Experten auf den Namen NotCompatible getauft haben, über eine längere Lebensdauer, die unter anderem der vollständigen Verschlüsselung der Kommunikation geschuldet ist.

Die Experten entdeckten NotCompatible vor zweieinhalb Jahren und haben seine Evolution seither genauestens verfolgt. Zu der Zeit funktionierte der mobile Schädling als simples Relais und wurde in erster Linie zum Versand von Text-Spam oder zum Massenkauf von Tickets für spektakuläre Veranstaltungen eingesetzt. Die wichtigsten Verbreitungsmethoden dieses Schadprogramms sind Drive-by-Downloads von gehackten Websites und E-Mail-Spam. Der Schädling wird meist als System-Update ausgegeben (als Datei update.apk со von Nicht- -Google-Sites). Die geografische Streuung und die Vielfalt der Quellen brachten die Analysten auf die Idee, dass die Betreiber von NotCompatible ganz einfach fertige Datenbanken mit kompromittierten Ressourcen und E-Mail-Accounts ankaufen.

Die Experten wiesen zudem darauf hin, dass NotCompatible bei weitem nicht das einzige mobile Botnet ist, das zum Spam-Versand benutzt wird, es sich von den anderen aber durch die erstaunlich lange Dienstzeit unterscheidet. Das jüngere SpamSoldier hat beispielsweise nur einige Wochen existiert.

Die von Lookout durchgeführte Analyse der dritten und somit neusten Version von NotCompatible hat gezeigt, dass der aktualisierte Trojaner wie gehabt für den Versand von Spam und den Kauf von Tickets an Online-Kassen benutzt wird, aber auch in der Lage ist, WordPress-Sites mit Hilfe der Bruteforce-Methode zu hacken und verschiedene Aktivitäten mit Hilfe der Webshell c99 auf einem Server durchzuführen. Die Verbreitungsarten des Schädlings haben sich nicht geändert, der Schwerpunkt liegt noch immer auf dem Social Engineering, wobei die Themenauswahl für die neue Version bisher noch recht klein ist: Anscheinend befindet sie sich noch in der Erprobungsphase.

Nach der Aktualisierung der Befehlsinfrastruktur hat sich auch die interne Kommunikation von NotCompatible in der neuen Version entscheidend verändert. Die Botmaster haben nun einrangige Beziehungen zwischen den infizierten Geräten eingeführt, sie nach geografischen Kennzeichen sortiert und eine zweite Ebene im Steuerungssystem hinzugefügt, nachdem sie den Zugriff auf die Controller mit Hilfe des Gateways eingeschränkt haben. Die regionale Segmentierung des Botnetzes ist nach Meinung der Experten in Hinblick auf die Verpachtung des Zombie-Netzwerks sehr praktisch.

In der neuen Hierarchie von NotCompatible reguliert ein Server-Gateway die Auslastung durch den eingehenden Client-Traffic, indem er ihn nach den Servern einteilt, die den Umfang zwischen den Peers kontrollieren. Er filtert die Anfragen von den infizierten Geräten, indem er nur autorisierte Clients bedient, und gibt die Konfigurationsdateien mit den Adressen der nächstgelegenen C&C aus (wie im CDN). Die Spezialisten zählten mehr als 10 Controller von NotCompatible.C, die sich in Schweden, Polen, Holland, Großbritannien und den USA befinden.

Nachdem er die Adresse der „Kriegsherrn“ erhalten hat, durchläuft der bevollmächtige Vertreter der Region erneut die Authentifizierungsprozedur und fragt bei ihnen eine aktualisierte Liste der Peers an. Diese Liste verteilt der Client mittels eines Vergleichs der Konfigurationsdateien an seine Mitbrüder.

Bemerkenswert ist, dass die gesamte Kommunikation zwischen den Clients und dem C&C verschlüsselt wird, was vorher nicht beobachtet wurde, und dass sich der Traffic im Ergebnis laut Aussage der Lookout-Experten praktisch nicht von legitimem SSL-, SSH- oder VPN-Traffic unterscheidet. Für die gegenseitige Client-Server-Authentifizierung verwendet NotCompatible.C ein Kryptosystem mit offenem Schlüssel.

Zum gegenwärtigen Zeitpunkt wird der aktualisierte Android-Schädling hauptsächlich in den e-Commerce-Services zum Spam-Versand und zur Umgehung der Anti-Fraud-Mechanismen eingesetzt, da zahlreiche betrügerische Transaktionen, die über ein großes Botnetz verteilt sind, durchaus als legaler Traffic angesehen werden können. Trotzdem sehen die Fachleute in NotCompatible eher eine potentielle Bedrohung der unternehmerischen Sicherheit: Der Einsatz dieses Trojaners ermöglicht es seinen Betreibern, in jedes beliebige Netzwerk einzudringen, sofern ein infiziertes Gerät daran angeschlossen wird, unter anderem auch in ein Wi-Fi- oder VPN-Netz. Dabei stellt die Proxy-Funktionalität des Schädlings die Backdoor bereit, über die verschiedene Aktionen im Zielnetzwerk durchgeführt werden können: Suche nach verwundbaren Hosts, Ausnutzung von Sicherheitslücken, Diebstahl von ungeschützten Daten.

Kaspersky Lab detektiert NotCompatible seit dem Jahr 2013 als Trojan.AndroidOS.NioServ. Nach Angaben des Unternehmens ist er mittlerweile weltweit angesiedelt; die höchsten Infektionsraten wurden in den USA und Westeuropa registriert, aber auch in Russland und Indien.

Quelle:        Securityweek

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.