Специалисты Symantec назвали бот-сеть на Android мифом

По мнению специалистов компании Symantec, сообщения о бот-сети, которая работает на базе мобильных устройств с Android, являются, возможно, недостоверными. В частности, эксперты допускают, что данная сеть рассылает различный спам не с каких-либо мобильных устройств, а со скомпрометированных персональных компьютеров.

Отмечается, что применение бот-сети, созданной на базе мобильных устройств с операционной системой Android, для рассылки спама – это нечто новое, т. к. полноценная реализация данного возможна исключительно при выявлении и использовании неизвестных ранее уязвимостей.

Однако, говорят в компании, вполне вероятны и другие сценарии, которые могут имитировать вышеописанный вариант.

Как видно на скриншоте, в письме имеются два признака того, что оно отправлено взломанным почтовым клиентом Android: в техническом заголовке сообщения присутствует идентификатор androidMobile, а в подписи имеется строка «Sent from Yahoo! Mail on Android».

В действительности же данные письма отправляются не с мобильных устройств на Android, утверждают специалисты. В качестве доказательства приводится то, что без эксплуатации уязвимости мобильного устройства невозможно автоматически в фоновом режиме отправить письмо через основное почтовое приложение Android, т. к. будет запрашиваться подтверждение отправки. Также в письмах указывается: «Yahoo! Mail for Android», а это – не почтовый клиент, используемый в Android по умолчанию.

Кроме того, учетные записи, которые использовали спамеры, вовсе не выглядят реальными адресами электронной почты. Вероятнее всего, они были созданы специально для рассылки в соответствии с заданным шаблоном – имя, фамилия, два символа в нижнем регистре и две цифры.

К примеру:
Corina Ullman [CorinaUllmande03@yahoo.com],
Dionne Wellner [DionneWellnerur36@yahoo.com],
Celeste Syrus [CelesteSyrusjf71@yahoo.com],
Kristin Jamison [KristinJamisondc53@yahoo.com],
Pearl Runge [PearlRungene76@yahoo.com].

Последний аргумент экспертов – бóльшая часть IP-адресов не принадлежит мобильным сетям, а некоторые из них в прошлом уже были скомпрометированы рассылкой спама.

В настоящее время аналитики Symantec считают, что имеется три версии происхождения спама:

1. Возможно (и наиболее вероятно), что спамеры используют те же веб-сервисы, что и «Yahoo! Mail for Android». Письма рассылаются с компьютеров злоумышленников, но также могут распространяться и вредоносной программой на ОС Android.

2. Вредоносное ПО взломало приложение «Yahoo! Mail for Android», и почтовые сообщения создаются и отправляются автоматически в фоновом режиме и без уведомления пользователя.

3. Технические заголовки рассылаемых писем – просто подделка.