BezpečnosťSpravodajstvo

Milióny Android používateľ sa nevedomky stali útočníkmi pri DDoS útoku: Túto aplikáciu vymažte zo smartfónu!

Bezpečnostní experti varujú že Swing VPN nielenže kradne vaše osobné dáta, no aj cez váš smartfón útočí na rôzne stránky.

Pre väčšinu bežných ľudí je účasť na kybernetickom útoku veľkou neznámom. No zdá sa, že niekedy sa môžeme stať útočníkmi, hoci si to neuvedomujeme. Aplikácia Swing VPN používa svoju užívateľskú základňu na vykonávanie DDoS útokov, informuje portál Greek Geek.

DDoS (pozn. redakcie: Distributed denial of service) je v kybersvete mimoriadne rozšírenou formou útoku. Ide o útok na vybraný server, ktorý dostane obrovské množstvo požiadaviek, čím dochádza k jeho preťaženiu a server prestáva poskytovať svoje služby. Jednoducho povedané, cieľom DDoS útokov býva zhodenie servera tak, aby k nemu užívatelia nemali prístup.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Čo sa týka aplikácie Swing VPN, útoky začali celkom nenápadne. Užívatelia sa začali sťažovať na zvláštne správanie smartfónu, čo prikladali za vinu inému malvéru. Toto zvláštne správanie sa vyznačuje posielaním požiadaviek na špecifickú aplikáciu každých pár sekúnd. Po prešetrení prípadu sa ukázalo, že všetky požiadavky vychádzali z aplikácie Swing VPN, ktorú je možné normálne stiahnuť z obchodu s aplikáciami. Swing VPN zasielala požiadavky na stránku, ktorú užívatelia nikdy nepoužívali.

V požiadavkách sa nachádzali špecifické dáta, ktoré nasvedčovali že táto požiadavka bude náročná na zdroje cielenej stránky a pravdepodobne vznikla za jasným cieľom. Požiadavku smartfóny zasielali každých desať sekúnd na špecifickú URL adresu, čo je jasným indikátorom toho, že nešlo o chybu ani spôsob kontroly pripojenia.

DDoS útoky ukryté za aplikáciu

Portál Greek Geek skúmal prípad, kedy aplikácia útočila na stránku „turkmenistanairlines.tm“. Z požiadavky nie je možné vyčítať, či ide o nejakú formu útoku alebo nie. Keď užívateľ po prvýkrát spustí aplikáciu, tá sa pokúša zistiť skutočnú IP adresu zariadenia tým, že pošle požiadavku Googlu a Bingu. Pre aplikáciu je dôležité zistiť IP adresu, pretože na jej základe načíta jeden z niekoľkých možných konfiguračných súborov. Tie sa líšia nielen na základe krajiny, ale aj internetového poskytovateľa.

Po získaní IP adresy Swing VPN vydá požiadavku ku dvom odlišným konfiguračným súborom, ktoré sa nachádzajú na Google Disku tvorcu aplikácie. Toto značí koniec prípravnej fázy. Následne aplikácia uloží dáta do lokálneho úložiska a nasleduje DDoS útok na stránku, ktorú získala z konfiguračných súborov.

Aplikácia posiela požiadavky na napadnutú stránku aj keď je zatvorená a užívateľ ju nepoužíva. V skúmanom prípade Swing VPN útočil na stránku aerolínie. To, že išlo o DDoS útok je zjavné z toho, že požiadavky smerovali na vyhľadávanie letov. Ak chceme vyhľadať dostupné lety, ide o náročnú úlohu, ktorá pracuje s niekoľkými databázami a vyžaduje si väčšie množstvo zdrojov. Samozrejme, že nejde o žiaden problém, ak to vyhľadávate ako zákazník, no ak v krátkej chvíli server zaplavia milióny požiadaviek, zhodiť ho touto cestou je najjednoduchší spôsob.

Aplikáciu si stiahlo viac ako 5-miliónov užívateľov. To znamená, že za sekundu môže server zahltiť približne 500-tisíc žiadostí. Klobúk dole, ak takýto nápor dokáže menšia stránka ustáť.

Swing VPN aplikacia pouzita na DDOS
Zdroj: lecromee.github.io

Nulové súkromie

Zároveň treba varovať, že Swing VPN neberie ohľad na vaše súkromie. Má síce svoje podmienky, no tie vývojári pridali len preto, aby ich aplikáciu Obchod Play prijal. Počas analýzy experti postrehli, že aplikácia začína posielať vaše osobné dáta už počas toho, ako čítate podmienky o ochrane súkromia. Nielenže kradne a posiela vaše osobné dáta, popri tom sťahuje súbory potrebné na DDoS útok.

Ak máte túto aplikáciu stiahnutú, odporúčame ju okamžite zo smartfónu vymazať a skontrolovať ho prostredníctvom antivírového programu.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close