В магазине приложений Google Play, обнаружена новая программа загруженная более 5 миллионов раз и осуществляющая DDoS-атаки

В магазине приложений Google play обнаружена очередная программа, которая под видом VPN приложения осуществляла DDoS атаки используя ресурсы смартфона. Необычным стало то, что это приложение загрузили более 5 млн. раз пользователи по всему миру. Мобильное приложение Swing VPN разработанное для операционных систем android и ios, по своей сути оказалось ботнетом и выполняет DDoS-атаки для своего хозяина.

Более продвинутые пользователи стали замечать, что с их смартфонов стали появляться необычные запросы. После установки приложения гаджеты пользователей отсылают каждые 10 секунд определённые запросы на веб-сайт. При этом само приложение всячески пытается открыть свои вредоносные действия, чтобы стать менее замеченной для антивирусов и продвинутых пользователей.

Приложение посредством манипуляции ip-адресов устройства производит инициализацию к сетевому Google диску для загрузки дополнительного программного обеспечения, в том числе и рекламы. Когда все файлы для атаки будут готовы, мобильное приложение Swing VPN начинает отправлять запросы на веб-сайт Туркменских авиалиний, каждые 10 секунд.

Во время поиска нужного авиарейса затрачиваться довольно большое количество ресурсов и обращений к серверным базам данных. Дополнительная DDoS атака, должна нагрузить сервера таким образом, чтобы к нему больше невозможно было подключиться. В данный момент приложение уже удалено с Google play маркета, но на июнь 2023 года его загрузили более 5 млн раз, что позволяет совершать DDoS атаку с частотой более 500.000 запросов в секунду.

Каким образом Google смогла проворонить данный ботнет пока непонятно, но это наводит на мысли, что проверка приложений не совершенна и может пропускать вирусы.

Источник: https://lecromee.github.io