Sono state ben 800 mila le vittime della botnet Geost, che ha complessivamente rubato vari milioni di euro dagli account dei malcapitati: nonostante la gravità della situazione, la faccenda ha però un rovescio positivo della medaglia. Il merito della scoperta va ai ricercatori dell’Avast Threats Lab e a quelli della Czech Technical University di Praga, che hanno fatto sapere come le scelte poco sagge dei criminali abbiano non solo permesso di analizzare dei campioni del malware concepito per infettare i dispositivi Android, ma anche di osservare nei minimi dettagli come il gruppo agiva. In otto mesi sono state raccolte ben 6200 righe di chat appartenenti a 29 persone coinvolte nell’operazione.
La botnet Geost utilizzava una grossa infrastruttura di terminali Android infettati controllabili remotamente: il traffico SMS veniva monitorato, dirottato e manipolato a piacimento per comunicare direttamente con le banche dei proprietari dei dispositivi. Per fare tutto questo sono stati utilizzati 13 server di comando e controllo per eseguire centinaia di domini web infetti: quindi si trattava di una rete sicuramente non indifferente, ma i cyber-criminali hanno fallito nel semplice compito di criptare la botnet, le proprie chat ed hanno commesso l’errore di fidarsi di “cyber-attackers di terze parti” che utilizzavano metodologie ancora meno sicure.
Interessante il contenuto di una particolare chat, che ha catturato le parole di un “lavoratore” ormai demotivato a cui il collega ha risposto “Alexander, abbiamo iniziato questa cosa assieme e ora la finiremo assieme: per ora sta funzionando e possiamo guadagnarci”; ma A. non ne ha voluto sapere di continuare e il collega ha pacatamente scritto di farsi sentire nel caso cambiasse idea. Il nome ad inizio frase potrebbe avervi già fatto intuire la nazionalità dei cyber-criminali, che coincide con quella degli account bancari colpiti: la Russia.
Se volete scendere nei dettagli della faccenda, potete leggere il paper che verrà presentato alla conferenza londinese Virus Bulletin.