Det påståtte Android-botnettet markedsfører i kjent stil.

Tvil om påstått Android botnett

Microsoft-ekspert innrømmer han kan ha tatt feil.

Tirsdag denne uken publiserte Microsoft-ekspert Terry Zink et innlegg på sin blogg om kybersikkerhet at han hadde avdekket et botnett av Android-drevne enheter.

Bevisene var spammeldinger sendt gjennom kompromitterte kontoer på e-posttjenesten til Yahoo.

Det utslagsgivende for Zink var at meldingene selv presiserte, i nederste linje, «Sent from Yahoo! Mail on Android». Dessuten hadde de denne «Message-ID»:

Message-ID: <1341147286.19774.androidMobile@web140302.mail.bf1.yahoo.com>

I går publiserte en uavhengig ekspert, Chester Wisniewski fra IT-sikkerhetsselskapet Sophos, et et innlegg på bloggen Naked Security som bekreftet påstandene til Zink.

Men det kom fort en presisering fra Wisniewski, nederst i innlegget:

Oppdatering. Det er viktig å merke seg at vi ikke har den ondsinnede koden [som står bak spamsendingene]. Det er følgelig ikke bekreftet at de stammer fra Android-enheter.

Et nytt innlegg fra Zink, også datert 5. juli, bekrefter at det ikke er bevist at spammeldingene stammer fra Android-enheter. Zink mener likevel at det er den mest sannsynlige forklaringen.

I dag har Wisniewski lagt ut et nytt innlegg, under tittelen Android spam bots? What we know for sure.

Wisniewski viser til at Google har avvist at det dreier seg om et botnett av Android-baserte enheter. Google forklarer at meldingene er forfalsket: De gir seg ut fra å komme fra Android-enheter fordi det da er lettere for dem å unngå spamfiltre.

I dagens innlegg sier Wisniewski at det er gode argumenter mot begge tolkninger av fenomenet. Det er kjent at headere til e-post kan forfalskes. Derimot er det ingen kjente metoder for å gjøre dette med meldinger fra Yahoos e-posttjeneste. Det vil ikke si at det er umulig, men i så fall er det nytt. Dette argumentet taler for eksistensen av at Android-botnett.

På den andre siden mangler selve hovedbeviset: Det er ikke påvist ondsinnet kode som utløser spammeldinger gjennom Android generelt eller gjennom Android-API-et til Yahoo spesielt.

En analyse av den geografiske spredningen av de aktuelle meldingene viser at den er vesensforskjellig fra det man observerer av annen spam sendt gjennom Yahoo. Samtidig virker det som om utvalget av misbrukte kontoer er gjort tilfeldig, også det i strid med kjente botnett. Begge observasjonene taler for eksistensen av et Android-botnett.

Wisniewski mener argumentet om at opphavet til meldingene er forfalsket for å gjøre det lettere å unngå spamfiltre er oppdiktet. Han ser ikke at det er noe som helst motiv for spammere å late som om de sender gjennom Android.

Følgelig heller han til at det faktisk finnes et botnett av Android-enheter, og tror mysteriet snart vil la seg avklare.

Til toppen