Специалистам по безопасности удалось одурачить 8000 пользователей iPhone и смартфонов на базе ОС Android, обманным путем заставив их загрузить приложение для просмотра данных прогноза погоды. После этого все они были объединены в состоящий из смартфонов ботнет.

Дерек Браун и Даниэль Тиджерина из TippingPoint Digital Vaccine Group рассказали о результатах своего эксперимента в ходе специальной презентации на конференции по компьютерной безопасности RSA Conference. По их словам, цель работы заключалась в том, чтобы доказать, насколько легко методы социальной инженерии, изначально придуманные для применения в Сети против пользователей персональных компьютеров, могут быть перенесены на смартфоны с возможностью выхода в Интернет.

Для выполнения поставленной задачи эксперты создали приложение WeatherFist, которое перед выдачей пользователям результатов привязанного к местности прогноза погоды собирало с телефонов данные GPS и номера абонентов.

На официальных сайтах приложений для iPhone и Android выкладывать свое творение исследователи не решились, разместив его на таких сторонних ресурсах, как Cydia и SlideME. В результате на их удочку попались свыше 8000 жертв, по большей части – владельцы "разблокированных” аппаратов.

Помимо этого Браун и Тиджерина разработали более вредоносный вариант того же приложения, который после этого испытали на собственных смартфонах. Эта версия позволила им собирать данные пользователя и логины, а также рассылать спам и публиковать подложные обновления на сайтах социальных сетей. Эксперты считают, что в руках киберпреступников такого рода программы могут стать грозным оружием.