En 2016, los investigadores tropezaron con el troyano DressCode . Funcionó en dispositivos Android y su actividad maliciosa se limitó a filtrar datos confidenciales de los usuarios de redes seguras. Resultó que en la distribución del troyano participaron unas 400 aplicaciones de Google Play.
Afortunadamente, Google respondió rápidamente a la amenaza, eliminando todas las aplicaciones infectadas con código malicioso y utilizando las herramientas necesarias para proteger a los usuarios afectados. Sin embargo, 16 meses después del incidente, se supo que este mismo DressCode no ha desaparecido y se siente muy bien. Los expertos creen que, a pesar de las medidas tomadas por Google, el virus ha infectado actualmente hasta cuatro millones de dispositivos . Obliga a los teléfonos a utilizar el protocolo SOCKS para conectarse directamente a los servidores de los atacantes y obtiene acceso no sólo al dispositivo dañado, sino también a las redes a las que está conectado. Imagine el daño que puede causar un virus si infecta el teléfono inteligente corporativo de un usuario conectado a la red Wi-Fi del empleador: un atacante puede obtener fácilmente acceso directo a cualquier recurso que normalmente esté protegido por un firewall o IPS. Peor aún, la interfaz de software utilizada por el servidor y los atacantes para establecer la conexión no está cifrada y no requiere autenticación, lo que permite a personas ajenas utilizar dispositivos infectados. Los dispositivos se pueden utilizar como una botnet, dirigiendo solicitudes a direcciones IP específicas. Es decir, el virus ayudará a aumentar el tráfico, generar clics en banners o enlaces pagos, o incluso organizar un ataque DDoS, intentando desactivar cualquier sitio. Los expertos dicen que el objetivo principal de la botnet es generar ingresos a partir de anuncios fraudulentos haciendo que los teléfonos infectados reciban miles de notificaciones cada segundo. Un servidor controlado por un atacante inicia una gran cantidad de navegadores sin cabeza que siguen enlaces publicitarios e imitan el funcionamiento de la publicidad normal. El pago se realiza mediante un sistema de referencia. Para evitar que los anunciantes detecten tráfico falso, el servidor utiliza un proxy SOCKS para enrutar el tráfico a través de dispositivos comprometidos. Al mismo tiempo, el virus es capaz de realizar ciberataques a carteras online y cuentas bancarias, incluida la sustitución de los datos intercambiados entre sistemas bancarios. Las estimaciones preliminares de pérdidas debido al virus DressCode son de 20 millones de dólares. Determinar la vulnerabilidad es casi imposible. El único signo que permite sospechar la presencia de un troyano en un dispositivo es que la batería se agote demasiado rápido.
GO TO FULL VERSION