En 2016, des chercheurs sont tombés sur le cheval de Troie DressCode . Il fonctionnait sur les appareils Android et son activité malveillante se limitait au filtrage des données utilisateur confidentielles des réseaux sécurisés. Il s'est avéré qu'environ 400 applications Google Play ont participé à la distribution du cheval de Troie.
Heureusement, Google a réagi rapidement à la menace, en supprimant toutes les applications infectées par du code malveillant et en utilisant les outils nécessaires pour protéger les utilisateurs concernés. Cependant, 16 mois après l'incident, on a appris que ce même DressCode n'avait pas disparu et qu'il se sentait bien. Les experts estiment que, malgré les mesures prises par Google, le virus a actuellement infecté jusqu'à quatre millions d'appareils . Il oblige les téléphones à utiliser le protocole SOCKS pour se connecter directement aux serveurs des attaquants et accède non seulement à l'appareil endommagé, mais également aux réseaux auxquels il est connecté. Imaginez les dégâts qu’un virus peut causer s’il infecte le smartphone professionnel d’un utilisateur connecté au Wi-Fi de l’employeur : un attaquant peut facilement accéder directement à toutes les ressources habituellement protégées par un pare-feu ou un IPS. Pire encore, l'interface logicielle utilisée par le serveur et les attaquants pour établir la connexion n'est pas cryptée et ne nécessite aucune authentification, permettant ainsi à des tiers d'utiliser des gadgets infectés. Les appareils peuvent être utilisés comme un botnet, dirigeant les requêtes vers des adresses IP spécifiques. Autrement dit, le virus contribuera à augmenter le trafic, à générer des clics sur des bannières ou des liens payants, ou même à organiser une attaque DDoS, en essayant de désactiver n'importe quel site. Les experts affirment que l'objectif principal du botnet est de générer des revenus à partir de publicités frauduleuses en faisant en sorte que les téléphones infectés reçoivent des milliers de notifications chaque seconde. Un serveur contrôlé par un attaquant lance un grand nombre de navigateurs sans tête qui suivent les liens publicitaires et imitent le fonctionnement de la publicité classique. Le paiement s'effectue via un système de parrainage. Pour empêcher les annonceurs de détecter un faux trafic, le serveur utilise un proxy SOCKS pour acheminer le trafic via des appareils compromis. Dans le même temps, le virus est capable de mener des cyberattaques sur les portefeuilles en ligne et les comptes bancaires, notamment en remplaçant les informations échangées entre les systèmes bancaires. Les estimations préliminaires des pertes dues au virus DressCode s'élèvent à 20 millions de dollars. Déterminer la vulnérabilité est presque impossible. Le seul signe permettant de soupçonner la présence d’un cheval de Troie sur un appareil est que la batterie se décharge trop rapidement.
GO TO FULL VERSION