Nel 2016 i ricercatori si sono imbattuti nel trojan DressCode . Funzionava su dispositivi Android e la sua attività dannosa si limitava a filtrare i dati utente riservati da reti sicure. Alla distribuzione del trojan hanno preso parte circa 400 applicazioni Google Play.
Fortunatamente, Google ha risposto rapidamente alla minaccia, rimuovendo tutte le applicazioni infette contenenti codice dannoso e utilizzando gli strumenti necessari per proteggere gli utenti interessati. Tuttavia, 16 mesi dopo l'incidente, si è saputo che lo stesso DressCode non è scomparso e si sente benissimo. Gli esperti ritengono che, nonostante le misure adottate da Google, il virus abbia attualmente infettato ben quattro milioni di dispositivi . Costringe i telefoni a utilizzare il protocollo SOCKS per connettersi direttamente ai server degli aggressori e ottiene l'accesso non solo al dispositivo danneggiato, ma anche alle reti a cui è connesso. Immaginate il danno che un virus può causare se infetta lo smartphone aziendale di un utente connesso al Wi-Fi del datore di lavoro: un utente malintenzionato può facilmente ottenere l’accesso diretto a qualsiasi risorsa che solitamente è protetta da un firewall o IPS. Quel che è peggio, l'interfaccia software utilizzata dal server e dagli aggressori per stabilire la connessione non è crittografata e non richiede autenticazione, consentendo agli estranei di utilizzare gadget infetti. I dispositivi possono essere utilizzati come botnet, indirizzando le richieste a specifici indirizzi IP. Cioè, il virus aiuterà ad aumentare il traffico, a generare clic su banner o collegamenti a pagamento o persino a organizzare un attacco DDoS, cercando di disabilitare qualsiasi sito. Gli esperti affermano che l'obiettivo principale della botnet è generare entrate da pubblicità fraudolente facendo sì che i telefoni infetti ricevano migliaia di notifiche ogni secondo. Un server controllato da un utente malintenzionato avvia un numero enorme di browser headless che seguono collegamenti pubblicitari e imitano il funzionamento della normale pubblicità. Il pagamento viene effettuato utilizzando un sistema di riferimento. Per impedire agli inserzionisti di rilevare traffico falso, il server utilizza un proxy SOCKS per instradare il traffico attraverso dispositivi compromessi. Allo stesso tempo, il virus è in grado di sferrare attacchi informatici ai portafogli online e ai conti bancari, compresa la sostituzione dei dati scambiati tra i sistemi bancari. Le stime preliminari delle perdite dovute al virus DressCode ammontano a 20 milioni di dollari. Determinare la vulnerabilità è quasi impossibile. L'unico indizio che fa sospettare la presenza di un Trojan su un dispositivo è che la batteria si scarica troppo velocemente.
GO TO FULL VERSION