W 2016 roku badacze natknęli się na trojana DressCode . Działał na urządzeniach z Androidem, a jego szkodliwa aktywność ograniczała się do filtrowania poufnych danych użytkowników z bezpiecznych sieci. Okazało się, że w dystrybucji trojana wzięło udział około 400 aplikacji Google Play.
Na szczęście Google szybko zareagował na zagrożenie, usuwając wszystkie zainfekowane aplikacje ze złośliwym kodem i korzystając z niezbędnych narzędzi do ochrony dotkniętych użytkowników. Jednak 16 miesięcy po zdarzeniu okazało się, że ten sam DressCode nie zniknął i czuje się świetnie. Eksperci uważają, że pomimo działań podjętych przez Google wirus zainfekował obecnie aż cztery miliony urządzeń . Zmusza telefony do korzystania z protokołu SOCKS w celu bezpośredniego łączenia się z serwerami atakujących i uzyskuje dostęp nie tylko do uszkodzonego urządzenia, ale także do sieci, do których jest podłączone. Wyobraź sobie szkody, jakie może wyrządzić wirus, jeśli zainfekuje firmowy smartfon użytkownika podłączony do sieci Wi-Fi pracodawcy: osoba atakująca może łatwo uzyskać bezpośredni dostęp do wszelkich zasobów, które zwykle są chronione zaporą ogniową lub systemem IPS. Co gorsza, interfejs oprogramowania używany przez serwer i osoby atakujące do nawiązania połączenia jest niezaszyfrowany i nie wymaga uwierzytelniania, co pozwala osobom z zewnątrz korzystać z zainfekowanych gadżetów. Urządzenia mogą służyć jako botnet, kierując żądania na określone adresy IP. Oznacza to, że wirus pomoże zwiększyć ruch, wygenerować kliknięcia banerów lub płatnych linków, a nawet zorganizować atak DDoS, próbując wyłączyć dowolne strony. Eksperci twierdzą, że głównym celem botnetu jest generowanie przychodów z fałszywych reklam poprzez powodowanie otrzymywania przez zainfekowane telefony tysięcy powiadomień co sekundę. Serwer kontrolowany przez atakującego uruchamia ogromną liczbę bezgłowych przeglądarek , które podążają za linkami reklamowymi i imitują działanie zwykłej reklamy. Płatność odbywa się za pomocą systemu poleceń. Aby uniemożliwić reklamodawcom wykrycie fałszywego ruchu, serwer korzysta z serwera proxy SOCKS w celu kierowania ruchu przez zaatakowane urządzenia. Jednocześnie wirus jest w stanie przeprowadzać cyberataki na portfele internetowe i konta bankowe, w tym podmieniać dane wymieniane pomiędzy systemami bankowymi. Wstępne szacunki strat spowodowanych wirusem DressCode wynoszą 20 milionów dolarów. Określenie podatności jest prawie niemożliwe. Jedyną oznaką, po której można podejrzewać obecność trojana na urządzeniu, jest zbyt szybkie rozładowywanie się baterii.
GO TO FULL VERSION