Масштабный Android-ботнет DressCode по-прежнему активен

image

Теги: троян, ботнет, вредоносное ПО, Android, Google Play, Google, DressCode

В течение 16 месяцев Google Play борется с распространяющими DressCode вредоносными приложениями.  

Осенью 2016 года портал SecurityLab сообщил о появлении Android-трояна DressCode, включавшего зараженные устройства в ботнет. Вредонос похищал конфиденциальную информацию даже из защищенных сетей и распространялся через магазины приложений, в том числе через Google Play. После обнаружения проблемы компания Google заявила об удалении из своего официального магазина 400 приложений, распространявших DressCode.

Как сообщает Ars Technica, спустя 16 месяцев анонимный хакер опубликовал доказательства того, что ботнет DressCode по-прежнему функционирует и в настоящее время включает в себя около 4 млн ботов. Вредонос представляет большую угрозу, поскольку заставляет зараженное устройство использовать SOCKS-протокол для непосредственного подключения к серверу злоумышленников. Операторы ботнета могут с помощью туннелирования проникнуть в домашнюю или корпоративную сеть, в которой находится зараженный смартфон, и похитить учетные данные маршрутизатора, проэксплуатировать уязвимости в компьютерах или украсть хранящуюся на них конфиденциальную информацию.

Используемый злоумышленниками программный интерфейс для установления подключения к C&C-серверу является незашифрованным и не требует авторизации, а значит, использовать зараженные устройства в своих целях может кто угодно, а не только операторы DressCode.

Впервые о ботнете стало известно в августе 2016 года. В октябре 2017 года он все еще оставался активным. По данным Symantec, вредонос (в документах Symantec он значится как Sockbot) был загружен 2,6 млн раз все из того же Google Play. По словам анонимного хакера, DressCode активен по сей день, несмотря на попытки Google удалить вредоносные приложения из своего магазина.

Если верить хакеру, ему удалось взломать C&C-сервер и закрытую учетную запись GitHub с исходным кодом DressCode. Он обнаружил свидетельства того, что спрятанный в приложениях вредоносный код продолжает свою активность на многих зараженных устройствах, несмотря на регулярные уведомления, получаемые Google от исследователей. Непонятно, были ли устройства инфицированы заново после того, как компания удаленно очистила их от DressCode, или Google так и оставила устройства зараженными, удалив вредоносные приложения только из своего магазина.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.