В 2016 году исследователи наткнулись на программу -"троянца" DressCode. Работала она на устройствах под Android, а её вредоносная деятельность сводилась к отфильтровке конфиденциальных данных пользователей из защищенных сетей. Оказалось, что в распространении "троянца" поучаствовало около 400 приложений Google Play.
Благо, компания Google отреагировала на угрозу быстро, удалив все зараженные приложения с вредоносным кодом и задействовав необходимые инструменты для защиты пострадавших пользователей.
Однако спустя 16 месяцев после инцидента стало известно, что этот самый DressCode никуда не делся и прекрасно себя чувствует. Специалисты считают, что, невзирая на принятые Google меры, в настоящее время вирус уже поразил целых четыре миллиона устройств. Он заставляет телефоны использовать протокол SOCKS для прямого подключения к серверам злоумышленников, и получает доступ не только к поврежденному устройству, но и к тем сетям, к которым оно подключено.
Представьте, какой ущерб может принести вирус, если им заражён корпоративный смартфон пользователя, подключенный к Wi-Fi работодателя: злоумышленник без проблем получит прямой доступ к любым ресурсам, которые обычно защищены брандмауэром или IPS.
Хуже того, программный интерфейс, используемый сервером и злоумышленниками для установления соединения, является незашифрованным и не требует аутентификации, что позволяет посторонним использовать зараженные гаджеты.
Устройства можно использовать как ботнет, направляя запросы на конкретные IP-адреса. То есть вирус поможет накрутить трафик, сгенерировать клики по баннерам или платным ссылкам или вовсе — организовать DDoS-атаку, пытаясь вывести из строя какие-либо сайты.
Специалисты утверждают, что основная цель ботнета — генерировать доходы от мошеннических рекламных объявлений, заставляя зараженные телефоны получать тысячи уведомлений каждую секунду. Сервер, контролируемый злоумышленником, запускает огромное количество headless-браузеров, которые переходят по рекламным ссылкам и имитируют работу обычной рекламы. Оплата производится по реферальной системе. Чтобы рекламодатели не обнаруживали поддельный трафик, сервер использует прокси SOCKS для маршрутизации трафика через скомпрометированные устройства.
При этом вирус способен совершать кибератаки на онлайн-кошельки и банковские счета, вплоть до замены реквизитов, которыми обмениваются банковские системы. Предварительные подсчеты убытков в связи с работой вируса DressCode — 20 миллионов долларов.
Определить уязвимость почти невозможно. Единственный признак, по которому можно заподозрить наличие "троянца" на устройстве — слишком быстрая разрядка аккумулятора.
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ