還記得嵌入了幾個Google Play應用程序中的維京部落惡意軟件,幾個月未被發現嗎?現在,在40多個應用程序中發現了一個名為DressCode的惡意軟件Google Play商店。
IT安全公司Check Point在5月首次報導了維京人部隊的存在,他說自4月以來,Google Play商店中已經存在一些惡意應用程序。檢查點還顯示,除了受感染的Google Play應用程序外,DressCode還嵌入了通過第三方應用商店分發的其他400多個應用程序中。
“其中一些應用程序達到100,000至500,000下載,”細節檢查點研究團隊在8月31日的博客帖子中。惡意應用程序總共從Google Play商店下載了500,000至200萬次。
一個很好的例子是打扮Musa WinxApp於4月6日上傳到Google Play,此後已管理100,000至500,000個安裝。另一個是打扮公主蘋果白。
Check Point解釋說,就像Viking Horde一樣,DressCode允許黑客在沒有所有者知識的情況下控制設備。一組受感染的設備形成了殭屍網絡,黑客可以將其用於各種目的。自然,隨著其設備池的增長,殭屍網絡的功能會擴大。
"Once installed on the device, DressCode initiates communication with its command and control server. Currently, after the initial connection is established, the C&C server orders the malware to 'sleep,' to keep it dormant until there's a use for the infected device," Check Point explains and notes that if the attacker activates the malware, he/she can reroute traffic through the device by turning it to a socks proxy.
IT安全公司懷疑使用代理IP地址的DressCode的殭屍網絡通過掩蓋廣告單擊並產生虛假流量來為黑客/攻擊者生成收入。但是,檢查點指出,關注的最大原因是惡意軟件訪問內部網絡的能力。
鑑於惡意軟件可以通過受感染的設備路由流量,因此黑客可以滲透到設備連接到的內部網絡。這對於具有BYOD(Bring-your-and Device)實施的組織和企業尤其危險,可以訪問內部公司網絡服務器。
下面的視頻演示了攻擊者如何使用DressCode惡意軟件從內部網絡檢索文檔和其他文件類型。
