还记得嵌入了几个Google Play应用程序中的维京部落恶意软件,几个月未被发现吗?现在,在40多个应用程序中发现了一个名为DressCode的恶意软件Google Play商店。
IT安全公司Check Point在5月首次报道了维京人部队的存在,他说自4月以来,Google Play商店中已经存在一些恶意应用程序。检查点还显示,除了受感染的Google Play应用程序外,DressCode还嵌入了通过第三方应用商店分发的其他400多个应用程序中。
“其中一些应用程序达到100,000至500,000下载,”细节检查点研究团队在8月31日的博客帖子中。恶意应用程序总共从Google Play商店下载了500,000至200万次。
一个很好的例子是打扮Musa WinxApp于4月6日上传到Google Play,此后已管理100,000至500,000个安装。另一个是打扮公主苹果白。
Check Point解释说,就像Viking Horde一样,DressCode允许黑客在没有所有者知识的情况下控制设备。一组受感染的设备形成了僵尸网络,黑客可以将其用于各种目的。自然,随着其设备池的增长,僵尸网络的功能会扩大。
"Once installed on the device, DressCode initiates communication with its command and control server. Currently, after the initial connection is established, the C&C server orders the malware to 'sleep,' to keep it dormant until there's a use for the infected device," Check Point explains and notes that if the attacker activates the malware, he/she can reroute traffic through the device by turning it to a socks proxy.
IT安全公司怀疑使用代理IP地址的DressCode的僵尸网络通过掩盖广告单击并产生虚假流量来为黑客/攻击者生成收入。但是,检查点指出,关注的最大原因是恶意软件访问内部网络的能力。
鉴于恶意软件可以通过受感染的设备路由流量,因此黑客可以渗透到设备连接到的内部网络。这对于具有BYOD(Bring-your-and Device)实施的组织和企业尤其危险,可以访问内部公司网络服务器。
下面的视频演示了攻击者如何使用DressCode恶意软件从内部网络检索文档和其他文件类型。
