Платформа “Андроид”, несмотря на все усилия специалистов, остаётся одной из самых уязвимых для вирусов, считают эксперты Trendmicro.
Один из ярких примеров этой уязвимости – история с вредоносом DressCode, который незаметно для пользователей и экспертов начал триумфальное движение по чужим смартфонам ещё в апреле 2016 года.
Вредоносное ПО особенно опасно тем, что даёт злоумышленникам возможность проникнуть не только к самим смартфонам, но и в корпоративные сети, к которым могут быть привязаны скомпрометированные устройства.
Инфицированные приложения пользователи скачивали, в частности, на Google Play. Остановить продвижение инфицированных приложений крайне трудно потому, что сам вредоносный код занимает лишь небольшую часть приложения и укрывается в самых разных программах. Trend Micro уведомила Google Play об угрозах в сентябре, и они предприняли необходимые шаги для удаления скомпрометированных приложений.
На странице Google Play это приложение установлено 100 000 – 500 000 раз.
Рисунок 2. Структура вредоносного кода
Вот так инфицированный смартфон заражает всю корпоративную сеть.
Казалось бы, вспоминать о вирусе, который обнаружили больше года назад, бессмысленно. Но недавно исследователи представили доказательства того, что ботнет DressCode по-прежнему процветает и захватил уже четыре миллиона устройств.
В дополнение к прежним “возможностям”, программный интерфейс, используемый сервером управления и сервером злоумышленника для установления соединения, не зашифрован и не требует аутентификации, что позволяет другим злоумышленникам самостоятельно управлять заражёнными телефонами.
Как пишет Ars Technica, доказательства процветания давно обнаруженного ботнета заставляют усомниться в эффективности мер, принятых Google после обнаружения опасной программы.
Эксперты установили, что цель ботнета – генерировать доходы от мошеннических рекламных объявлений, заставляя заражённые телефоны коллективно получать тысячи объявлений каждую секунду.