Эксперты Check Point в начале сентября сообщили о появлении новой троянской программы для Android DressCode, которая способна похищать данные с защищенных серверов и работать как прокси для кибератак внутри корпоративных сетей. Как сообщили представители Check Point, в конце августа-начале сентября число приложений, которые содержат DressCode, превысило 400 программ, при этом 40 из них были обнаружены в онлайн-каталоге Google Play Store.
В отчете, подготовленном специалистами Trend Micro, указано, что в последнее время количество Android-приложений, которые содержат эту троянскую программу, существенно увеличилось. Исследователи выявили как минимум 3000 подобных программ в разных магазинах приложений, включая 400 приложений, обнаруженных в Google Play Store. Как утверждают эксперты, троянская программа имеет уникальный для мобильных вредоносных приложений функционал и может нести существенную угрозу для корпоративных сетей.
DressCode осуществляет перехват контроля над зараженным устройством и подключает его к ботнету. Фактически вредоносная программа работает как маяк, который постоянно поддерживает связь с командным сервером хакеров. После того, как оператор ботнета решил, какие вредоносные действия будут выполнены, он передает тот или иной код на устройства.
При проникновении на устройство DressCode сразу выходит на связь с командным сервером. После установления связи сервер переводит троянскую программу в «спящий» режим до тех пор, пока оператору не понадобится конкретное зараженное устройство. Когда вредоносная программа активизируется, инфицированное устройство превращается в SOCKS-прокси, который может применяться для того, чтобы перенаправлять трафик. В результате киберпреступник может заполучить доступ даже к корпоративным сетям, защищенным межсетевым экраном. При отправке вредоносной команды на зараженное устройство хакер может вынудить его провести сканирование сети на предмет наличия полезных данных.
По словам исследователей, до сих пор разработчики DressCode пользовались троянской программой для накручивания кликов, но в случае необходимости она может проводить DDoS-атаки.