400萬手機被殭屍網路DressCode感染，谷歌下架數百個APP

E安全1月31日訊 2016年，研究人員曝光了一個殭屍網路病毒「DressCode」，被它感染的安卓手機會變成一個中轉監聽站，從受保護的網路中提取敏感信息。當時，谷歌稱將攜帶惡意殭屍代碼的400個 Google Play App 下架，並且採取了「必要手段」保護已感染的用戶。時隔16個月，一名黑客提供證據表明，這個所謂的DressCode殭屍網路仍在活躍，且可能已經感染400萬台設備。

殭屍網路病毒「DressCode」的危害

這種感染帶來了嚴重威脅，因為殭屍代碼會讓手機使用 SOCK 協議，從而直接連接攻擊者的伺服器。攻擊者可以直接通過用戶手機入侵用戶的家庭或公司網路，竊取路由器密碼，檢測電腦漏洞或未加密數據。更糟糕的是，攻擊者的指揮與控制伺服器用於創建連接的編程介面未經加密，無需驗證，這很可能被其他攻擊者利用。時間線

殭屍網路 DressCode 已於2016年8月之前被公開曝光，安全公司 Check Point Software 的研究員曾強調過啟用 SOCKS 協議的惡意軟體具有何種威脅。而一個月後，趨勢科技也報告稱發現了3000個嵌入DressCode的安卓應用，其中有400個曾在Google Play出現直至谷歌將其下架。

2017年10月，殭屍網路病毒 DressCode 被曝光的14個月後，賽門鐵克報告稱在Google Play發現了一批新的惡意應用，這些應用的下載次數已達260萬，當時賽門鐵克將其命名為Sockbot，但該惡意代碼使用與殭屍網路病毒 DressCode 相同的 C&C 伺服器，而且是開放的，未經授權的編程介面，這一點更是與 DressCode 如出一轍。

惡意安卓應用曝光後谷歌的響應效率到底如何？出示 DressCode 殭屍網路仍在活躍的證據的黑客稱已經徹底拿下其 C&C 伺服器，並且發現 C&C 的源代碼是由一個私人 GitHub 賬戶託管。

該黑客暗示稱，儘管安全研究員已在私下反覆通知谷歌，但該惡意軟體內深藏的代碼仍在大量設備上運行。目前，尚不清楚谷歌會否將已感染手機上攜帶 DressCode 和 Sockbot 的應用做遠程刪除。

「行業慣例」是安全公司或受影響的軟體公司通過一個被稱為沉庫（sinkholing）的過程來控制用於運行殭屍網路的網際網路域和伺服器。目前還不清楚 Google 採取什麼措施控制 DressCode，目前C&C 伺服器以及兩個公共 API 仍在活躍。

谷歌新聞發言人在郵件中表示：「我們從2016年開始就保護用戶不受 DressCode 及其變種的危害。我們正持續監控這一惡意軟體家族，會採取合適的措施保護安卓用戶。」但此聲明未提及谷歌是否會用 Sinkholing 技術拿下 C&C 伺服器。

什麼是sinkholing技術？

Sinkholing 技術可以將網路中的數據流量進行有目的的轉發，因此既可以是針對正常的數據流量也可以在發生網路攻擊時作為一種防禦措施。

當一個殭屍網路中的肉雞向伺服器發送數據時，就可以使用 sinkholing 技術將這些數據流量進行有目的的轉發，以此來對殭屍網路進行監控、查找受到影響的域IP地址，最終瓦解殭屍網路的攻擊，讓那些肉雞無法接受命令。政府執法部門可以用這種技術來調查大規模的網路犯罪活動。其實日常生活中，各類互聯網基礎設施運營商和內容分發網路都會使用這種技術來保護自己的網路和用戶免受攻擊，調整網路內的數據流量分布情況。

5000台設備5秒一刷獲取欺詐廣告收益

提供證據的黑客表示，此殭屍的目的是讓被感染手機每秒訪問上千次廣告，生成欺詐性的廣告收益。其原理如下：

攻擊者控制的伺服器運行的大量無頭瀏覽器點擊有廣告的頁面，從而通過流量賺錢。為了瞞過廣告商的虛假流量檢測，伺服器使用 SOCK 代理讓流量走被感染設備，五秒刷一次流量。

該黑客表示拿下 C&C 伺服器以及源代碼後發現，DressCode 需要依靠五個伺服器，而每個伺服器運行1000個線程。所以，它隨時就能使用5000個代理設備，然後每五秒換一次。

該黑客花了幾個月時間搜索源代碼和殭屍手機上的其他私人數據後，估計DressCode殭屍網路至少已經控制了400萬台設備，並估計稱過去幾年這種欺騙性的廣告點擊已獲利2000萬美金（約合人民幣1.27億元）。

Adeco Systems公司與殭屍網路存在關聯

根據 DressCode 殭屍網路的編程介面和 C&C 源代碼，該黑客分析表示，任何控制了Adeco Systems 公司的 adecosystems.com 域名的人都能保留這個殭屍代碼。

安全公司 Lookout 的研究員 Hebeisen 對此做了幾點確認：

該黑客提及的 C&C 伺服器就是 DressCode 和 Sockbot 使用的伺服器，它至少需要兩個公共編程介面，其中一個會在感染的設備上創建 SOCKS 連接。

用於連接的API都託管在屬於 adecosystems.com 的伺服器上，此域名由一個移動服務供應商使用。Hebeisen 還確認第二個界面用於提供用來點擊廣告的用戶代理。

adecosystems.com 伺服器與 DressCode 和 Sockbot 代碼連接的伺服器之間由緊密聯繫。由於Lookout研究員沒有訪問這些伺服器的私密部分，所以無法確認 SOCKS 代理是否與用戶代理的界面相連，無法確定有多少設備向 C&C 報告，也無法確定該殭屍病毒產生了多少收益。

Adeco Systems 官方稱，他們公司與此殭屍病毒無關，並正在調查自己的伺服器為何被用於託管 API 。通過瀏覽器訪問 adecosystems.com，就能截圖查看被感染設備，包括其IP地址和圖像位置。更新鏈接能迅速其他被感染手機的這些細節信息。因為數據未加密，所以任何知道這個鏈接的人都可以創建自己的SOCKS連接。

尚不知道有多少包含DressCode代碼的應用

提供證據的這名黑客還訪問了一個包含硬體識別符、運營商、MAC 地址以及被感染設備 ID 的資料庫，並提供了相應的截圖證明：這其中的許多惡意應用都可在第三方應用市場下載，如 APKPure。研究員 Hebeisen 和這名黑客都無證據表明 Google Play 最近幾個月託管過 DressCode 或 Sockbot 應用。

儘管谷歌稱有能力遠程卸載這些惡意應用，但谷歌或許考慮批評者指出的「這類未經用戶許可的操作是否越界」可能不願意這麼做。即便遠程卸載存在很多麻煩，但考慮到被感染的幾百萬設備可輕易建立 SOCKS 連接，谷歌能不能執行這種操作？

目前，還沒有一份完整的記錄安裝了 DressCode 和 Sockbot 代碼的應用名單。如果你擔心自己的手機被感染，可安裝Check Point，賽門鐵克或 Lookout 的反病毒應用，掃描是否存在惡意App。在安卓機上安裝應用時也應謹慎選擇，盡量從官方渠道下載。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news2026271151.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！