來勢洶洶的Android殭屍網路在曝光16個月後依然興盛

「DressCode」構成了一個重大風險，因為它打開了與受感染手機的直接連接。

2016年，研究人員發現了一個殭屍網路，將受感染的Android手機變成了隱蔽的監聽站點，可以將敏感數據從受保護的網路中抽出。谷歌當時表示，它刪除了安裝惡意殭屍網路代碼的400個Google Play應用程序，並採取了其他未指定的「必要操作」來保護受感染的用戶。

現在，大約16個月後，一名黑客提供了證據，稱所謂的DressCode殭屍網路持續蓬勃發展，目前可能奴役400萬台設備。這些感染會帶來很大的風險，因為它們會導致手機使用SOCKS協議打開與攻擊者伺服器的直接連接。然後，攻擊者可以通過隧道進入手機所屬的家庭或企業網路，試圖竊取路由器密碼並探測連接的計算機是否存在漏洞或不安全的數據。

更糟的是，攻擊者的命令和控制伺服器用於建立連接的編程介面是未加密的，不需要驗證，這是一個弱點，允許其他攻擊者獨立地濫用受感染的電話。

移動安全公司Lookout的研究人員Christoph Hebeisen在回顧證據之後說：「由於設備主動打開與C2伺服器的連接，所以連接通常會通過防火牆，比如家庭和SMB路由器。Hebeisen繼續說道：

一旦連接打開，控制另一端的任何人現在都可以通過移動設備連接到設備當前連接的網路。鑒於未經保護的API（黑客）發現，任何擁有該信息的人都可能訪問設備和服務，如果其上有惡意應用程序的設備位於網路內部，則該設備和服務應該僅限於這種專用網路。想像一下，用戶使用運行這些應用程序的設備在其公司的Wi-Fi上的設備。攻擊者現在可以直接訪問任何通常由防火牆或IPS（入侵防禦系統）保護的資源。

殭屍網路已於2016年8月之前公開發布，安全公司Check Point Software的研究人員發表了這篇短文，強調了SOCKS驅動的惡意軟體的風險。一個月後，趨勢科技報道發現DressCode嵌入了3000個Android應用程序，其中有400個在官方Play市場上可用，直到Google將其刪除。

然後在2017年10月 - 殭屍網路曝光14個多月後，賽門鐵克報告了一批新的惡意Google Play應用，其下載量高達260萬次。雖然賽門鐵克將惡意軟體Sockbot稱為惡意軟體，但它使用了與服裝代碼相同的C2伺服器和公開可用的未經驗證的編程介面，以實現點擊欺詐的相同目的。

對殭屍網路仍然興旺的證據提出了谷歌事件響應的有效性的重要問題，報告稱惡意Android應用程序將手機捲入殭屍網路。由聲稱已徹底入侵C2伺服器的人員和託管C2源代碼的私人GitHub帳戶提供的證據表明，儘管重複的私人通知，隱藏在惡意標題內部的代碼仍會繼續在大量設備上運行來自安全研究人員的Google。目前還不清楚Google是否從被感染的手機中刪除了DressCode和Sockbot應用程序，並且攻擊者設法破壞了一套新的設備，或者Google是否允許手機受到感染。

證據還表明，在16個多月前，一個基礎設施研究人員沒有被解散，黑客說這個黑客已經運行了五年。一個常見的行業慣例是安全公司或受影響的軟體公司通過一個被稱為沉庫（sinkholing）的過程來控制用於運行殭屍網路的網際網路域和伺服器。目前還不清楚Google採取什麼措施取消DressCode。在這篇文章發布的時候，C2伺服器和兩個公共API仍然是活躍的。

谷歌發言人在一封電子郵件中寫道：「自2016年以來，我們一直在保護我們的用戶免受DressCode及其變種的影響。我們一直在監控這個惡意軟體家族，並將繼續採取適當的行動來幫助保護Android用戶。該聲明沒有回應谷歌是否正在努力打擊C2的問題。

5,000個無頭瀏覽器

黑客說這個殭屍網路的目的是通過讓被感染的電話每秒集體訪問數千個廣告來產生欺詐性的廣告收入。以下是它的工作方式：攻擊者控制的伺服器運行大量的無頭瀏覽器，點擊包含支付傭金進行引薦的廣告的網頁。為防止廣告客戶檢測到虛假的流量，伺服器使用SOCKS代理將流量路由通過受感染的設備，這些設備每五秒鐘旋轉一次。

黑客表示，他對C2的妥協以及隨後對底層源代碼的竊取表明，DressCode依賴於在每台伺服器上運行1000個線程的五台伺服器。因此，在任何給定的時刻，它使用5000個代理設備，然後只需5秒鐘，然後使用5000個新的受感染設備刷新池。

在花了幾個月的時間，淘汰殭屍網路中使用的源代碼和其他私有數據之後，黑客估計殭屍網路已經（或者至少在某一時刻）有大約400萬個設備向其報告。黑客引用了300多款Android手機感染手機的詳細性能圖表，估計該殭屍網路在過去幾年裡已經產生了2000萬美元的欺詐性廣告收入。他說，編程介面和C2源代碼表明，一個或多個控制著adecosystems.com域的人正在積極維護殭屍網路。

Lookout的Hebeisen表示，他能夠確認黑客的說法，即C2伺服器是DressCode和Sockbot使用的伺服器，並且至少需要兩個公共編程介面，包括在受感染設備上建立SOCKS連接的介面。Hebeisen證實，這些API位於屬於adecosystems.com的伺服器上，該伺服器是移動服務提供商使用的域名。他還確認，第二個界面用於提供用戶代理用於點擊欺詐。（Ars拒絕鏈接到API，以防止進一步濫用它們）。他還說，他還看到了DressCode和Sockbot代碼中引用的adecosystems.com伺服器和伺服器之間的「強關聯」。由於Lookout研究員沒有訪問伺服器的私有部分，

Adeco Systems的官員表示，他們的公司與殭屍網路沒有任何關係，他們正在調查他們的伺服器是如何被用來託管API的。

Hebeisen說：通過使用瀏覽器訪問承載API的adecosystems.com鏈接，可以獲取包含其IP地址和地理位置的受感染設備的快照。刷新鏈接可以迅速為不同的受感染手機提供相同的詳細信息。由於數據不受密碼保護，所以任何知道鏈接的人都可以與設備建立自己的SOCKS連接。

黑客還訪問了一個資料庫，其中包含每個受感染設備的唯一硬體標識符，載體，MAC號碼地址和設備ID。他提供了一個與他所描述的一致的截圖。

許多惡意應用程序（包括許多這樣的應用程序）在第三方市場（例如APK）中仍然可用。Hebeisen和黑客都沒有表示他們有最近幾個月來Google Play已經主持DressCode或Sockbot應用的任何證據。

雖然Google已經表示能夠遠程卸載Android設備上的惡意應用程序，但一些批評者認為，這種控制水平，特別是沒有提前獲得最終用戶的同意，就超越了一條紅線。谷歌可能因此不願意使用它。即使假設遠程功能是手足無措，與潛在的數百萬設備之間建立SOCKS連接的容易性所構成的重大威脅也可能正是Google使用該工具的異常情況。如果可能的話，Google還應該採取措施，取消C2伺服器和它所依賴的adecosystems.com API。

目前，還沒有安裝DressCode和Sockbot代碼的應用程序列表。認為自己的手機可能受到感染的用戶應該安裝來自Check Point，Symantec或Lookout的防病毒應用程序，並掃描惡意應用程序。（最初可以免費使用。）為了防止設備首先遭到入侵，人們應該對他們在Android設備上安裝的應用程序進行高度選擇。他們只能從Play下載應用程序，甚至只能在對應用程序和開發人員進行研究之後才能下載應用程序。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！