3000 mobil appot fertőzött meg a DressCode trójai

A DressCode kártékony program legalább 400 olyan androidos alkalmazást fertőzött meg, amelyek a Google Play webáruházból is letölthetők voltak.
 

A biztonsági szakemberek gyakorta hangsúlyozzák, hogy az Android kompatibilis készülékekre csak a hivatalos, Google Play áruházból célszerű alkalmazásokat beszerezni. Mostanság azonban már azt is hozzáteszik, hogy mivel a Google sem képes minden kártékony appot kiszűrni, ezért a Playen is szükség van a körültekintő és biztonságtudatos böngészésre. Ezt az érvelést sikerült alátámasztaniuk a DressCode terjesztőinek is, akik több száz alkalmazást kompromittáltak.
 
A DressCode először idén tavasszal került a biztonsági kutatók látókörébe. Azonban eddig úgy tudtuk, hogy a nemkívánatos szerzemény összesen 400 alkalmazást fertőzött meg, amelyek közül 40 került ki a Google Playre. Viszont a legutóbbi vizsgálatok ennél sokkal borúsabb képet festenek ugyanis kiderült, hogy a DressCode legalább 3000 különféle app formájában terjed, amelyek közül 400 a Google Play felhasználói számára is elérhetővé vált. A Trend Micro előzőleg már tájékoztatta a Google illetékes szakembereit a feltárt problémáról, így a káros alkalmazások eltávolítása már megkezdődött. Ugyanakkor a többi alkalmazásbolt esetében ez a fajta tisztogatás korántsem biztos, hogy megtörténik, így érdemes óvatosnak lenni. A károkozó kódja egyebek mellett játékokban és teljesítményoptimalizáló szoftverekben is helyet kaphat.  
Célkeresztben a vállalatok

Arról szó sincs, hogy a DressCode az egyéni felhasználók okostelefonjain vagy táblagépein ne tudna károkozásokhoz vezetni. Ugyanakkor ezúttal a vállalatoknak kell szembenézniük több kockázattal. Ennek oka a károkozó működési mechanizmusában keresendő. A DressCode ugyanis a fertőzött készülékeken egy proxy-t hoz létre, amit aztán ugródeszkaként használható vállalati szerverek, erőforrások eléréséhez.
 
Amikor egy fertőzött, kártékony alkalmazás felkerül egy mobil eszközre, akkor egy generált domain név alapján (korábban egy fix IP-cím segítségével) felveszi a kapcsolatot a vezérlőszerverével. Majd egy SOCKS proxy segítségével tulajdonképpen egy olyan csatornát épít ki, amelyen keresztül a támadók egyenesen a belső hálózatban találhatják magukat. Nyilván ehhez az kell, hogy a felhasználó a fertőzött mobilját csatlakoztassa a vállalati hálózathoz. Ez azonban a mai, BYOD (Bring Your Own Device) trendektől harsogó világunkban korántsem egy elképzelhetetlen helyzet.  
Amennyiben minden adott a károkozó működéséhez és kommunikációjához, akkor a támadók a mobilon keresztül szervereket, munkaállomásokat, adatbázisokat, intranetes tartalmakat, IP-kamerákat stb. érhetnek el. Ha pedig például egy routeren sebezhető pontot találnak (ilyen lehet egy nem megváltoztatott gyári jelszó), akkor további hátsó kaput létesíthetnek az adott szervezet IT-infrastruktúráján.
 
A Trend Micro szakemberei megjegyezték, hogy a DressCode hátsó kapu kiépítésén kívül kémkedést és elosztott szolgáltatásmegtagadási támadásokat is elősegíthet.
 
Néhány jó tanács a kockázatok csökkentéséhez:

• Csak legális alkalmazásboltokból telepítsen szoftvereket, és azokból is körültekintően!
• Rendszeresen frissítse az alkalmazásokat!
• Kerülje a készülékek rootolását!
• Ne használjon nem megfelelően védett WiFi hálózatokat!
• Vegyen igénybe VPN szolgáltatásokat!