2016年，僵尸網(wǎng)絡(luò)病毒“DressCode”被曝光，被它感染的安卓手機會變成一個中轉(zhuǎn)監(jiān)聽站，從受保護的網(wǎng)絡(luò)中提取敏感信息。

當(dāng)時，谷歌稱將攜帶惡意僵尸代碼的400個 Google Play App 下架，并且采取了“必要手段”保護已感染的用戶。時隔16個月，這個所謂的DressCode僵尸網(wǎng)絡(luò)仍在活躍，且可能已經(jīng)感染400萬臺設(shè)備。

這種感染帶來了嚴(yán)重威脅，因為僵尸代碼會讓手機使用 SOCK 協(xié)議，從而直接連接攻擊者的服務(wù)器。攻擊者可以直接通過用戶手機入侵用戶的家庭或公司網(wǎng)絡(luò)，竊取路由器密碼，檢測電腦漏洞或未加密數(shù)據(jù)。更糟糕的是，攻擊者的指揮與控制服務(wù)器用于創(chuàng)建連接的編程接口未經(jīng)加密，無需驗證，這很可能被其他攻擊者利用。Google Play發(fā)現(xiàn)的一批新的惡意應(yīng)用，這些應(yīng)用的下載次數(shù)已達(dá)260萬。

谷歌新聞發(fā)言人表示：“我們從2016年開始就保護用戶不受 DressCode 及其變種的危害。我們正持續(xù)監(jiān)控這一惡意軟件家族，會采取合適的措施保護安卓用戶。”但此聲明未提及谷歌是否會用 Sinkholing 技術(shù)拿下 C&C 服務(wù)器。

Sinkholing 技術(shù)可以將網(wǎng)絡(luò)中的數(shù)據(jù)流量進行有目的的轉(zhuǎn)發(fā)，因此既可以是針對正常的數(shù)據(jù)流量也可以在發(fā)生網(wǎng)絡(luò)攻擊時作為一種防御措施。

當(dāng)一個僵尸網(wǎng)絡(luò)中的肉雞向服務(wù)器發(fā)送數(shù)據(jù)時，就可以使用 sinkholing 技術(shù)將這些數(shù)據(jù)流量進行有目的的轉(zhuǎn)發(fā)，以此來對僵尸網(wǎng)絡(luò)進行監(jiān)控、查找受到影響的域IP地址，最終瓦解僵尸網(wǎng)絡(luò)的攻擊，讓那些肉雞無法接受命令。政府執(zhí)法部門可以用這種技術(shù)來調(diào)查大規(guī)模的網(wǎng)絡(luò)犯罪活動。其實日常生活中，各類互聯(lián)網(wǎng)基礎(chǔ)設(shè)施運營商和內(nèi)容分發(fā)網(wǎng)絡(luò)都會使用這種技術(shù)來保護自己的網(wǎng)絡(luò)和用戶免受攻擊，調(diào)整網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流量分布情況。

根據(jù)已知的證據(jù)顯示此僵尸的目的是讓被感染手機每秒訪問上千次廣告，生成欺詐性的廣告收益。

如果你擔(dān)心自己的手機被 DressCode 感染，可安裝Check Point或 Lookout 的反病毒應(yīng)用，掃描是否存在惡意 App。在安卓機上安裝應(yīng)用時也應(yīng)謹(jǐn)慎選擇，盡量從官方渠道下載。

ice

收藏 海報分享