来势汹汹的Android僵尸网络在曝光16个月后依然肆虐

原创不易 请随手点击关注

本文由Rehoo团队Leery原创，无授权禁转！(图片来自网络）

，2016年，研究人员发现了一个僵尸网络，将受感染的Android手机变成了隐蔽的监听站点，可以将敏感数据从受保护的网络中抽出。谷歌当时表示，它删除了安装恶意僵尸网络代码的400个Google Play应用程序，并采取了其他未指定的“必要操作”来保护受感染的用户。当时超过400个恶意应用渗透到Google Play，现在过去大约16个月后，一名黑客提供了证据称所谓的DressCode僵尸网络持续肆虐发展，目前可能渗透400万台设备。这些感染会带来很大的风险，因为它们会导致手机使用SOCKS协议打开与攻击者服务器的直接连接。然后，攻击者可以特殊途径进入手机所属的家庭或企业网络，试图窃取路由器密码并探测连接的计算机是否存在漏洞或不安全的数据。

图片来自网络

更糟的是，攻击者的命令和控制服务器用于建立连接的编程接口是未加密的，不需要验证，这是一个弱点，允许其他攻击者独立地滥用受感染的电话。

移动安全公司Lookout的研究人员Christoph Hebeisen在回顾证据之后说：“由于设备主动打开与C2服务器的连接，所以连接通常会通过防火墙，比如家庭和SMB路由器。Hebeisen继续说道：一旦连接打开，控制另一端的任何人现在都可以通过移动设备连接到设备当前连接的网络。鉴于未经保护的API（黑客）发现，任何拥有该信息的人都可能访问设备和服务，如果其上有恶意应用程序的设备位于网络内部，则该设备和服务应该仅限于这种专用网络。想象一下，用户使用运行这些应用程序的设备在其公司的Wi-Fi上的设备。攻击者现在可以直接访问任何通常由防火墙或IPS（入侵防御系统）保护的资源。

僵尸网络已于2016年8月之前公开发布，安全公司Check Point Software的研究人员发表了短文，强调了SOCKS驱动的恶意软件的风险。一个月后趋势科技报道发现DressCode嵌入了3000个Android应用程序，其中有400个在官方Play市场上可用，直到Google将其删除。

然后在2017年10月僵尸网络曝光14个多月后，赛门铁克报告了一批新的恶意Google Play应用，其下载量高达260万次。虽然赛门铁克将恶意软件Sockbot称为恶意软件，但它使用了与代码相同的C2服务器和公开可用的未经验证的编程接口，以实现点击欺诈的相同目的。

对僵尸网络仍然兴盛的迹象表明了谷歌事件响应的有效性的重要问题，报告称恶意Android应用程序将手机卷入僵尸网络。由声称已彻底入侵C2服务器的人员和托管C2源代码的私人GitHub帐户提供的证据表明，尽管重复的私人通知，隐藏在恶意标题内部的代码仍会继续在大量设备上运行。目前还不清楚Google是否从被感染的手机中删除了DressCode和Sockbot应用程序，并且攻击者设法破坏了一套新的设备，或者Google是否允许手机受到感染。

证据还表明，在16个多月前，一个基础设施研究人员没有被解散，说这个已经运行了五年。行业惯例是安全公司或受影响的软件公司通过一个被称为沉库（sinkholing）的过程来控制用于运行僵尸网络的因特网域和服务器。目前还不清楚Google采取什么措施取消DressCode。目前C2服务器和两个公共API仍然是活跃的。

谷歌发言人在一封电子邮件中写道：“自2016年以来，我们一直在保护我们的用户免受DressCode及其变种的影响。我们一直在监控这个恶意软件家族，并将继续采取适当的行动来帮助保护Android用户。该声明没有回应谷歌是否正在努力打击C2的问题。

图片来自网络

黑客说这个僵尸网络的目的是通过让被感染的电话每秒集体访问数千个广告来产生欺诈性的广告收入。以下是它的工作方式是攻击者控制的服务器运行大量的无头浏览器，点击包含支付佣金进行引荐的广告的网页。为防止广告客户检测到虚假的流量，服务器使用SOCKS代理将流量路由通过受感染的设备，这些设备每五秒钟刷新一次。

黑客表示，他对C2的妥协以及随后对底层源代码的窃取表明，DressCode依赖于在每台服务器上运行1000个线程的五台服务器。因此在任何给定的时刻它使用5000个代理设备，然后只需5秒钟使用5000个新的受感染设备刷新池。

在花了几个月的时间，淘汰僵尸网络中使用的源代码和其他私有数据之后，黑客估计僵尸网络已经（或者至少在某一时刻）有大约400万个设备向其发送报告。黑客引用了300多款Android手机感染手机的详细性能图表，估计该僵尸网络在过去几年里已经产生了2000万美元的欺诈性广告收入。他说编程接口和C2源代码表明，一个或多个控制着adecosystems.com域的人正在积极维护僵尸网络。

Lookout的Hebeisen表示，他能够确认黑客的说法，即C2服务器是DressCode和Sockbot使用的服务器，并且至少需要两个公共编程接口，包括在受感染设备上建立SOCKS连接的接口。Hebeisen证实，这些API位于属于adecosystems.com的服务器上，该服务器是移动服务提供商使用的域名。他还确认，第二个界面用于提供用户代理用于点击欺诈。他还说，他还看到了DressCode和Sockbot代码中引用的adecosystems.com服务器和服务器之间的“强关联”。由于Lookout研究员没有访问服务器的私有部分，

图片来自网络

Adeco Systems的官员表示，他们的公司与僵尸网络没有任何关系，他们正在调查他们的服务器是如何被用来托管API的。通过使用浏览器访问承载API的adecosystems.com链接，可以获取包含其IP地址和地理位置的受感染设备的快照。刷新链接可以迅速为不同的受感染手机提供相同的详细信息。由于数据不受密码保护，所以任何知道链接的人都可以与设备建立自己的SOCKS连接。

黑客还访问了一个数据库，其中包含每个受感染设备的唯一硬件标识符，载体，MAC号码地址和设备ID。他提供了一个与他所描述的一致的截图。许多恶意应用程序（包括许多这样的应用程序）在第三方市场（例如APK）中仍然可用。Hebeisen和黑客都没有表示他们有最近几个月来Google Play的DressCode或Sockbot应用的任何证据。

图片来自网络

虽然Google已经表示能够远程卸载Android设备上的恶意应用程序，但一些监督者认为，这种控制方式特别是没有提前获得最终用户的同意，这里就超越了一条红线。谷歌可能因此不愿意使用它。即使假设远程功能是手足无措，与潜在的数百万设备之间建立SOCKS连接的容易性所构成的重大威胁也可能正是Google使用该工具的异常情况。如果可能，Google还应该采取措施，取消C2服务器和它所依赖的adecosystems.com API。

目前，还没有安装DressCode和Sockbot代码的应用程序列表。认为自己的手机可能受到感染的用户应该安装来自Check Point，Symantec或Lookout的防病毒应用程序，并扫描恶意应用程序。（最初可以免费使用。）为了防止设备首先遭到入侵，人们应该对他们在Android设备上安装的应用程序进行高度选择。他们只能从Play下载应用程序，甚至只能在对应用程序和开发人员进行研究之后才能下载应用程序。