Исследователи компании Check Point обнаружили в составе более чем 40 приложений из официального каталога Google Play новое семейство малвари, получившее имя DressCode. Вредонос также распространяется через неофициальные источники. По данным компании, в сторонних каталогах заражено более 400 приложений.
Исследователи сообщают, что DressCode впервые появился в Google Play Store в апреле 2016 года, но оставался незамеченным до недавнего времени. Наиболее успешные версии вредоносных приложений, маскирующихся под игры, были установлены 100000-500000 раз, а суммарное число загрузок варьируется между 500000 и 2000000.
Также как и другой, обнаруженный ранее мобильный троян, Viking Horde, DressCode создает ботнет из зараженных устройств. Вредонос держит постоянную связь с управляющим сервером через SOCKS-прокси, которая устанавливается на пострадавшем девайсе. Исследователи полагают, что боты в основном занимаются скликиванием рекламы, генерируя фальшивый трафик и принося финансовую выгоду своим операторам.
Однако аналитики Check Point предупреждают, что подобный ботнет может использоваться и для других целей, в том числе, для проникновения в сети различных компаний. Так как малварь превращает устройство в SOCKS-прокси, через которую злоумышленники пропускают трафик, атакующие могут использовать эту функцию и для проникновения в "родную" сеть девайса, в том числе защищенную и принадлежащую какой-либо организации.
Для демонстрации потенциала DressCode исследователи записали видео, в котором потенциальная атака на корпоративную сеть описана более подробно.
Также исследователи предупреждают, что еще не все вредоносные приложения были удалены из официального каталога, хотя специалисты Google уже начали "зачистку". Полный список опасных приложений можно найти в блоге компании.
