2016年,僵尸网络病毒“DressCode”被曝光,被它感染的安卓手机会变成一个中转监听站,从受保护的网络中提取敏感信息。

当时,谷歌称将携带恶意僵尸代码的400个 Google Play App 下架,并且采取了“必要手段”保护已感染的用户。时隔16个月,这个所谓的DressCode僵尸网络仍在活跃,且可能已经感染400万台设备。

这种感染带来了严重威胁,因为僵尸代码会让手机使用 SOCK 协议,从而直接连接攻击者的服务器。攻击者可以直接通过用户手机入侵用户的家庭或公司网络,窃取路由器密码,检测电脑漏洞或未加密数据。更糟糕的是,攻击者的指挥与控制服务器用于创建连接的编程接口未经加密,无需验证,这很可能被其他攻击者利用。Google Play发现的一批新的恶意应用,这些应用的下载次数已达260万。

僵尸网络DressCode感染数百万台设备,谷歌下架数百个APP

谷歌新闻发言人表示:“我们从2016年开始就保护用户不受 DressCode 及其变种的危害。我们正持续监控这一恶意软件家族,会采取合适的措施保护安卓用户。”但此声明未提及谷歌是否会用 Sinkholing 技术拿下 C&C 服务器。

Sinkholing 技术可以将网络中的数据流量进行有目的的转发,因此既可以是针对正常的数据流量也可以在发生网络攻击时作为一种防御措施。

当一个僵尸网络中的肉鸡向服务器发送数据时,就可以使用 sinkholing 技术将这些数据流量进行有目的的转发,以此来对僵尸网络进行监控、查找受到影响的域IP地址,最终瓦解僵尸网络的攻击,让那些肉鸡无法接受命令。政府执法部门可以用这种技术来调查大规模的网络犯罪活动。其实日常生活中,各类互联网基础设施运营商和内容分发网络都会使用这种技术来保护自己的网络和用户免受攻击,调整网络内的数据流量分布情况。

根据已知的证据显示此僵尸的目的是让被感染手机每秒访问上千次广告,生成欺诈性的广告收益。

如果你担心自己的手机被 DressCode 感染,可安装Check Point或 Lookout 的反病毒应用,扫描是否存在恶意 App。在安卓机上安装应用时也应谨慎选择,尽量从官方渠道下载。