Исследователи обнаружили, что новый Android-зловред под названием MilkyDoor способен использовать удаленное перераспределение портов через SSH-туннели, чтобы маскировать вредоносный трафик и обходить файрвол.

Более 200 вредоносных приложений, содержащих зловред, были обнаружены в официальном магазине Google Play Store. Хотя администраторы оперативно удалили опасные приложения, пользователи уже успели скачать их от 500 тыс. до 1 млн раз.

Проанализировав код зловреда, исследователи пришли к выводу, что MilkyDoor является вариацией уже известного зловреда DressCode, который также способен обходить фильтры в Play Store. Одно большое различие между зловредами состоит в том, что MilkyDoor проникает в корпоративные сети через SSH-туннели, а DressCode полагается на прокси-серверы SOCKS.

В остальном обе вредоносные программы действуют одинаково. Они заражают Android-смартфон, имеющий доступ к корпоративной сети, и через повышение привилегий получают доступ к серверам организации, атакуя инфраструктуру и похищая данные.

Опасность MilkyDoor состоит в использовании зашифрованных SSH-туннелей, которые не мониторятся средствами безопасности и чаще всего априори рассматриваются как безопасный трафик. Таким образом, для пресечения атаки нужно обезвредить зловред еще на устройстве на этапе установки.

Категории: аналитика, вредоносные программы

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *