DressCode

¿Qué es?

DressCode es una botnet de tipo proxy que se enfoca en comprometer dispositivos Android y se utiliza para proporcionar una infraestructura con la que encubrir el tráfico malicioso, facilitar el fraude publicitario y permitir el acceso a redes internas. Está compuesta por dispositivos infectados con su malware homónimo y proporciona a los atacantes una infraestructura de mando y control (C2) con puertas traseras para realizar actividades maliciosas distribuidas.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

Convierte los dispositivos en proxies SOCKS que se controlan desde los servidores de mando y control (C2) para redirigir el tráfico del atacante a través de los dispositivos.
Oculta y disfraza visitas con clics de ratón para realizar fraude publicitario (click-fraud) y generar tráfico falso.
Permite pivotar entre redes internas corporativas y personales (empresa/hogar) a través de los dispositivos y acceder a recursos existentes tras los elementos de seguridad (NAT, firewalls...).
Recibe órdenes remotas para gestionar las conexiones y evitar la detección de los servicios proxy.
Se usa como infraestructura para ataques de denegación de servicio distribuida (DDoS), de envío de malspam y de otras actividades distribuidas con fines maliciosos.
Se mantiene latente (en estado sleep) hasta ser activada desde los servidores de mando y control (C2), con el fin de reducir su detección.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Android.

¿Cómo me infecta?

Esta botnet se distribuye a través de aplicaciones infectadas (juegos, temas, guías y utilidades) publicadas en Google Play y tiendas de terceros que integran el componente malicioso y a través de conexiones de dispositivos en las redes locales en las que están conectados los sistemas infectados.