Smantellata botnet “WireX” basata su Android: i dettagli

 
Ne abbiamo parlato ieri: Android la sicurezza e la frammentazione di mercato, oggi abbiamo un altra conferma di come l’ecosistema Android sia vulnerabile e fragile contro attacchi malware. Infatti un team di ricercatori di alcune compagnie nell’ambito della sicurezza informatica (Akamai, Cloudflare, Google, Oracle Dyn, Risk IQ, Team Cymru) hanno scoperto e smantellato una rete Botnet basata su centinaia di migliaia di dispositivi Android, i quali avevano scaricato una o più app dal Play Store ufficiale.
 
Questa rete a sua volta veniva usata per sferrare attacchi DDOS, si calcola che gli smartphone infetti siano stati oltre 120 mila ed alcuni di questi (circa 70 mila da oltre 100 paesi) sono stati usati per sferrare un attacco nella giornata del 17 agosto.
 
Il grafico mostra l’escalation della botnet e dei dispositivi infettati (Via: The Akamai Blog)
Altro dato significativo è che i ricercatori hanno individuato circa 300 app associate a questa botnet, tra cui alcune apparentemente innocue: queste app, quando avviate, lanciavano dei processi in background i quali rimanevano in “ascolto” per ricevere comandi dal server C&C dell’attaccante.
Alcuni screen delle app coinvolte dalla botnet (Via: The Akamai Blog
Google ha rimosso queste app dal Play Store. Con la nuova funzionalità introdotto da Google, ovvero Google Play Protect, i nuovi dispositivi sono protetti in quanto l’app viene rimossa automaticamente dal sistema. Diverso è invece per gli utenti con versioni di Android più vecchie i quali non integrano ancora questa funzionalità.
 
Il comportamento di attacco di “WireX” è molto simile a Mirai, la quale usava per la maggior parte dispositivi IoT: potenzialmente gli smartphone possono esser usati anche per questo tipo di attacco.
 
Inizialmente “WireX” era concepita per scopi di tipo “Click Fraud” ma ad un certo punto è stata riconvertita per eseguire attacchi DDOS, i quali sono camuffati da regolare traffico web di uno smartphone, rendendone difficile l’individuazione da parte delle compagnie come Cloudflare ecc questo perché “WireX” integra un browser che viene usato per gli attacchi, il quale non fa vedere dati inerenti il tipo di browser ecc all’utente del sistema infetto. Inoltre il traffico web può esser criptato in SSL da parte di “WireX”, proprio come accade nella navigazione web di un sistema Android qualsiasi.
 
Attualmente la botnet è smantellata, rimane attiva in minima parte in alcuni paesi orientali. Rimangono quindi sempre validi i consigli che indicavamo ieri, che sono:
 
Approfondimenti e fonti: 

Articoli Correlati

Come avviare una distro live di KUbuntu per salvare i propri dati

Gli antivirus migliori del 2024

Come rimuovere Google Drive dall’Accesso Rapido