Ne abbiamo parlato ieri: Android la sicurezza e la frammentazione di mercato, oggi abbiamo un altra conferma di come l’ecosistema Android sia vulnerabile e fragile contro attacchi malware. Infatti un team di ricercatori di alcune compagnie nell’ambito della sicurezza informatica (Akamai, Cloudflare, Google, Oracle Dyn, Risk IQ, Team Cymru) hanno scoperto e smantellato una rete Botnet basata su centinaia di migliaia di dispositivi Android, i quali avevano scaricato una o più app dal Play Store ufficiale.
Questa rete a sua volta veniva usata per sferrare attacchi DDOS, si calcola che gli smartphone infetti siano stati oltre 120 mila ed alcuni di questi (circa 70 mila da oltre 100 paesi) sono stati usati per sferrare un attacco nella giornata del 17 agosto.
| Il grafico mostra l’escalation della botnet e dei dispositivi infettati (Via: The Akamai Blog) |
Altro dato significativo è che i ricercatori hanno individuato circa 300 app associate a questa botnet, tra cui alcune apparentemente innocue: queste app, quando avviate, lanciavano dei processi in background i quali rimanevano in “ascolto” per ricevere comandi dal server C&C dell’attaccante.
| Alcuni screen delle app coinvolte dalla botnet (Via: The Akamai Blog) |
Google ha rimosso queste app dal Play Store. Con la nuova funzionalità introdotto da Google, ovvero Google Play Protect, i nuovi dispositivi sono protetti in quanto l’app viene rimossa automaticamente dal sistema. Diverso è invece per gli utenti con versioni di Android più vecchie i quali non integrano ancora questa funzionalità.
Il comportamento di attacco di “WireX” è molto simile a Mirai, la quale usava per la maggior parte dispositivi IoT: potenzialmente gli smartphone possono esser usati anche per questo tipo di attacco.
Inizialmente “WireX” era concepita per scopi di tipo “Click Fraud” ma ad un certo punto è stata riconvertita per eseguire attacchi DDOS, i quali sono camuffati da regolare traffico web di uno smartphone, rendendone difficile l’individuazione da parte delle compagnie come Cloudflare ecc questo perché “WireX” integra un browser che viene usato per gli attacchi, il quale non fa vedere dati inerenti il tipo di browser ecc all’utente del sistema infetto. Inoltre il traffico web può esser criptato in SSL da parte di “WireX”, proprio come accade nella navigazione web di un sistema Android qualsiasi.
Attualmente la botnet è smantellata, rimane attiva in minima parte in alcuni paesi orientali. Rimangono quindi sempre validi i consigli che indicavamo ieri, che sono:
- scaricare sempre dal Play Store ufficiale
- disabilitare le sorgenti sconosciute: Protezione contro applicazioni dannose – Guida di Google Account
- controllare le recensioni delle app che si vuole scaricare, anche se dallo Store ufficiale
- non aprire MAI allegati email con fantomatiche app o file APK, ancora di più se si tratta di link o collegamenti web: recarsi manualmente nella pagina del servizio e controllare da li eventuali avvisi
- installare un antivirus, come ad esempio Dr Web Antivirus, Eset Antivirus, Kaspersky Antivirus ecc
Non hai capito alcune parole? Scoprine il significato nel nostro glossario
Approfondimenti e fonti: