Серия атак началась 2 августа, но внимание исследователей они привлекли лишь 17 августа. Зараженные устройства направляли на определенные сайты мусорный трафик в форме HTTP-запросов в попытке вывести их офлайн. Некоторые из жертв получали предупреждение об атаке перед ее началом с требованием выкупа. Благодаря количеству пострадавших смартфонов и их географии компаниям крайне сложно было защищаться от атак, которые состояли из порядка 20 000 запросов в секунду.
Количество уникальных IP-адресов, участвовавших в DDoS-атаке
Исследователи быстро выявили, что все браузеры, которые использовались для атаки, идентифицировали себя с помощью 26 английских букв в случайном порядке. Эта улика позволила прийти к выводу, что атаки исходили от вредоносных приложений, установленных на Android-устройствах. Затем удалось определить название приложения – twdlphqg_v1.3.5_apkpure.com.apk.
В итоге, было найдено 300 зараженных приложений. Google заблокировала их в Play Store и удалила с зараженных устройств. “Мы верим, что идентифицировали этот ботнет и приняли меры пока он только начинал расти”, – рассказал изданию Джастин Пейн из Cloudflare, участвовавшей в исследовании Wirex.
В большинстве случаев приложения маскировались под медиаплееры, сервисы управления файлами или рингтонами. Их запрограммировали работать в фоновом режиме, чтобы атаки можно было проводить даже когда приложения не использовали. Исследователи не называют имена вредоносных приложений. Антивирусные программы для Android определяют их как троян Android Clicker. В полном отчете о WireX также содержаться командные сервера и другие технические индикаторы заражения.
По словам Пейна, WireX – “один из первых и определенно один из крупнейших DDoS-ботнетов, базирующихся на Android”.
Напомним, что на конференции Google I/O поисковик представил сервис Play Protect, чтобы выявлять и блокировать приложения с вредоносным кодом.
