Один из первых вирусов для DDoS на Android заразил смартфоны в 100 странах

2782

Исследователи из CloudFlare, Akamai, Flashpoint, Google, Dyn, RiskIQ и Team Cymru обнаружили и обезвредили новую платформу для проведения массированных DDoS-атак. Она использовала вредоносное ПО, заразившее десятки тысяч Android-смартфонов и планшетов через установку около 300 приложений из магазина Google Play.

Как только пользователь устанавливал одно из приложений, его устройство ставало частью ботнета WireX. На пике он контролировал более 120 000 уникальных IP-адресов в 100 странах, пишет ArsTechica. 

Серия атак началась 2 августа, но внимание исследователей они привлекли лишь 17 августа. Зараженные устройства направляли на определенные сайты мусорный трафик в форме HTTP-запросов в попытке вывести их офлайн. Некоторые из жертв получали предупреждение об атаке перед ее началом с требованием выкупа. Благодаря количеству пострадавших смартфонов и их географии компаниям крайне сложно было защищаться от атак, которые состояли из порядка 20 000 запросов в секунду.

Количество уникальных IP-адресов, участвовавших в DDoS-атаке

Исследователи быстро выявили, что все браузеры, которые использовались для атаки, идентифицировали себя с помощью 26 английских букв в случайном порядке. Эта улика позволила прийти к выводу, что атаки исходили от вредоносных приложений, установленных на Android-устройствах. Затем удалось определить название приложения — twdlphqg_v1.3.5_apkpure.com.apk. 

В итоге, было найдено 300 зараженных приложений. Google заблокировала их в Play Store и удалила с зараженных устройств. «Мы верим, что идентифицировали этот ботнет и приняли меры пока он только начинал расти», — рассказал изданию Джастин Пейн из Cloudflare, участвовавшей в исследовании Wirex.

В большинстве случаев приложения маскировались под медиаплееры, сервисы управления файлами или рингтонами. Их запрограммировали работать в фоновом режиме, чтобы атаки можно было проводить даже когда приложения не использовали. Исследователи не называют имена вредоносных приложений. Антивирусные программы для Android определяют их как троян Android Clicker. В полном отчете о WireX также содержаться командные сервера и другие технические индикаторы заражения.

По словам Пейна, WireX — «один из первых и определенно один из крупнейших DDoS-ботнетов, базирующихся на Android».

Напомним, что на конференции Google I/O поисковик представил сервис Play Protect, чтобы выявлять и блокировать приложения с вредоносным кодом.

Оставить комментарий

Комментарии | 0

Поиск