mercoledì 30 agosto 2017

Botnet WireX: smantellata una grossa botnet di dispositivi Android usata per attacchi DDOS


Un numero molto ampio di ricercatori di svariati vendor di sicurezza ha individuato una botnet, chiamata wireX, composta esclusivamente da dispositivi Android compromessi. Tutti i dispositivi che sono finiti ad essere nodi della botnet sono accomunati dal fatto di avere installate app dannose progettate per generare grandi volumi di traffico finalizzati alla costruzione di attacchi DDoS coordinati. 

La rete è stata smantellata da una task force composta da vari team di ricerca, delle vittime stesse e dell'FBI: è bastato individuare il malware responsabile del "reclutamento" nella rete per metterla in down.

Qualche dato in più
La botnet WireX è stata attivata, si presume, intorno al 2 o 3 di Agosto: svariati sono stati gli attacchi DDoS lanciati, ma il picco si è sviluppato a partire dal 17 Agosto in poi. Vittime principali sono stati fornitori di contenuti digitali e Content Delivery Network (reti di distribuzione di contenuti digitali). Gli attacchi sono stati generati da oltre 70.000 smartphone distribuiti in oltre 100 paesi diversi. Il totale massimo di dispositivi attivati nel momento di picco è stato invece di oltre 120.000 dispositivi.Nella foto sotto, Akamai stima il numero di dispositivi componenti la rete in base al numero di IP unici individuati al momento del picco di attacco.


Il traffico generato da questa rete è principalmente di tipo HTTP GET (a parte rare eccezioni): in sunto il traffico di WireX è del tutto confondibile con richieste HTTP valide provenienti da generici browser o client. 

WireX, inoltre, si caratterizza per il fatto che nelle prime fasi di attacco, usa identificativi User-Agent composti da lettere minuscole casuali. Ecco alcuni esempi (fonte blogs.akamai.com)
  • User-Agent: jigpuzbcomkenhvladtwysqfxr
  • User-Agent: yudjmikcvzoqwsbflghtxpanre
  • User-Agent: mckvhaflwzbderiysoguxnqtpj
  • User-Agent: deogjvtynmcxzwfsbahirukqpl
  • User-Agent: fdmjczoeyarnuqkbgtlivsxhwp
  • User-Agent: yczfxlrenuqtwmavhojpigkdsb
  • User-Agent: dnlseufokcgvmajqzpbtrwyxih

Il malware responsabile di WireX
Il malware responsabile della botnet è stato individuato in svariate app dannose disponibili in forma APK in rete, ma anche in alcuni store ufficiali, come il Play Store di google. La maggior parte di queste app erano di tipo media/video player, file manager e app store.
Alcuni siti dove  era possibile scarica le app dannose in formato apk

Alcune delle app dannose presenti negli Store
La maggior parte di queste app nascondevano funzionalità dannose nascoste, ad esempio la connessione a server C&C dal quale ricevevano i comandi e i parametri necessari ad avviare gli attacchi DDoS: nella maggior parte dei casi queste app agivano in background. 

La maggior parte degli antivirus individua questo malware come Android Clicker, anche se questo non ha nulla a che fare con le frodi basate sulla lievitazione dei clic. 

Google Play Store
Google ha avviato una capillare pulizia del suo Play Store individuando e rimuovendo più di 300 app infette. Google sta anche rimuovendo automaticamente le app malevole dai dispositivi con una versione di Android comprendente la funzionalità Google Play Protect, tramite la quale Google procede a verifica automatica della sicurezza delle varie app.

Qualche consiglio
Per stare al riparo da app di questo tipo si consiglia di non scaricare app da store non ufficiali e di valutare attentamente ogni app scaricata da quelli ufficiali: valutare la reputazione di una app di origine dubbia o del suo sviluppatore potrebbe fare la differenza. Oltre a ciò, occorre installare e mantenere aggiornato un buon antivirus. 

Nessun commento:

Posta un commento