WireX:Android智慧手機組成的DDoS殭屍網路

聚安全平臺發表於2017-08-29

阿里聚安全小編曾多次報導了官方應用市場出現惡意軟體的事件,讓大家在下載APP的時候三思而後行。

最近多家安全公司組成的安全研究小組發現了一個新的、傳播廣泛的殭屍網路,它是由成千上萬的Android智慧手機組成。




該殭屍網路名為WireX,被防毒工具檢測識別為“Android Clicker”,主要包括執行從谷歌Play商城下載的數百個惡意軟體的Android裝置,而這些惡意軟體被設計來進行大規模應用層DDoS攻擊。

來自不同技術公司的安全研究員包括Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru在8月初就發現了一系列的網路攻擊行為,並共同打擊該殭屍網路。 

儘管Android惡意軟體的活動十分常見,這一新發現的活動也不是非常複雜。但印象深刻的是多個安全公司,其中一半是競爭對手,他們以網際網路社群的整體利益為重,能夠分享資料並一起對抗殭屍網路。

WireX殭屍網路在月初被用來發動小規模的DDoS攻擊,但是中旬開始,規模逐漸升級。




WireX殭屍網路在8月份月初感染了超過12萬Android手機。8月17日,研究員注意到來自超過100個國家,7萬多受感染的手機發起了大規模的DDoS攻擊。

如果你的網站被DDoS攻擊,搜尋以下User-Agent字串來確認是否是WireX殭屍網路:




進一步調查後,安全研究員確認超過300個惡意軟體存在於谷歌Play商城上,其中包含WireX惡意程式碼的APP型別有媒體、視訊播放器、手機鈴聲、儲存管理工具等。 




就像其他惡意軟體,為了躲避谷歌Play的安全檢測,WireX惡意軟體不會一開始就執行惡意行為。 相反的是,WireX惡意軟體會耐心等待來自多個”axclick.store”子域名的命令和控制(C2)指令。

谷歌已經確認並刪除了大部分WireX惡意軟體,下載這些APP的使用者主要來源於俄羅斯,中國和其他亞洲地區。但WireX殭屍網路依然小規模的活躍著。 

—————————–

文章編譯自thehackernews更多安全類熱點資訊和知識分享,請關注阿里聚安全的官方部落格


相關文章