Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

WireX: attacchi DDoS da botnet di dispositivi Android

botnet  denial-of-service  dispositivi mobili  Google  WireX   martedì, 29 agosto 2017

Ricercatori provenienti da numerose società e vendor di sicurezza, tra cui di Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ e Team Cymru, hanno scoperto una botnet, denominata WireX, composta da decine di migliaia di dispositivi Android compromessi.

La botnet WireX è composta principalmente da dispositivi Android su cui sono installate app malevole progettate per generare grandi volumi di traffico in attacchi DDoS coordinati. La collaborazione tra i vari team di ricerca ha permesso, anche con l’aiuto delle vittime e dell’FBI, di identificare il malware responsabile e smantellare la botnet.

Dai dati raccolti dagli analisti risulta che la botnet WireX è stata attiva almeno dal 2 agosto scorso, con un picco negli attacchi a partire dal 17 agosto. Vittime degli attacchi DDoS sono state principalmente Content Delivery Network (reti per la distribuzione di contenuti multimediali) e fornitori di contenuti digitali in diversi paesi.

Gli attacchi sono stati originati da più di 70.000 smartphone Android infetti in più di 100 paesi diversi. Si stima che il totale di dispositivi infetti abbia superato i 120.000 nel momento di picco. Il traffico generato dai nodi della botnet WireX è principalmente di tipo HTTP GET, anche se alcune varianti del malware sono in grado di generare richieste di tipo POST. In altre parole, la botnet produce traffico in tutto e per tutto somigliante a richieste HTTP apparentemente valide provenienti da client e browser Web generici.

Ciò che caratterizza il traffico DDoS di WireX è l’uso, almeno nelle prime fasi dell’attacco, di identificativi User-Agent composti da stringhe di caratteri alfabetici minuscoli casuali, quali ad esempio:

User-Agent: jigpuzbcomkenhvladtwysqfxr
User-Agent: yudjmikcvzoqwsbflghtxpanre
User-Agent: mckvhaflwzbderiysoguxnqtpj
User-Agent: deogjvtynmcxzwfsbahirukqpl
User-Agent: fdmjczoeyarnuqkbgtlivsxhwp
User-Agent: yczfxlrenuqtwmavhojpigkdsb
User-Agent: dnlseufokcgvmajqzpbtrwyxih

Alcune varianti del malware, scoperte successivamente, sono caratterizzate da User-Agent di diversa lunghezza e composizione, tra cui alcune stringhe identificative di noti browser Web.

I ricercatori sono stati in grado di identificare il malware responsabile della creazione di questa botnet in diverse app malevole disponibili per il download diretto in forma di APK sulla rete, ma anche in alcuni casi da store ufficiali, tra cui il Play Store di Google.

Molte delle app identificate sono del tipo media/video player, gestori di suonerie, file manager e app store (alcuni esempi nell’immagine).

Wirex Android apps

Esempi di app infette dal bot WireX

Tutte queste app contengono funzionalità malevole nascoste che non risultano in alcun modo evidenti all’utente. Una volta lanciate, le app si connettono ai server C&C (di solito sottodomini di “axclick[.]store”) da cui ricevono comandi e parametri che utilizzano per lanciare gli attacchi DDoS. Sfruttando alcune caratteristiche del sistema opeartivo Android, queste app riescono ad operare anche in background.

Stando a quanto riportato, Google avrebbe già identificato e rimosso più di 300 app infette da varianti del bot WireX dal suo store ufficiale. Queste app sono state per lo più scaricate in Russia, Cina e altri paesi asiatici. Google sta procedendo altresì a rimuovere automaticamente le app malevoli dai dispositivi mobili con installata una versione di Android che include la funzionalità Google Play Protect

Al momento la maggior parte degli antivirus identifica questa minaccia come il trojan “Android Clicker”, anche se questa campagna non ha niente a che vedere con le frodi basate su clic. È possibile che il codice originale del trojan sia stato modificato dai cyber criminali per trasformarlo in un bot per attacchi DDoS.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Aggiornamento di sicurezza per Google Chrome (21 settembre 2017)

22 settembre 2017

Google ha rilasciato un aggiornamento di sicurezza per la versione 61 del suo browser Chrome per Windows, macOS e Linux. L'aggiornamento risolve diverse vulnerabilità tra cui due di gravità elevata.Leggi tutto

Vulnerabilità in prodotti Cisco (20 settembre 2017)

21 settembre 2017

Cisco ha rilasciato diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti, tra cui tre di gravità elevata in Cisco Small Business Managed Switches, Cisco Email Security Appliance e Cisco Unified Customer Voice Portal.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (19 settembre 2017)

20 settembre 2017

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in iOS, Safari, tvOS, watchOS e Xcode.Leggi tutto