Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

WireX: attacchi DDoS da botnet di dispositivi Android

botnet  denial-of-service  dispositivi mobili  Google  WireX   martedì, 29 agosto 2017

Ricercatori provenienti da numerose società e vendor di sicurezza, tra cui di Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ e Team Cymru, hanno scoperto una botnet, denominata WireX, composta da decine di migliaia di dispositivi Android compromessi.

La botnet WireX è composta principalmente da dispositivi Android su cui sono installate app malevole progettate per generare grandi volumi di traffico in attacchi DDoS coordinati. La collaborazione tra i vari team di ricerca ha permesso, anche con l’aiuto delle vittime e dell’FBI, di identificare il malware responsabile e smantellare la botnet.

Dai dati raccolti dagli analisti risulta che la botnet WireX è stata attiva almeno dal 2 agosto scorso, con un picco negli attacchi a partire dal 17 agosto. Vittime degli attacchi DDoS sono state principalmente Content Delivery Network (reti per la distribuzione di contenuti multimediali) e fornitori di contenuti digitali in diversi paesi.

Gli attacchi sono stati originati da più di 70.000 smartphone Android infetti in più di 100 paesi diversi. Si stima che il totale di dispositivi infetti abbia superato i 120.000 nel momento di picco. Il traffico generato dai nodi della botnet WireX è principalmente di tipo HTTP GET, anche se alcune varianti del malware sono in grado di generare richieste di tipo POST. In altre parole, la botnet produce traffico in tutto e per tutto somigliante a richieste HTTP apparentemente valide provenienti da client e browser Web generici.

Ciò che caratterizza il traffico DDoS di WireX è l’uso, almeno nelle prime fasi dell’attacco, di identificativi User-Agent composti da stringhe di caratteri alfabetici minuscoli casuali, quali ad esempio:

User-Agent: jigpuzbcomkenhvladtwysqfxr
User-Agent: yudjmikcvzoqwsbflghtxpanre
User-Agent: mckvhaflwzbderiysoguxnqtpj
User-Agent: deogjvtynmcxzwfsbahirukqpl
User-Agent: fdmjczoeyarnuqkbgtlivsxhwp
User-Agent: yczfxlrenuqtwmavhojpigkdsb
User-Agent: dnlseufokcgvmajqzpbtrwyxih

Alcune varianti del malware, scoperte successivamente, sono caratterizzate da User-Agent di diversa lunghezza e composizione, tra cui alcune stringhe identificative di noti browser Web.

I ricercatori sono stati in grado di identificare il malware responsabile della creazione di questa botnet in diverse app malevole disponibili per il download diretto in forma di APK sulla rete, ma anche in alcuni casi da store ufficiali, tra cui il Play Store di Google.

Molte delle app identificate sono del tipo media/video player, gestori di suonerie, file manager e app store (alcuni esempi nell’immagine).

Wirex Android apps

Esempi di app infette dal bot WireX

Tutte queste app contengono funzionalità malevole nascoste che non risultano in alcun modo evidenti all’utente. Una volta lanciate, le app si connettono ai server C&C (di solito sottodomini di “axclick[.]store”) da cui ricevono comandi e parametri che utilizzano per lanciare gli attacchi DDoS. Sfruttando alcune caratteristiche del sistema opeartivo Android, queste app riescono ad operare anche in background.

Stando a quanto riportato, Google avrebbe già identificato e rimosso più di 300 app infette da varianti del bot WireX dal suo store ufficiale. Queste app sono state per lo più scaricate in Russia, Cina e altri paesi asiatici. Google sta procedendo altresì a rimuovere automaticamente le app malevoli dai dispositivi mobili con installata una versione di Android che include la funzionalità Google Play Protect

Al momento la maggior parte degli antivirus identifica questa minaccia come il trojan “Android Clicker”, anche se questa campagna non ha niente a che vedere con le frodi basate su clic. È possibile che il codice originale del trojan sia stato modificato dai cyber criminali per trasformarlo in un bot per attacchi DDoS.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Malware multi-stadio per Android scoperto su Google Play

17 novembre 2017

I ricercatori di ESET hanno scoperto Android/TrojanDropper.Agent.BKY, un nuovo malware per i dispositivi mobili Android presente in otto app sullo store ufficiale di Google.Leggi tutto

Il malware per Android TOASTAMIGO sfrutta l’attacco Toast Overlay

10 novembre 2017

Gli esperti di sicurezza di Trend Micro hanno rilevato un nuovo malware per Android, battezzato TOASTAMIGO, in grado di sfruttare la tecnica d’attacco Toast Overlay.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2017)

7 novembre 2017

Google ha rilasciato l'aggiornamento di sicurezza di ottobre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto