SPI-CGIL Lega 12 - Nichelino Vinovo Candiolo

      

 

 Logo SPI Nichelino 

MALWARE - WIREX: ATTACCHI DDOS DA BOTNET DI DISPOSITIVI ANDROID

Ricercatori provenienti da numerose società e vendor di sicurezza, hanno scoperto una botnet, denominata WireX, composta da decine di migliaia di dispositivi Android compromessi.

La botnet WireX è composta principalmente da dispositivi Android su cui sono installate app malevole progettate per generare grandi volumi di traffico in attacchi DDoS coordinati. La collaborazione tra i vari team di ricerca ha permesso, anche con l’aiuto delle vittime e dell’FBI, di identificare il malware responsabile e smantellare la botnet.

Dai dati raccolti dagli analisti risulta che la botnet WireX è stata attiva almeno dal 2 agosto scorso, con un picco negli attacchi a partire dal 17 agosto. Vittime degli attacchi DDoS sono state principalmente Content Delivery Network (reti per la distribuzione di contenuti multimediali) e fornitori di contenuti digitali in diversi paesi.

Gli attacchi sono stati originati da più di 70.000 smartphone Android infetti in più di 100 paesi diversi. Si stima che il totale di dispositivi infetti abbia superato i 120.000 nel momento di picco. Il traffico generato dai nodi della botnet WireX è principalmente di tipo HTTPGET, anche se alcune varianti del malware sono in grado di generare richieste di tipo POST. In altre parole, la botnet produce traffico in tutto e per tutto somigliante a richieste HTTP apparentemente valide provenienti da client e browser Web generici.

I ricercatori sono stati in grado di identificare il malware responsabile della creazione di questa botnet in diverse app malevole disponibili per il download diretto in forma di APK sulla rete, ma anche in alcuni casi da store ufficiali, tra cui il Play Store di Google.

Molte delle app identificate sono del tipo media/video player, gestori di suonerie, file manager e app store (alcuni esempi nell’immagine).

Wirex Android apps

Esempi di app infette dal bot WireX

Tutte queste app contengono funzionalità malevole nascoste che non risultano in alcun modo evidenti all’utente. Una volta lanciate, le app si connettono ai server C&C (di solito sottodomini di “axclick[.]store”) da cui ricevono comandi e parametri che utilizzano per lanciare gli attacchi DDoS. Sfruttando alcune caratteristiche del sistema operativo Android, queste app riescono ad operare anche in background.

Stando a quanto riportato, Google avrebbe già identificato e rimosso più di 300 app infette da varianti del bot WireX dal suo storeufficiale. Queste app sono state per lo più scaricate in Russia, Cina e altri paesi asiatici. Google sta procedendo altresì a rimuovere automaticamente le app malevoli dai dispositivi mobili con installata una versione di Android che include la funzionalità Google Play Protect.

Al momento la maggior parte degli antivirus identifica questa minaccia come il trojan “Android Clicker”, anche se questa campagna non ha niente a che vedere con le frodi basate su clic. È possibile che il codice originale del trojan sia stato modificato dai cyber criminali per trasformarlo in un bot per attacchi DDoS.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.