Attenti a WireX, la botnet di device Android che conduce attacchi DDoS con app infette

Secondo Google e diversi esperti di sicurezza, nei giorni scorsi avrebbe agito una botnet di dispositivi infetti, da 70 mila a 120 mila unità (da oltre 100 paesi coinvolti), che avrebbe asservito i device Android per condurre truffe e attacchi DDoS.

Attenti a WireX, la botnet di device Android che conduce attacchi DDoS con app infette

Dopo il caso della botnet Mirai, la più grande rete di dispositivi infetti al mondo, utilizzata quasi un anno fa per compromettere i DNS di un’azienda di settore, con relative ricadute sull’intera struttura del WWW, si era portati a pensare che solo i computer potessero essere usati allo scopo di condurre attacchi in massa verso servizi, aziende, od organizzazioni: l’ultimo allarme lanciato dagli esperti di sicurezza, però, alza di molto l’asticella dell’attenzione, visto che – per la botnet “WireX”sono stati usati decine di migliaia di device Android.

La scoperta è stata fatta da Akamai Technologies, un’azienda che si occupa di trasferire contenuti digitali tramite internet, secondo la quale una società che utilizzava dei suoi servizi, tutto d’un tratto, è stata oggetto della visita, in pochi secondi, da parte di centinaia di migliaia di IP univoci, andando quindi in sovraccarico, e – poi – offline. Analizzando l’accaduto assieme a Google, a Cloudflare, Flashpoint e al Team Cymru, ci si è resi conto che, in molti dei device Android da cui era partito l’attacco, era attivo in background un servizio che – costituendo una botnet di device compromessi, nota come “WireX” – si occupava di ricevere, da server remoti di controllo e comando, le istruzioni circa la vittima di turno da colpire.

Sembra che la botnet WireX abbia annoverato 70 mila device infetti all’inizio dell’infezione (2 Agosto), e quasi 120 mila nel momento di maggior diffusione della medesima (il 17 Agosto): il numero reale di dispositivi coinvolti a loro insaputa è difficile da accertare, dacché il traffico che questi generano è di tipo “HTTP GET” o “POST”, del tutto indistinguibile da quello reale che viene prodotto dai browser o dai client e, in taluni casi, è protetto dallo standard SSL, usato anche durante la navigazione, quando si comunicano dati sensibili.

In ogni caso, WireX, dotata di dimensioni mondiali con terminali reclutati in oltre 100 nazioni, sarebbe stata costruita, inizialmente, a scopo fraudolento, per generare click su annunci fasulli, all’insaputa dell’utente, e solo in seguito sarebbe stata riconvertita per sortire attacchi DDoS

Il veicolo dell’infezione, che portava i device Android a finire tra le file della botnet WireX, sarebbero sia app provenienti dal Play Store di Android (con buona pace della protezione pro-attiva assicurata da Google Play Protect), sia da app market esterni: in genere, si tratterebbe di tool apparentemente innocui, come le app per le suonerie, i riproduttori multimediali, le app di gestione e ottimizzazione dello smartphone (RAM booster), etc. 

Google, da parte sua, ha comunicato di aver rimosso circa 300 app coinvolte, presenti nel suo Store, ma gli esperti di sicurezza concordano sul fatto che scovare la presenza di quest’infezione digitale sia alquanto difficile, visto che – oltre al genere di traffico generato – il virus dietro tale botnet agirebbe in background, anche quando il device è inutilizzato, in modo da passare inosservato.

Continua a leggere su Fidelity News