Abbattuta una gigantesca botnet di dispositivi Android

Ago 29, 2017 Marco Schiaffino Malware, News, RSS 3

Era un vero esercito composto da migliaia di device usato dai pirati per portare attacchi DDoS. La botnet smantellata da un’alleanza tra società di sicurezza.

Erano riusciti a mettere in piedi una vera armata di bot controllati a distanza attraverso app infette che gli permettevano di utilizzare le connessioni di smartphone e tablet per portare attacchi DDoS a siti Internet e infrastrutture informatiche.

L’attività del gruppo di cyber-criminali è stata interrotta solo grazie allo sforzo congiunto di un gruppo di società di sicurezza e dell’IT che hanno unito le loro forze per “abbattere” la gigantesca botnet individuando i server Command and Control e mettendoli K.O.

Come riporta Michael Mimoso di Kaspersky, l’azione che ha portato allo smantellamento della botnet WireX ha coinvolto aziende del calibro di Akamai; Cloudflare; Flashpoint; Google; Oracle; RiskIQ e Team Cymru.

Un fronte ampio che ha visto lavorare fianco a fianco anche aziende concorrenti, con lo scopo di eliminare un pericolo altrettanto eccezionale. Secondo i ricercatori che hanno partecipato all’azione, infatti, WireX sarebbe la botnet più grande mai individuata.

A lanciare l’allarme sulla presenza di un soggetto in grado di portare attacchi DDoS di notevole violenza è stata Akamai, che nel mese di agosto ha individuato attacchi che in alcuni momenti coinvolgevano fino a 120.000 IP diversi nel momento massimo di picco, individuato tra il 15 e il 17 agosto.

Il volume di connessioni individuate da Akamai è davvero impressionante. Nei momenti di picco supera i 120.000 IP unici.

Secondo le stime dei ricercatori, in realtà, il numero di dispositivi infetti controllati attraverso WireX era di “soli” 70.000 device. Come puntualizza Mimoso, questa discrepanza tra i numeri può essere dovuta al fatto che quando un telefono passa da una cella all’altra ottiene un nuovo indirizzo IP.

I dati “gonfiati” sarebbero quindi da attribuire al fatto che i proprietari di alcuni dispositivi coinvolti negli attacchi fossero in movimento.

Ma come è stato possibile arrivare a una situazione del genere? Le indagini condotte dal team di ricercatori non lascia dubbi: i pirati erano riusciti a imbottire il Google Store di app infette. La società di Mountain View, secondo quanto riportato da Justin Paine di Cloudflare, tra quelle nel Google Store e quelle in siti di terze parti ne avrebbe individuate (e rimosse) più di 300.

Il fatto che nessuno se ne fosse accorto, invece, si spiega con un cambio di strategia dei pirati informatici. Secondo Allison Nixon di Flashpoint, il malware in questione è una variante del ben conosciuto Android.Clicker, che fino a qualche tempo fa aveva un comportamento completamente diverso.

La maggior parte delle app in questione sono Media Player o semplici programmi per la creazione di suonerie come quello che vediamo in questa immagine.

Android.Clicker, infatti, era il classico malware progettato per procurare guadagni ai cyber-criminali facendo clic su annunci pubblicitari e siti controllati dagli stessi pirati. La sua “mutazione” in uno strumento di attacco tramite DDoS sarebbe quindi qualcosa di recente.

Condividi l'articolo