Ликвидирован масштабный ботнет из Android-устройств

WireX применялся в волюметрических DDoS-атаках на уровне приложений.

Исследователи безопасности из Akamai, Flashpoint, Cloudflare, Oracle Dyn, RiskIQ и Team Cymru общими усилиями ликвидировали массивный ботнет из Android-устройств WireX. «Зомби-сеть» использовалась для осуществления DDoS-атак на представителей разных отраслей, в том числе гостиничного и игрового бизнеса, порноиндустрии, а также на регистраторов доменных имен.

Компания Google узнала об угрозе несколько дней назад и провела проверку Play Store на наличие вредоносного ПО. В результате из магазина были удалены 300 приложений, использовавшихся киберпреступниками для заражения Android-устройств и объединения их в ботнет. В настоящее время Google удаляет вредоносное ПО с инфицированных гаджетов по всему миру. Точное количество пострадавших устройств не раскрывается.

WireX появился 2 августа 2017 года и оставался незамеченным до 15 августа, пока исследователи не обнаружили, что ботнет использовался в продолжительных DDoS-атаках. В некоторых случаях в атаках участвовали до 70 тыс. IP-адресов в более чем ста странах. По словам экспертов, использование для DDoS-атак такого большого количества зараженных мобильных устройств из стольких стран весьма необычно.

Как сообщается в блоге исследователей, WireX применялся в волюметрических DDoS-атаках на уровне приложений. Генерируемый «зомби-устройствами» трафик в основном представлял собой HTTP GET-запросы от действительных клиентов и браузеров. В некоторых случаях трафик также включал в себя HTTP POST-запросы.