Зловмисники починають залучати до лав своїх ботнетів новий тип пристроїв – смартфони. Фахівці з кібербезпеки зупинили роботу ботнету WireX, головними пішками в якому були гаджети на базі Android. Цікавості додає те, що ця мережа заражених мобільників була поки що найбільшою та використовувалася для атак типу DDoS.
Тисячі пристроїв на базі ОС Google стали елементами ботнету тоді, коли їхні власники завантажили з Google Play один із 300 заражених додатків. Відразу після цього гаджети почали надсилати сміттєвий трафік на вказані зловмисниками сайти. Коли такого трафіку виявлялося надто багато – сайт-жертва переставав працювати. Саме це є суттю атаки DDoS, яка останніми роками набирає популярність, а у 2016 році фахівці фіксували рекордні за своїми масштабами DDoS-атаки.
У свої найкращі часи ботнет WireX контролював більше 120 тисяч пристроїв у 100 країнах світу. Організатори цієї мережі вимагали від власників сайтів-жертв викуп за припинення DDoS-нападу.
Через те, що DDoS на основі смартфонів був розподілений по всьому світу, власникам веб-сайтів було важко захиститися від нападу. У пікові моменти ботнет бомбардував сервери сайтів 20 тисячами HTTP-запитів на секунду, що виснажувало обчислювальні ресурси. Це може видаватися невеликою кількістю, однак якщо ці запити направити на пошукову сторінку веб-сайту, один такий запит може вимагати багато роботи від сервера.
Щоб здолати ботнет, знадобилися зусилля багатьох інтернет-організацій. Серед них – Akamai, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru.
Складнощів в ідентифікації WireX від звичайних користувачів додавало те, що запити ботнету виглядали звичайно. Виокремити заражені пристрої вдалося, коли аналіз показав, що такі девайси підписані випадковими 26 літерами англійського алфавіту. Саме це наштовхнуло дослідників на здогадку, що атака йде від Android-пристроїв.
Згодом дослідники визначили 300 програм, які містили код ботнету, та передали їх Google, щоб та видалила додатки зі свого Google Play. Одна з таких програм, наприклад, називається twdlphqg_v1.3.5_apkpure.com.apk. У більшості випадків заражені додатки маскувалися під медіаплеєри, файлові менеджери, рингтони.
Шкідливі додатки були налаштовані таким чином, щоб девайси продовжували відправляти HTTP-запити на сайт-жертву, навіть коли додаток згорнули. Як кажуть експерти з кібербезпеки, WireX є одним з перших та одним з найбільших ботнетів на Android для DDoS.