阿里聚安全小编曾多次报道了官方应用市场出现恶意软件的事件,让大家在下载app的时候三思而后行。
最近多家安全公司组成的安全研究小组发现了一个新的、传播广泛的僵尸网络,它是由成千上万的android智能手机组成。
该僵尸网络名为wirex,被杀毒工具检测识别为“android clicker”,主要包括运行从谷歌play商城下载的数百个恶意软件的android设备,而这些恶意软件被设计来进行大规模应用层ddos攻击。
来自不同技术公司的安全研究员包括akamai, cloudflare, flashpoint, google, oracle dyn, riskiq, team cymru在8月初就发现了一系列的网络攻击行为,并共同打击该僵尸网络。
尽管android恶意软件的活动十分常见,这一新发现的活动也不是非常复杂。但印象深刻的是多个安全公司,其中一半是竞争对手,他们以互联网社区的整体利益为重,能够分享数据并一起对抗僵尸网络。
wirex僵尸网络在月初被用来发动小规模的ddos攻击,但是中旬开始,规模逐渐升级。
wirex僵尸网络在8月份月初感染了超过12万android手机。8月17日,研究员注意到来自超过100个国家,7万多受感染的手机发起了大规模的ddos攻击。
如果你的网站被ddos攻击,搜索以下user-agent字符串来确认是否是wirex僵尸网络:
进一步调查后,安全研究员确认超过300个恶意软件存在于谷歌play商城上,其中包含wirex恶意代码的app类型有媒体、视频播放器、手机铃声、存储管理工具等。
就像其他恶意软件,为了躲避谷歌play的安全检测,wirex恶意软件不会一开始就执行恶意行为。 相反的是,wirex恶意软件会耐心等待来自多个”axclick.store”子域名的命令和控制(c2)指令。
谷歌已经确认并删除了大部分wirex恶意软件,下载这些app的用户主要来源于俄罗斯,中国和其他亚洲地区。但wirex僵尸网络依然小规模的活跃着。
-----------------------------