WireX DDoS Botnet: hàng chục ngàn điện thoại Android bị hack

Một nhóm các nhà nghiên cứu an ninh từ một số công ty bảo mật vừa phát hiện ra một botnet mới có mạng lưới rộng với hàng chục ngàn chiếc điện thoại Android.

Có tên WireX và được phát hiện dưới cái tên Android Clicker, mạng lưới botnet này gồm các thiết bị Android bị lây nhiễm đang chạy 1 trong hàng trăm ứng dụng nhiễm độc được cài từ Google Play Store. Nó được thiết kế để thực hiện kiểu DDoS tấn công vào lớp ứng dụng.

Các nhà nghiên cứu đến từ những công ty công nghệ và bảo mật khác nhau, trong đó có Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RishIQ, Team Cymru, đã phát hiện ra 1 chuỗi các vụ tấn công mạng đầu tháng này và cùng phối hợp chiến đấu với chúng.

Dù các vụ malware trên Android cũng khá phổ biến ngày nay nhưng vụ mới phát hiện này phức tạp hơn nhiều. Dù là đối thủ của nhau nhưng các công ty này cũng đã chia sẻ thông tin và cùng nhau hạ botnet này. WireX được dùng để tấn công DDoS đầu tháng này, nhưng từ sau khoảng giữa tháng Tám, các vụ tấn công xuất hiện ngày càng nhiều.

Hiện tại botnet WireX đã lây nhiễm hơn 120.000 máy Android và đạt ngưỡng đỉnh điểm vào đầu tháng này. Vào 17/8, các nhà nghiên cứu đã chú ý tới một vụ tấn công DDoS diện rộng (chủ yếu yêu cầu HTTP GET) bắt nguồn từ hơn 70.000 thiết bị di động bị nhiễm độc từ hơn 100 quốc gia.

Nếu website của bạn đã bị tấn công DDoS, hãy kiểm tra chuỗi User-Agent để xem đã gia nhập botnet WireX chưa.

Kiểm tra User Agent trên website

Sau khi điều tra, các nhà nghiên cứu đã phát hiện hơn 300 ứng dụng nhiễm độc trên cửa hàng chính thức Google Play Store, giả mạo là tập tin đa phương tiện, trình phát video, nhạc chuông, công cụ quản lý bộ nhớ, ứng dụng… có chứa mã độc WireX.

Cũng như nhiều ứng dụng nhiễm độc khác, các ứng dụng nhiễm WireX không thực thi ngay sau khi cài để tránh bị phát hiện. Chúng chờ lệnh từ máy chủ C&C đặt tại nhiều subdomain của axclick.store.

Google đã phát hiện và chặn gần hết 300 ứng dụng này, chủ yếu được tải bởi người dùng ở Nga, Trung Quốc và các nước châu Á. Dù vậy. botnet WireX vẫn còn hoạt động ở quy mô nhỏ.

Nếu thiết bị của bạn đang chạy Android phiên bản mới có tính năng Google Play Protect thì các ứng dụng WireX sẽ tự động được xóa khỏi thiết bị. Đây là tính năng bảo mật mới sử dụng phương pháp machine learning và phân tích tỉ lệ sử dụng ứng dụng để xóa (gỡ cài đặt) ứng dụng nhiễm độc.