Android-botnet ingezet om CDN’s en content providers aan te vallen

Een botnet van Android apparaten is ingezet om een aantal Content Delivery Netwerken (CDN’s) en content providers aan te vallen. Dit botnet bestaat uit 70.000 tot 100.000 Android apparaten en is inmiddels offline gehaald.

Dit melden onderzoekers van ondermeer Akamai Technologies, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ en Team Cymru. Het botnet wordt WireX genoemd en is opgebouwd uit Android apparaten. Het netwerk is op 17 augustus ontdekt nadat aanvallen werden uitgevoerd op niet nader genoemde CDN’s en content providers.

Sinds 2 augustus actief

De onderzoekers geven aan dat het botnet in ieder geval sinds 2 augustus actief is. Op deze datum werden kleinschalige aanvallen uitgevoerd, die in eerste instantie niet werden opgemerkt. Door in logbestanden te zoeken naar een User-Agent string van 26 karakters wisten de onderzoekers deze aanvallen aan het botnet te koppelen. De onderzoekers vermoeden dat het botnet op dit moment nog in ontwikkeling was of werd opgebouwd.

Op ieder moment bevatte het botnet tenminste 70.000 besmette Android-apparaten, terwijl het botnet op zijn piek uit 100.000 apparaten bestond. Deze apparaten zijn afkomstig uit 100 verschillende landen.

Legitiem ogende Android apps

De Android apparaten zijn besmet via legitiem ogende Android apps die werden aangeboden in Google Play. In veel gevallen zou het gaan om mediaspelers, apps waarmee ringtones kunnen worden gemaakt of tools om opslagruimte te beheren. De aanvallers zijn er dus in geslaagd de beveiligingsmethodes van Google te omzeilen die bedoeld zijn om malware uit de appwinkel te weren. Google heeft inmiddels honderden besmette applicaties verwijderd uit Google Play en is momenteel bezig de applicaties van alle apparaten te verwijderen.