WireX：Android智能手机组成的DDoS僵尸网络

阿里聚安全小编曾多次报道了官方应用市场出现恶意软件的事件，让大家在下载APP的时候三思而后行。

最近多家安全公司组成的安全研究小组发现了一个新的、传播广泛的僵尸网络，它是由成千上万的Android智能手机组成。



该僵尸网络名为WireX，被杀毒工具检测识别为“Android Clicker”，主要包括运行从谷歌Play商城下载的数百个恶意软件的Android设备，而这些恶意软件被设计来进行大规模应用层DDoS攻击。

来自不同技术公司的安全研究员包括Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru在8月初就发现了一系列的网络攻击行为，并共同打击该僵尸网络。

尽管Android恶意软件的活动十分常见，这一新发现的活动也不是非常复杂。但印象深刻的是多个安全公司，其中一半是竞争对手，他们以互联网社区的整体利益为重，能够分享数据并一起对抗僵尸网络。

WireX僵尸网络在月初被用来发动小规模的DDoS攻击，但是中旬开始，规模逐渐升级。



WireX僵尸网络在8月份月初感染了超过12万Android手机。8月17日，研究员注意到来自超过100个国家，7万多受感染的手机发起了大规模的DDoS攻击。

如果你的网站被DDoS攻击，搜索以下User-Agent字符串来确认是否是WireX僵尸网络：



进一步调查后，安全研究员确认超过300个恶意软件存在于谷歌Play商城上，其中包含WireX恶意代码的APP类型有媒体、视频播放器、手机铃声、存储管理工具等。



就像其他恶意软件，为了躲避谷歌Play的安全检测，WireX恶意软件不会一开始就执行恶意行为。 相反的是，WireX恶意软件会耐心等待来自多个”axclick.store”子域名的命令和控制（C2）指令。

谷歌已经确认并删除了大部分WireX恶意软件，下载这些APP的用户主要来源于俄罗斯，中国和其他亚洲地区。但WireX僵尸网络依然小规模的活跃着。

-----------------------------

文章编译自thehackernews，更多安全类热点信息和知识分享，请关注阿里聚安全的官方博客