Один из первых вирусов для DDoS на Android заразил смартфоны в 100 странах

Серия атак началась 2 августа, но внимание исследователей они привлекли лишь 17 августа. Зараженные устройства направляли на определенные сайты мусорный трафик в форме HTTP-запросов в попытке вывести их офлайн. Некоторые из жертв получали предупреждение об атаке перед ее началом с требованием выкупа. Благодаря количеству пострадавших смартфонов и их географии компаниям крайне сложно было защищаться от атак, которые состояли из порядка 20 000 запросов в секунду, пишут AIN.UA.

Количество уникальных IP-адресов, участвовавших в DDoS-атаке

Исследователи быстро выявили, что все браузеры, которые использовались для атаки, идентифицировали себя с помощью 26 английских букв в случайном порядке. Эта улика позволила прийти к выводу, что атаки исходили от вредоносных приложений, установленных на Android-устройствах. Затем удалось определить название приложения — twdlphqg_v1.3.5_apkpure.com.apk.

В итоге, было найдено 300 зараженных приложений. Google заблокировала их в Play Store и удалила с зараженных устройств. «Мы верим, что идентифицировали этот ботнет и приняли меры пока он только начинал расти», — рассказал изданию Джастин Пейн из Cloudflare, участвовавшей в исследовании WireX.

В большинстве случаев приложения маскировались под медиаплееры, сервисы управления файлами или рингтонами. Их запрограммировали работать в фоновом режиме, чтобы атаки можно было проводить даже когда приложения не использовали. Исследователи не называют имена вредоносных приложений. Антивирусные программы для Android определяют их как троян Android Clicker. В полном отчете о WireX также содержаться командные сервера и другие технические индикаторы заражения.

По словам Пейна, WireX — «один из первых и определенно один из крупнейших DDoS-ботнетов, базирующихся на Android».