Internet-dreamteam pakt Android-botnet aan
Op 17 augustus lanceerde het tot dan onbekende WireX-botnet een DDoS-aanval op verschillende Content Delivery Networks en content providers. De aanval leek afkomstig vanop Android-toestellen. Enkele dagen geleden merkte Google op dat heel wat applicaties in zijn Play Store geïnfecteerd waren met code voor het WireX-botnet. Sinds de initiële aanval twee weken geleden bundelden onderzoekers van een hele waslijst aan grote partijen hun krachten op de opmars van de malware te stoppen.
Onder andere Google, Akamai, Cloudflare, Flashpoint en Oracle gingen het botnet te lijf. Onderzoekers van alle partijen vormden samen een groep om de onbekende dreiging te stoppen. Aanvankelijk was het niet duidelijk wat er achter WireX schuilde, maar samen ontdekten de onderzoekers dat het botnet actief was op minstens 70.000 verschillende toestellen verspreid over meer dan 100 landen. Dat het botnet zo internationaal verspreid was, is uniek en toont aan dat WireX een heel andere type van aanval vertegenwoordigd. De malware zat verstopt meer dan 300 verschillende apps waaronder spelletjes, bestandsbeheerders en andere ogenschijnlijk veilige apps.
Werkwijze
Na de installatie proberen de apps verbinding te maken met een command and control-server. Van daaruit krijgen ze hun doelwit toegewezen, en beginnen ze met het versturen van HTTP GET-requests. De apps doen zich met andere woorden voor als een legitieme browser, en verzadigen zo met z’n allen de internetverbinding van het doelwit zodat het ontoegankelijk wordt. Google heeft alle geïnfecteerde applicaties intussen uit z’n winkel verwijderd maar wie al malafide apps heeft binnengehaald, heeft ze mogelijks nog op zijn toestel staan.
Dat WireX zo snel ontdekt, ontleed en ontmanteld werd, is volgens de onderzoekers te danken aan de samenwerking tussen alle partijen. “De ontdekkingen waren enkel mogelijk door de open samenwerking tussen DDoS-doelwitten, DDoS-beschermingsbedrijven en beveiligingsbedrijven”, lezen we in een blogpost. “Iedere spelere had een stukje van de puzzel in handen. Zonder bijdragen van iedereen zou dit botnet een mysterie zijn gebleven.”
Het is niet de eerste keer dat organisaties hun verschillen aan de kant schuiven om samen malware aan te pakken, maar het is wel zeldzaam. Sinds WannaCry en Petya is het belangrijker dan ooit om kennis te bundelen om cybercriminelen te loef af te steken. De criminelen zelf worden namelijk steeds inventiever.
Op 17 augustus lanceerde het tot dan onbekende WireX-botnet een DDoS-aanval op verschillende Content Delivery Networks en content providers. De aanval leek afkomstig vanop Android-toestellen. Enkele dagen geleden merkte Google op dat heel wat applicaties in zijn Play Store geïnfecteerd waren met code voor het WireX-botnet. Sinds de initiële aanval twee weken geleden bundelden onderzoekers van een hele waslijst aan grote partijen hun krachten op de opmars van de malware te stoppen.
Onder andere Google, Akamai, Cloudflare, Flashpoint en Oracle gingen het botnet te lijf. Onderzoekers van alle partijen vormden samen een groep om de onbekende dreiging te stoppen. Aanvankelijk was het niet duidelijk wat er achter WireX schuilde, maar samen ontdekten de onderzoekers dat het botnet actief was op minstens 70.000 verschillende toestellen verspreid over meer dan 100 landen. Dat het botnet zo internationaal verspreid was, is uniek en toont aan dat WireX een heel andere type van aanval vertegenwoordigd. De malware zat verstopt meer dan 300 verschillende apps waaronder spelletjes, bestandsbeheerders en andere ogenschijnlijk veilige apps.
Werkwijze
Na de installatie proberen de apps verbinding te maken met een command and control-server. Van daaruit krijgen ze hun doelwit toegewezen, en beginnen ze met het versturen van HTTP GET-requests. De apps doen zich met andere woorden voor als een legitieme browser, en verzadigen zo met z’n allen de internetverbinding van het doelwit zodat het ontoegankelijk wordt. Google heeft alle geïnfecteerde applicaties intussen uit z’n winkel verwijderd maar wie al malafide apps heeft binnengehaald, heeft ze mogelijks nog op zijn toestel staan.
Dat WireX zo snel ontdekt, ontleed en ontmanteld werd, is volgens de onderzoekers te danken aan de samenwerking tussen alle partijen. “De ontdekkingen waren enkel mogelijk door de open samenwerking tussen DDoS-doelwitten, DDoS-beschermingsbedrijven en beveiligingsbedrijven”, lezen we in een blogpost. “Iedere spelere had een stukje van de puzzel in handen. Zonder bijdragen van iedereen zou dit botnet een mysterie zijn gebleven.”
Het is niet de eerste keer dat organisaties hun verschillen aan de kant schuiven om samen malware aan te pakken, maar het is wel zeldzaam. Sinds WannaCry en Petya is het belangrijker dan ooit om kennis te bundelen om cybercriminelen te loef af te steken. De criminelen zelf worden namelijk steeds inventiever.