Сотрудничество между крупными сетями распространения контента и технологическими компаниями (некоторые из них конкурируют друг с другом) помогло остановить крупнейший мобильный ботнет, состоящий из Android-смартфонов.

Ботнет WireX был обнаружен 17 августа после того, как ряд бизнесов гостиничной, игровой и порно-индустрии, а также регистраторов доменных имен, сообщили о масштабных DDoS-атаках на свои сайты.

Эти атаки, как выяснили исследователи из компаний Akamai, Cloudflare, Flashpoint, Google, Oracle, RiskIQ и Team Cymru, исходили от десятков и иногда и сотен тысяч инфицированных Android-устройств, непрерывно отправлявших огромное количество HTTPS-запросов.

Google уже удалила около 300 задействованных в атаках мобильных приложений из сервиса Play, а теперь работает над удалением уже установленных приложений с помощью сервиса Play Protect. По большей части речь идет о медиаплеерах, коллекциях рингтонов и файловых менеджерах с интегрированным вредоносным кодом. После установки они могли работать в фоновом режиме и участвовать в атаках даже если не были запущены пользователем.

«К настоящему моменту ботнет в основном нейтрализован, а большая часть телефонов очищена от вредоносных программ», — говорит представитель Cloudflare Джастин Пэйн.

Центры управления ботнетом пока сохраняют работоспособность и контроль за все еще зараженными устройствами, но правоохранители работают над их обезвреживанием.

В ботнете участвовало как минимум 70 тысяч устройств из более чем сотни стран. По данным Akamai, в некоторые моменты времени в атаках были задействованы до 120 тысяч уникальных IP-адресов. Как отмечает Эллисон Никсон, руководитель исследований по безопасности компании Flashpoint, в пиковые моменты фиксировалось до 21 тысяч запросов в секунду.

«Это приличный объем и поскольку речь идет об HTTPS-запросах, он требует значительных ресурсов на обработку», — говорит Никсон.

Пэйн отмечает, что раньше крупные мобильные ботнеты использовались в основном для «скликивания» рекламы. «Насколько я знаю, это один из крупнейших мобильных ботнетов, нацеленных на проведение атак», — говорит он.

Категории: Вредоносные программы