Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Le minacce peggiori si annidano nei salotti di casa: lo sa bene Google che, dopo anni trascorsi a combattere malware, virus ed exploit, è ben conscia della facilità con cui hacker e sviluppatori di trojan siano in grado di penetrare le difese di Google Play per deporre le proprie uova, silenziose ma infettive. E con WireX la società di Mountain View ha scoperto un nuovo nemico: le botnet, reti di bot controllate a distanza e capaci di lanciare attacchi DDoS un po’ ovunque, causando disservizi e malfunzionamenti. E che, chiaramente, si è espansa grazie ad un virus.
Siete pronti per scoprire cosa occorre sapere su WireX, una delle prime botnet per Android?
Che cos'è WireX
Le botnet sono reti di bot collegate tra loro ed alle dipendenze di un unico server di Comando&Controllo (C&C), ognuna costituita da un dispositivo (PC o smartphone) “zombie”, ossia infettato da un virus che costringe la macchina ad operare secondo gli ordini ricevuti.
Mentre normalmente i ranghi delle botnet sono formati da computer e dispositivi dall’alta potenza di calcolo, nel caso di WireX gli sviluppatori – non ancora individuati – hanno fatto uso del Play Store per diffondere in oltre 300 applicazioni un codice maligno, capace di controllarne la navigazione su Internet per lanciare attacchi DDoS. I primi segni di vita di WireX sono stati registrati attorno al 2 agosto nella forma di piccoli attacchi scoordinati tra loro, segno che il malware era ancora in fase di realizzazione; terminati i test, l’azione più importante ha avuto luogo il 17 agosto, giornata durante la quale numerosi provider, siti web e CDN – noi compresi – hanno ricevuto consistenti attacchi DDoS.
Come avrete modo di scoprire proseguendo nella lettura, WireX è uno dei primi esempi di botnet diffusa su smartphone e da questi costituita; solamente lo sforzo congiunto di Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru e molte altre sigle ha consentito di unire i tasselli del mosaico e interrompere il processo di diffusione della botnet, espellendo le app maligne dai principali store.
Come WireX attacca gli smartphone degli utenti
Come già specificato, WireX (il cui nome deriva da un anagramma delle prime lettere visualizzate in una delle stringhe di comando&controllo) ha iniziato la propria attività il 2 agosto, rilasciando però la propria, distruttiva potenza – o quasi – solamente due settimane dopo, il 17 agosto (arrivando a danneggiare persino i nostri server).
La peculiare struttura di WireX (più di 100.000 indirizzi IP a disposizione, sparsi in oltre 100 Paesi) è stata possibile solamente grazie alla diffusione di 300 applicazioni maligne sul Play Store ed i principali market di applicazioni in circolazione, che provvedevano ad iscrivere lo smartphone ad un network controllato da remoto subito dopo il download. Una collezione di applicazioni infette che è riuscita a mantenersi attiva sino alla settimana scorsa, dopo che Google ha proceduto alla loro rimozione su gentile segnalazione del gruppo di società e organizzazioni che stavano indagando sui disservizi del 2 agosto.
Solitamente app del genere si travestono nella forma di torce, calcolatrici, task killer e app facilmente replicabili e apparentemente insospettabili, ma che nella realtà sono in grado di nascondere le peggiori nefandezze. Curiosamente però l’app considerata come portatrice principale dell’infezione è stata individuata con il nome in codice “twdlphqg_v1.3.5_apkpure.com.apk”, rintracciabile nello store APK Pure e dunque esterna a Google Play, che non ha ancora rivelato i nomi delle applicazioni rimosse.
Il compito di WireX era semplice: lanciare attacchi DDoS nei confronti di obbiettivi designati servendosi dei browser degli smartphone, secondo gli investigatori individuati tramite numero di serie alfabetico di 16 cifre selezionate casualmente. In totale WireX era capace di schierare una potenza di fuoco di 20.000 richieste HTTP al secondo, capaci di mettere in difficoltà i computer ed i server più potenti e di annullare l’operatività dei provider di servizi di portata media.
La micidialità di WireX è segnata anche dalla capacità dei clicker (malware in grado di simulare pressioni sullo schermo) di lavorare in background (quando dunque l’app non era stata aperta direttamente dall’utente) e di nascondere la fonte degli attacchi poiché distribuiti su scala planetaria, specialmente grazie alla credibilità delle visite agli occhi dei sistemi di rilevamento.
Come difendersi da WireX
Nonostante WireX sia stata smantellata, ci sono numerosi elementi che ci portano a ritenere che la presenza di una botnet su Google Play non sia che l’inizio di una nuova generazione di minacce informatiche.
Se infatti in precedenza gli sviluppatori di malware si sono serviti di virus ed exploit per guadagnare denaro tramite richieste di riscatto, visualizzazione intrusiva di annunci pubblicitari o simulazione di click su banner online, con l’avvento dell’Internet of Things le reti botnet finalizzate ad attacchi DDoS saranno preponderanti. La ragione è ovvia: se il corretto funzionamento di una rete di dispositivi dipende dalla loro connettività, l’interruzione della stessa attraverso un attacco che porti ad un sovraccarico dei processi di elaborazione causerebbe l’interruzione di un servizio.
Una minaccia per la quale si è disposti a pagare persino un riscatto, così come testimoniano le richieste avanzate durante gli attacchi del 17 agosto a diversi fornitori di servizi. I nostri consigli rimangono gli stessi: non scaricate applicazioni che non vi appaiono legittime, diffidate degli store online (a meno che non siano quelli giusti) e valutate l’installazione di un antivirus. Questi programmi, nel caso di WireX, individuavano correttamente i malware, nonostante venissero etichettati come “Android clicker” – svelando così la loro vera natura.
Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!
