WireX-Botnetz mit Android-Geräten weltweit gestoppt

Ein massives Android-Botnetz, das aus tausenden von Geräten in weiterhin als hundert Ländern bestand, wurde ausgeschaltet. Google hat die infizierten Apps aus dem Play Store entfernt und ebenfalls von den Geräten der Benutzer deinstalliert.


Diese Methode ist auch heute noch bei Kriminellen beliebt gleichwohl haben sich viele von ihnen mittlerweile darauf verlegt » Systeme als Bots zu kapern « die dauerhaft am Internet angeschlossen sind. Also Server, oder neuerdings immer öfter Geräte des Internet der Dinge (IInternet of Things, IoT). Diesem Trend zuwider läuft ein Android-Botnetz namens WireX, das nun von mehreren Sicherheitsfirmen in einer koordinierten Aktion augeschaltet wurde.

Google löscht Apps von den Geräten der Opfer

WireX bestand aus hunderttausenden Android-Bots die betreffend den Monat August hin immer mehr Ziele im Netz angegriffen hatten, womit das Botnetz ins Visier genauso viel mit mehrerer Sicherheitsfirmen geriet. Vor allem Ziele im Hotel- & Gaststättengewerbe wurden angegriffen. Die Kriminellen hatten ihre Bots über knapp dreihundert verschiedene bösartige Android-Apps in Googles Play Store rekrutiert. Google hat die Apps mittlerweile aus dem Play Store und von den Geräten der betroffenen Nutzer entfernt.

Um nicht aufzufallen erfüllten die trojanisierten Apps alle ihren vorgegebenen Zweck. Sie enthielten aber gleichzeitig Code der die Geräte mit einem Command-and-Control-Server verband und im Auftrag der Kriminellen Traffic vom Gerät an vorgegebene Ziele schickte.

Koalition der Konkurrenten

Der Verbund aus Sicherheitsfirmen & Dienstanbietern bestehend aus Akamai, Cloudflare, Flashpoint, Google, Oracle, RiskIQ und dem Team Cymru konnte die Apps des Botnetzes zwar eliminieren, allerdings ist nicht ebendies klar, ebenso wie groß die Armee aus Bots genau war. Das liegt vor allem daran, dass nicht immer alle der Geräte gleichzeitig an Angriffen beteiligt waren, da bei Botnetzen aus Mobilgeräten immer davon ausgegangen werden muss, dass einige gerade keine Netzwerkverbindung haben oder ausgeschaltet sind.

Auch sind die Command-and-Control-Domains in weiten Teilen noch online, laut der beteiligten Firmen wurden allerdings lokale Strafverfolgungsbehörden über die Server informiert. Schätzungen zufolge waren mindestens 70․000 Geräte aus über einhundert Ländern involviert. Akamai konnte über 120․000 verschiedene IPs während der Höhepunkte der Angriffe ausmachen.

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige