數萬台 Android 設備被攻陷，首個Android DDoS惡意程序

近期，研究人員發現一個名為 WireX 的殭屍網路，這是首個 Android DDoS 惡意程序，數萬台 Android 手機淪為肉雞。

一、惡意程序解析

關於WireX Botnet，你需要了解的幾點內容：

(1) 它來自那裡: 活躍於國外應用市場

寄生於Google Player應用市場,常見的軟體名為Network、FilterFile、StorageData、StorageDevice、Analysis,下載過此類應用的國內朋友們應多加註意。

(2) 它的危害是什麼: 手機淪為仍人宰割的肉雞

潛入用戶設備安裝啟動後門模塊,通過用戶的手機DDos攻擊了多個內容分發網路（CDN）和內容提供商(比如Akamai，Cloudflare )。一旦中招以後,你的手機就會成為犯罪團伙的肉雞,犯罪團伙可以利用安裝的後門程序發送DDoS,會導致手機流量消耗可能導致上網變卡。

(3) 影響範圍

100多個國家受影響,根據騰訊反詐騙實驗室大數據顯示目前國內有極少數的用戶不慎下載過WireX Botnet。

(4) 用戶該幹什麼

安裝並開啟手機殺毒軟體即可查殺攔截WireX Botnet。

二、攻擊細節

1、攻擊方式,模擬用戶正常瀏覽操作,對指定目標進行攻擊。

WireX殭屍網路的最早出現在8月2日,經過一段時間的變化以後8月15日開始至少7萬並發IP發送了攻擊，如下圖所示。

此類惡意程序主要通過HTTP GET請求，或 POST請求(就想用戶正常通過瀏覽器訪問一樣)對指定目標進行攻擊。

2、追根溯源

根據8月17日攻擊數據的分析顯示，來自100多個國家的設備參與了當前的殭屍網路，這點很不尋常。攻擊IP的分布情況以及其獨特的User-Agent字元串讓當初調查的那些研究人員開始覺得其他組織可能已經看到或可能會遇到類似的攻擊。於是研究人員與其他組織的同事們互相交流碰到的情況。

這樣一旦展開了更大規模的協同努力，調查便迅速開始展開。通過對歷史日誌信息進行分析，發現了攻擊IP和惡意的連接，可能運行在Android操作系統之上。

在Mirai攻擊之後，信息共享氛圍已經出現了復甦，研究人員互相分享狀況報告，並在必要時協同解決互聯網問題。此外，WannaCry，Petya等全球性活動加強了這一合作的價值。諸如此類的許多信息共享組織完全是業界同行之間的非正式溝通。

3、軟體運行截圖：

4、代碼分析：

啟動誘導用戶激活設備管理器

通過線程55000L後不斷啟動服務Ryiidrxcjmfb和Rnjaivooknnd，通過特定字元串解析該URL

Rnjaivooknnd服務中，載入URL，通過特定字元串解析該URL，獲取模擬點擊盜刷流量的相關參數

DatagramPacket 測試網路連通性

Ryiidrxcjmfb服務中獲取目標URL之後，通過JavaScript模擬點擊可以用來作點擊廣告或者直接對網站進行流量攻擊

四、安全建議

1、手機用戶應通過正規渠道下載手機軟體，不安裝來自不明來源的應用安裝提醒，確保手機應用的綠色安全。

2、養成使用安全軟體來保護手機安全的良好習慣。手機用戶可下載安裝可靠手機安全軟體，定期給手機進行體檢和病毒查殺，移除存在安全風險的應用。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！