WireX: Botnetz mit hunderttausenden Android-Geräten ausgeschaltet
Ein riesiges Android-Botnetz mit Geräten aus über einhundert Ländern wurde lahmgelegt. Google entfernte die trojanisierten Apps aus dem Play Store und deinstallierte diese ebenfalls auf den Geräten der Anwender.
- Fabian A. Scherschel
In der grauen Vorzeit des Internets wurden Distributed-Denial-of-Service-Angriffe (DDoS) hauptsächlich durch gehackte Desktop-Systeme ausgeführt. Diese Methode ist auch heute noch bei Kriminellen beliebt, allerdings haben sich viele von ihnen mittlerweile darauf verlegt, Systeme als Bots zu kapern, die dauerhaft am Internet angeschlossen sind. Also Server, oder neuerdings immer öfter Geräte des Internet der Dinge (IInternet of Things, IoT). Diesem Trend zuwider läuft ein Android-Botnetz namens WireX, das nun von mehreren Sicherheitsfirmen in einer koordinierten Aktion augeschaltet wurde.
Google löscht Apps von den Geräten der Opfer
WireX bestand aus hunderttausenden Android-Bots, die über den Monat August hin immer mehr Ziele im Netz angegriffen hatten, womit das Botnetz ins Visier gleich mehrerer Sicherheitsfirmen geriet. Vor allem Ziele im Hotel- und Gaststättengewerbe wurden angegriffen. Die Kriminellen hatten ihre Bots über knapp dreihundert verschiedene bösartige Android-Apps in Googles Play Store rekrutiert. Google hat die Apps mittlerweile aus dem Play Store und von den Geräten der betroffenen Nutzer entfernt.
Um nicht aufzufallen, erfüllten die trojanisierten Apps alle ihren vorgegebenen Zweck. Sie enthielten aber gleichzeitig Code, der die Geräte mit einem Command-and-Control-Server verband und im Auftrag der Kriminellen Traffic vom Gerät an vorgegebene Ziele schickte.
Koalition der Konkurrenten
Der Verbund aus Sicherheitsfirmen und Dienstanbietern bestehend aus Akamai, Cloudflare, Flashpoint, Google, Oracle, RiskIQ und dem Team Cymru konnte die Apps des Botnetzes zwar eliminieren, allerdings ist nicht genau klar, wie groß die Armee aus Bots genau war. Das liegt vor allem daran, dass nicht immer alle der Geräte gleichzeitig an Angriffen beteiligt waren, da bei Botnetzen aus Mobilgeräten immer davon ausgegangen werden muss, dass einige gerade keine Netzwerkverbindung haben oder ausgeschaltet sind.
Auch sind die Command-and-Control-Domains in weiten Teilen noch online, laut der beteiligten Firmen wurden allerdings lokale Strafverfolgungsbehörden über die Server informiert. Schätzungen zufolge waren mindestens 70.000 Geräte aus über einhundert Ländern involviert. Akamai konnte über 120.000 verschiedene IPs während der Höhepunkte der Angriffe ausmachen. (fab)