Botnet van 70.000 tot 100.000 Android apparaten offline gehaald

Een botnet van Android apparaten is ingezet om een aantal Content Delivery Netwerken (CDN’s) en content providers aan te vallen. Dit botnet bestaat uit 70.000 tot 100.000 Android apparaten en is inmiddels offline gehaald.

Dit melden onderzoekers van ondermeer Akamai Technologies, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ en Team Cymru. Het botnet wordt WireX genoemd en is opgebouwd uit Android apparaten. Het netwerk is op 17 augustus ontdekt nadat aanvallen werden uitgevoerd op niet nader genoemde CDN’s en content providers.

Sinds 2 augustus actief

De onderzoekers geven aan dat het botnet in ieder geval sinds 2 augustus actief is. Op deze datum werden kleinschalige aanvallen uitgevoerd, die in eerste instantie niet werden opgemerkt. Door in logbestanden te zoeken naar een User-Agent string van 26 karakters wisten de onderzoekers deze aanvallen aan het botnet te koppelen. De onderzoekers vermoeden dat het botnet op dit moment nog in ontwikkeling was of werd opgebouwd.

Op ieder moment bevatte het botnet tenminste 70.000 besmette Android-apparaten, terwijl het botnet op zijn piek uit 100.000 apparaten bestond. Deze apparaten zijn afkomstig uit 100 verschillende landen.

Legitiem ogende Android apps

De Android apparaten zijn besmet via legitiem ogende Android apps die werden aangeboden in Google Play. In veel gevallen zou het gaan om mediaspelers, apps waarmee ringtones kunnen worden gemaakt of tools om opslagruimte te beheren. De aanvallers zijn er dus in geslaagd de beveiligingsmethodes van Google te omzeilen die bedoeld zijn om malware uit de appwinkel te weren. Google heeft inmiddels honderden besmette applicaties verwijderd uit Google Play en is momenteel bezig de applicaties van alle apparaten te verwijderen.

Lees ook
Steeds meer C&C servers voor botnets worden in de cloud gehost

Steeds meer C&C servers voor botnets worden in de cloud gehost

Command & Control (C&C) servers voor botnets worden in toenemende mate in de cloud gehost. Ook is de hoeveelheid C&C infrastructuur die wordt gehost op servers die exclusief voor dit doeleinde worden geregistreerd fors gestegen. Dit blijkt uit het Spamhaus Botnet Threat Report 2017 van Spamhaus Malware Labs. In totaal heeft Spamhaus in...

Nieuw IoT-botnet groeit sneller dan Mirai

Nieuw IoT-botnet groeit sneller dan Mirai

Een nieuw botnet dat bestaat uit Internet of Things apparaten is ontdekt. Onder meer draadloze IP-camera’s van bedrijven als GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys en Synology maken onderdeel uit van het botnet. Hiervoor waarschuwt Check Point Software Technologies. Het beveiligingsbedrijf waarschuwt dat dit nieuwe botnet veel...

Aanvaller achter grote aanval op Deutsche Telekom routers legt bekentenis af

Aanvaller achter grote aanval op Deutsche Telekom routers legt bekentenis af

Een 29-jarige man heeft bekend verantwoordelijk te zijn voor een grootschalige internetstoring waarbij in november 2016 zo’n 900.000 routers van Deutsche Telekom werden getroffen. Door de aanval konden klanten van het bedrijf geen verbinding maken met internet. Dit meldt Bleeping Computer. Bij de aanval werd een aangepaste versie gebruikt van de Mirai-malware....