Hunderttausende Nutzer betroffen: Google entdeckt Botnetz WireX in 300 Android-Apps

android 

In der letzten Zeit häufen sich die Berichte über Malware und schadhafte Apps im Play Store – allerdings immer im Zusammenhang damit, dass sie von Google erkannt und entfernt worden sind. Jetzt gibt es wieder einen neuen Fall, der noch einmal eine neue Dimension erreicht hat. Insgesamt wurden 300 Apps aus dem Play Store entfernt, die aus den Smartphones der Nutzer ein riesiges Botnetz für DDoS-Angriffe geformt hat.


Angesichts einer Größe von 2 Milliarden (oder 5 Milliarden) Android-Nutzern unter einer Auswahl von über 2 Millionen Apps im Play Store ist es keine große Überraschung dass sich auch einige schwarze Schafe darunter befinden, die dem Nutzer nichts gutes wollen. Doch eine neue Welle hat es jetzt nicht auf die Daten oder das Geld der Nutzer abgesehen, sondern hat deren Smartphones entführt und unbemerkt in ein gigantisches Botnetz eingeführt.

malware-android

Google hat verkündet, dass man in den letzten Tagen wieder 300 Apps aus dem Play Store entfernt hat, die eine ganz besondere Malware enthielten: In ihnen schlummerte der Zugang zum Botnetz „WireX“, dem die Smartphones nah der Installation der Apps beigetreten sind. Diese wurden dann Teil des Botnetzes und haben sich unbemerkt an den DDoS-Angriffen beteiligt. Dabei wurden zwar keine riesigen Datenmengen übertragen, aber dennoch leiden die Datenkontingente der Nutzer natürlich unter einem solchen Vorgehen.

Viel schlimmer aber geht das ganze natürlich für das Angriffsziel aus. Durch eine große Attacke mit mehreren Hunderttausend verschiedenen Geräten und IP-Adressen gingen die Server vieler großer Anbieter in die Knie – wodurch das Botnetz erst entdeckt worden ist. In diesem Fall haben viele große Anbieter zusammengearbeitet um gemeinsam mit Google das Netz und die auslösenden Apps überhaupt erst zu erkennen An der Erkennung waren neben Google auch Akamai, Cloudflare, Oracle und einige weitere Unternehmen beteiligt.

Genauere Angaben zu den Apps gibt es nicht, diese sollen aber einigermaßen sinnvoll gewesen sein und Klingeltöne sowie Speicher verwaltet haben, so dass die Nutzer sie auch installiert lassen.



Once the larger collaborative effort began, the investigation began to unfold rapidly starting with the investigation of historic log information, which revealed a connection between the attacking IPs and something malicious, possibly running on top of the Android operating system

Nur durch die Zusammenarbeit der vielen Parteien wie eben Akamai für die Infrastruktur, Cloudflare für den Abfang von großen Datenmengen und eben Google mit Android und dem Play Store als vermeintliche Quelle konnte das Netzwerk überhaupt entdeckt werden.

Die Apps sind mittlerweile aus dem Play Store entfernt und werden von Google nun auch aus der Ferne von den Smartphones der Nutzer gelöscht. Nur so ist sichergestellt, dass das Botnetz heruntergefahren oder zumindest stark eingeschränkt wird. Es wird aber wohl nicht der letzte Angriff in diese Richtung gewesen sein, denn ein solches Botnetz ist für Algorithmen praktisch nicht zu erkennen und fällt erst dann auf, wenn es erstmals aktiv wird.

In den vergangenen Monaten sind bereits Trojaner im Play Store entdeckt worden die viele Tausend Geräte betroffen haben. Außerdem ist eine Malware auf über 14 Millionen Smartphones entdeckt worden und Google selbst hat einen Staatstrojaner im Play Store entdeckt. Fortsetzung folgt.

» Blogposting bei Cloudflare

[The Verge]




Teile diesen Artikel:

Facebook twitter Pocket Pocket