Riesen-Botnetz aus Android-Geräten gefunden und beseitigt

Am 17. August haben verschiedene Security- und DDoS-Abwehr-Spezialisten festgestellt, dass ein neu aufgetauchtes Botnetz massive DDoS-Angriffe auf Websites ausführte. Anscheinend war es in diesem Fall sehr schwierig, die Herkunft des Botnetzes zu eruieren und Gegenmassnahmen zu finden. Deshalb kooperierten Forscher einer ganzen Reihe von Unternehmen, darunter Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ und Team Cymru bei seiner Analyse.
 
Wie sie nun gestern Dienstag berichtet haben, basierte das von ihnen "WiredX" genannte Botnetz auf gekaperten Android-Smartphones und -Tablets. Zum Zeitpunkt seiner grössten Ausbreitung wurden die Angriffe von rund 120'000 unterschiedlichen IP-Adressen – was wohl der ungefähren Zahl der gekaperten Endgeräte entspricht – ausgeführt.
 
Wie die Forscher im Verlauf einiger Tage herausfanden, versuchte dieses Botnetz nicht wie beispielsweise die "IoT-Botnetze" Mirai oder Bashlight, die Internetanbindung von Sites mit einem gewaltigen Trafficvolumen zu verstopfen. Stattdessen startet WiredX eine grosse Menge von http-Anfragen, um die Server selbst zu überlasten.
 
Ein weiterer Unterschied ist die Verbreitungsmethode. Mirai-verseuchte Geräte beispielsweise suchen selbstständig weitere potentielle Opfer und infizieren sie. Die WiredX-Malware gelangte im Gegensatz dazu durch getürkte Apps, die User aus Googles offiziellem Play Store installierten, auf die Endgeräte. Diese Apps waren beispielsweise als Medienplayer, Speichermanager oder Klingeltöne getarnt. Sie waren so programmiert, dass sie permanent im Hintergrund liefen. Dadurch konnten die Geräte sich auch an DDoS-Attacken beteiligen, wenn der User die App gar nicht gestartet hatte.
 
Im Laufe der Zeit identifizierten die Forscher rund 300 mit WiredX verseuchte Apps. Google warf sie darauf umgehend aus dem Play Store und entfernte die Apps auch von betroffenen Endgeräten.
 
Die Gefahr durch WiredX sollte also mittlerweile vollständig behoben sein. Google muss sich aber wieder einmal die Frage gefallen lassen, ob es wirklich so schwer ist, mit Malware verseuchte Apps aus dem Play Store fernzuhalten. (hjm)