阿里聚安全小編曾多次報(bào)道了官方應(yīng)用市場(chǎng)出現(xiàn)惡意軟件的事件，讓大家在下載APP的時(shí)候三思而后行。

最近多家安全公司組成的安全研究小組發(fā)現(xiàn)了一個(gè)新的、傳播廣泛的僵尸網(wǎng)絡(luò)，它是由成千上萬的Android智能手機(jī)組成。

該僵尸網(wǎng)絡(luò)名為WireX，被殺毒工具檢測(cè)識(shí)別為“Android Clicker”，主要包括運(yùn)行從谷歌Play商城下載的數(shù)百個(gè)惡意軟件的Android設(shè)備，而這些惡意軟件被設(shè)計(jì)來進(jìn)行大規(guī)模應(yīng)用層DDoS攻擊。

來自不同技術(shù)公司的安全研究員包括Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru在8月初就發(fā)現(xiàn)了一系列的網(wǎng)絡(luò)攻擊行為，并共同打擊該僵尸網(wǎng)絡(luò)。

盡管Android惡意軟件的活動(dòng)十分常見，這一新發(fā)現(xiàn)的活動(dòng)也不是非常復(fù)雜。但印象深刻的是多個(gè)安全公司，其中一半是競(jìng)爭(zhēng)對(duì)手，他們以互聯(lián)網(wǎng)社區(qū)的整體利益為重，能夠分享數(shù)據(jù)并一起對(duì)抗僵尸網(wǎng)絡(luò)。

WireX僵尸網(wǎng)絡(luò)在月初被用來發(fā)動(dòng)小規(guī)模的DDoS攻擊，但是中旬開始，規(guī)模逐漸升級(jí)。

WireX僵尸網(wǎng)絡(luò)在8月份月初感染了超過12萬Android手機(jī)。8月17日，研究員注意到來自超過100個(gè)國(guó)家，7萬多受感染的手機(jī)發(fā)起了大規(guī)模的DDoS攻擊。

如果你的網(wǎng)站被DDoS攻擊，搜索以下User-Agent字符串來確認(rèn)是否是WireX僵尸網(wǎng)絡(luò)：

進(jìn)一步調(diào)查后，安全研究員確認(rèn)超過300個(gè)惡意軟件存在于谷歌Play商城上，其中包含WireX惡意代碼的APP類型有媒體、視頻播放器、手機(jī)鈴聲、存儲(chǔ)管理工具等。

就像其他惡意軟件，為了躲避谷歌Play的安全檢測(cè)，WireX惡意軟件不會(huì)一開始就執(zhí)行惡意行為。 相反的是，WireX惡意軟件會(huì)耐心等待來自多個(gè)”axclick.store”子域名的命令和控制（C2）指令。

谷歌已經(jīng)確認(rèn)并刪除了大部分WireX惡意軟件，下載這些APP的用戶主要來源于俄羅斯，中國(guó)和其他亞洲地區(qū)。但WireX僵尸網(wǎng)絡(luò)依然小規(guī)模的活躍著。

文章編譯自thehackernews，更多安全類熱點(diǎn)信息和知識(shí)分享，請(qǐng)關(guān)注阿里聚安全的官方博客