世界100か国で少なくとも14万台のAndroidデバイスが乗っ取られ、大規模なDDoS攻撃に加担するという衝撃の事件が発生しました。不正行為を行う「WireX」というボットネットが仕込んだアプリをダウンロードしたユーザーのデバイスは、知らぬ間にこの攻撃を行う側になっていたということです。
米CloudFlare社によると、感染源となるアプリは動画や音楽を再生するプレイヤーや着メロなど、誰でも使えるツール系の無料アプリでした。GoogleはアプリストアGoogle Playに公開されていた約300種類の「WireX」アプリを削除する手続きを開始し、アンチウィルスソフトはこのアプリをマルウェアとして認識する手配をしたとのことです。
世界規模のDDoS攻撃が増えたのは2017年8月初頭頃からで、多くの米CloudFlare社やAkamai社を筆頭としたコンテンツ配信ネットワーク(CDN)各社を悩ませていました。分かっているのはAndroid端末であるということだけ。
CDN各社は連携してこの世界規模のボットネット被害を食い止めるためコンソーシアムを結成。Akamai・Cloudflare・Flashpoint・RiskIQの各社が共同で公開した記事等によると、2017年8月15日頃から継続的に攻撃が検出され、ピークである8月17日には世界100か国で14万台のAndroidデバイスが感染したとみられるとのことです。
正常なアプリに見えるWireXの驚異
最初に発見された「WireX」が仕掛けられたAndroidアプリケーション「twdlphqg_v1.3.5_apkpure.com.apk」には不正な動きが認められなかったといいます。しかし、これらのアプリはユーザーの知らぬ間に「WireX」からの号令に従い、大規模なDDoS攻撃に加担していました。
CDN連合の研究者達はこれら一連の「WireX」アプリに共通する痕跡(ユーザー・エージェント)が記録されているのを発見し、その駆除に乗り出すことができたとのことです。現在、この「WireX」アプリはトロイの木馬型マルウェア「Android Clicker」として認知され、アンチウィルスソフトなどで駆除可能になっているとのことです。
【関連URL】
・The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack
https://blog.cloudflare.com/the-wirex-botnet/
