Tim peneliti keamanan dari beberapa perusahaan keamanan telah menemukan botnet baru yang tersebar luas, yang terdiri dari puluhan ribu smartphone Android yang diretas.
Dijuluki botnet WireX, yang terdeteksi sebagai “Android Clicker”, jaringan botnet utama mencakup perangkat Android yang terinfeksi menjalankan salah satu dari ratusan aplikasi berbahaya yang terpasang dari Google Play Store dan dirancang untuk melakukan serangan DDoS secara besar-besaran.
Periset dari berbagai teknologi internet dan perusahaan keamanan – yang mencakup Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Tim Cymru – melihat serangkaian serangan cyber awal bulan ini, dan mereka berkolaborasi untuk memeranginya.
Meskipun peluncuran malware Android cukup umum akhir-akhir ini dan peluncuran yang baru ditemukan ini juga tidak terlalu canggih, saya sangat terkesan dengan cara beberapa perusahaan keamanan – di mana setengah dari mereka adalah pesaing – berkumpul dan berbagi informasi untuk memerangi botnet.
Botnet WireX digunakan untuk meluncurkan serangan DDoS kecil awal bulan ini, namun setelah pertengahan Agustus, serangan mulai meningkat.
Botnet WireX telah menginfeksi lebih dari 120.000 smartphone Android pada puncaknya awal bulan ini, dan pada tanggal 17 Agustus para periset melihat adanya serangan DDoS yang masif (terutama permintaan HTTP GET) yang berasal dari lebih dari 70.000 perangkat seluler yang terinfeksi dari lebih dari 100 negara.
Jika situs kamu telah menjadi target DDoS, cari pola string User-Agent berikut untuk memeriksa apakah itu botnet WireX atau bukan:
User-Agent: jigpuzbcomkenhvladtwysqfxr
User-Agent: yudjmikcvzoqwsbflghtxpanre
User-Agent: mckvhaflwzbderiysoguxnqtpj
User-Agent: deogjvtynmcxzwfsbahirukqpl
User-Agent: fdmjczoeyarnuqkbgtlivsxhwp
User-Agent: yczfxlrenuqtwmavhojpigkdsb
User-Agent: dnlseufokcgvmajqzpbtrwyxih Varian dari malware juga telah diamati memancarkan string User-Agent dengan panjang variannya dan kumpulan karakter yang diperluas, terkadang termasuk User-Agent browser biasa. Berikut adalah beberapa contoh dari User-Agent lain yang diamati:
User-Agent: xlw2ibhqg0i
User-Agent: bg5pdrxhka2sjr1g
User-Agent: 5z5z39iit9damit5czrxf655ok060d544ytvx25g19hcg18jpo8vk3q
User-Agent: fge26sd5e1vnyp3bdmc6ie0
User-Agent: m8al87qi9z5cqlwc8mb7ug85g47u
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.1b3) Gecko/20090305 Firefox/3.1b3 (.NET CLR 3.5.30729)
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.7) Gecko/20071018 BonEcho/2.0.0.7
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_7; en-us) AppleWebKit/530.19.2 (KHTML, like Gecko) Version/4.0.2 Setelah penyelidikan lebih lanjut, periset keamanan mengidentifikasi lebih dari 300 aplikasi berbahaya di Google Play Store, yang banyak disinyalir menjadi media, pemutar video, nada dering, atau alat untuk pengelola penyimpanan dan toko aplikasi, yang mengandung kode berbahaya WireX.
Sama seperti banyak aplikasi berbahaya lainnya, aplikasi WireX tidak langsung bertindak segera setelah pemasangan untuk menghindari deteksi.
Sebagai gantinya, aplikasi WireX menunggu dengan sabar perintah dari server command-and-control yang berada di beberapa subdomain “axclick.store”.
Google telah mengidentifikasi dan memblokir sebagian besar 300 aplikasi WireX, yang sebagian besar diunduh oleh pengguna di Rusia, China, dan negara-negara Asia lainnya, walaupun botnet WireX masih aktif dalam skala kecil.
Jika perangkat menjalankan versi yang lebih baru dari sistem operasi Android yang menyertakan fitur Google Play Protect, maka akan secara otomatis menghapus aplikasi WireX dari perangkat.
Selain itu, sangat disarankan untuk memasang aplikasi dari pengembang terkenal dan terverifikasi, bahkan saat mengunduh dari Google Play Store dan menghindari memasang aplikasi yang tidak perlu.
Selain itu, sangat disarankan agar selalu menyimpan aplikasi antivirus bagus di perangkat seluler yang dapat mendeteksi dan memblokir aplikasi berbahaya sebelum dapat menginfeksi perangkat, dan selalu memastikan perangkat dan aplikasi tetap up-to-date.
Malware Android terus berkembang dengan vektor dan kemampuan serangan lebih canggih yang tidak pernah terlihat sebelumnya setiap harinya.
Baru pada awal minggu ini, Google menghapus lebih dari 500 aplikasi Android yang menggunakan SDK berbahaya – yang menyebarkan spyware secara rahasia kepada pengguna – dari Play Store-nya.
Bulan lalu, kami juga melihat malware Android pertama dengan kemampuan injeksi kode yang membuat putaran di Google Play Store.
Beberapa hari setelah itu, para periset menemukan library iklan SDK Android lainnya yang berbahaya, yang dijuluki “Xavier,” ditemukan terpasang di lebih dari 800 aplikasi berbeda yang telah diunduh jutaan kali dari Google Play Store.
