WireX Botnet：首个Android DDoS恶意程序

Bai

近期，研究人员发现一个名为 WireX 的僵尸网络，这是首个 Android DDoS 恶意程序，数万台 Android 手机沦为肉鸡。

一、恶意程序解析

关于WireX Botnet，你需要了解的几点内容：

(1) 它来自那里: 活跃于国外应用市场

寄生于Google Player应用市场,常见的软件名为Network、FilterFile、StorageData、StorageDevice、Analysis,下载过此类应用的国内朋友们应多加注意。

(2) 它的危害是什么: 手机沦为仍人宰割的肉鸡

潜入用户设备安装启动后门模块,通过用户的手机DDos攻击了多个内容分发网络（CDN）和内容提供商(比如Akamai，Cloudflare )。一旦中招以后,你的手机就会成为犯罪团伙的肉鸡,犯罪团伙可以利用安装的后门程序发送DDoS,会导致手机流量消耗可能导致上网变卡。

(3) 影响范围

100多个国家受影响,根据腾讯反诈骗实验室大数据显示目前国内有极少数的用户不慎下载过WireX Botnet。

(4) 用户该干什么

安装并开启手机杀毒软件即可查杀拦截WireX Botnet。

二、攻击细节1、攻击方式,模拟用户正常浏览操作,对指定目标进行攻击。

WireX僵尸网络的最早出现在8月2日,经过一段时间的变化以后8月15日开始至少7万并发IP发送了攻击，如下图所示。

此类恶意程序主要通过HTTP GET请求，或 POST请求(就想用户正常通过浏览器访问一样)对指定目标进行攻击。

2、追根溯源

根据8月17日攻击数据的分析显示，来自100多个国家的设备参与了当前的僵尸网络，这点很不寻常。攻击IP的分布情况以及其独特的User-Agent字符串让当初调查的那些研究人员开始觉得其他组织可能已经看到或可能会遇到类似的攻击。于是研究人员与其他组织的同事们互相交流碰到的情况。

这样一旦展开了更大规模的协同努力，调查便迅速开始展开。通过对历史日志信息进行分析，发现了攻击IP和恶意的连接，可能运行在Android操作系统之上。

在Mirai攻击之后，信息共享氛围已经出现了复苏，研究人员互相分享状况报告，并在必要时协同解决互联网问题。此外，WannaCry，Petya等全球性活动加强了这一合作的价值。诸如此类的许多信息共享组织完全是业界同行之间的非正式沟通。

3、软件运行截图：

4、代码分析：

启动诱导用户激活设备管理器

通过线程55000L后不断启动服务Ryiidrxcjmfb和Rnjaivooknnd，通过特定字符串解析该URL

Rnjaivooknnd服务中，加载URL，通过特定字符串解析该URL，获取模拟点击盗刷流量的相关参数

DatagramPacket 测试网络连通性

Ryiidrxcjmfb服务中获取目标URL之后，通过JavaScript模拟点击可以用来作点击广告或者直接对网站进行流量攻击

目前，腾讯手机管家已实现对该恶意程序的全面查杀。用户及时使用可靠杀毒软件，并且开启实时防护功能即可拦截该恶意程序。

四、安全建议

同时，针对此类恶意程序，作者给出如下安全建议：

（1）手机用户应通过正规渠道下载手机软件，不安装来自不明来源的应用安装提醒，确保手机应用的绿色安全。

（2）养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装可靠手机安全软件，定期给手机进行体检和病毒查杀，移除存在安全风险的应用。