Bezpečnostné varovanie V20170905-01V
| Dôležitosť | Vysoká |
| Klasifikácia | TLP WHITE |
| Identifikátor |
| WireX botnet |
| Popis |
| V kybernetickom priestore bol detekovaný výskyt viacerých zariadení, fungujúcich na platforme Android, ktoré boli infikované škodlivým kódom, spôsobujúcim integráciu do botnetu WireX. Škodlivý kód sa do zariadení dostáva cez infikované aplikácie pre mobilné telefóny a tablety s operačným systémom Android. Už 2. augusta 2017 boli zaznamenané prvé, marginálne indikátory botnetu WireX, no počet infikovaných zariadení je momentálne na úrovni niekoľkých desiatok tisíc z vyše 100 krajín. Cieľom tohto útoku je využitie zariadení na distribúciu DDoS útokov, pričom útočníkom sa podarilo prostredníctvom botnetu pomocou enormného množstva dotazov znefunkčniť služby niekoľkých webových stránok, poskytujúcich ubytovanie a služby v gastronómii. Infikované aplikácie spoločnosť Google stiahla z obchodu Google Play. |
| Vektor útoku |
| Malvér, ktorý jednotlivé zariadenia infikoval a následne pripojil do botnetu, sa šíril pomocou aplikácií, voľne dostupných na Google Play, ktorý slúži na sťahovanie a nákup aplikácií pre platformu Android. Aplikácie, ktorých súčasťou bol aj škodlivý kód, sa nie len tvárili ako bežné aplikácie, ale takisto vykonávali legitímne procesy tak, aby zakryli skutočný účel. Po stiahnutí a nainštalovaní aplikácie sa spustí príkaz malvéru. Následne môžu útočníci vzdialene, pomocou Control & Command Servera zneužiť zariadenie na vzdialené vykonávanie príkazov. Malvér nezneužíva známe zraniteľnosti alebo zero-day zraniteľnosť, zneužíva skutočnosť, že používateľ, ktorý stiahne infikovanú aplikáciu, povolí aplikácii pristupovať k takým službám a procesom na zariadení, ktoré umožňujú vykonať vzdialené príkazy zo serverov útočníka smerom na zariadenie. |
| Analýza malvéru |
| Kompletná analýza malvéru na: https://blog.cloudflare.com/the-wirex-botnet/ |
| Zasiahnuté systémy |
| Zariadenia fungujúce na operačnom systéme Android |
| Následky |
| Neoprávnené spustenie škodlivého kódu, Zneprístupnenie služieb |
| Odporúčania |
| Pri používaní akéhokoľvek zariadenia, ktoré používa operačný systém Android, odporúčame dodržiavať tieto opatrenia: 1. Ak sťahujete a inštalujete aplikácie z Google Play Store, zamerajte sa aj na referencie a odporúčania na tieto aplikácie a overte si, či sa nejedná o podvodnú aplikáciu alebo aplikáciu, ktorá neposkytuje služby, ktoré deklaruje. Pre overenie aplikácií slúži napríklad služba Google Play Protect. 2. Pri sťahovaní a inštalácii aplikácií skontrolujte, aké služby a procesy bude aplikácia využívať. Ak požaduje povolenia na prístup k takým službám a aplikáciám, ku ktorým by prístup vzhľadom na charakter aplikácie vyžadovať nemala, takúto aplikáciu neinštalujte. 3. Na operačný systém Android existuje množstvo oficiálnych aplikácií od spoločností, poskytujúcich antivírusové a antimalvérové riešenia. Používaním týchto aplikácií znižujete riziko infikovania vášho zariadenia. 4. Ak ste zistili, že vaše zariadenie bolo infikované akýmkoľvek škodlivým kódom, kontaktujte oficiálneho distribútora alebo oficiálny servis výrobcu zariadenia a požiadajte ho o pomoc s odstránením škodlivého kódu. |
« Späť na zoznam
