最近一些 CDN 業者們發現當有個殭屍網路 WireX ,會透過 DDOS 攻擊一些 CDN 服務商跟內容提供者。而 CloudFlare 最近則發現了這個攻擊的許多細節項目,特別是發現這些攻擊自於被感染惡意程式的 Android 裝置。其中惡意程式有不少是透過 Play Store 所屬的 App 散佈,使許多 Android 裝置被感染,成為殭屍網路的一部分:
▲據說都是目前被確認是加入惡意程式後上架的 App,目前均已下架。
殭屍網路過去多半是指個人電腦被植入惡意程式,遭到有心人士所利用,進行遙控攻擊行為,或成為個人的跳板。但隨著手機的數量跟效能都有顯著的增加,因此惡意程式的目標也特別鎖定起手機。不過最糟糕的還是入侵到 Play Store 中上架,被不知情的民眾下載,而導致手機被感染,並被操控成為惡意攻擊的棋子。
最近有批「殭屍」向多家 CDN 業者發起攻擊,包含內容提供者也遭殃,這些殭屍不會什麼高竿的入侵方式,所使用的是相當老派卻十分實用的 DDoS 攻擊。因此當 CloudFlare、Akamai 等公司發現到這樣的問題時,都開始研究問題的源頭:
▲Cloudflare 對於殭屍網路的成長估計。
然而令人驚訝的是,這些攻擊多半來自手機 App 內的惡意程式。不但如此,更有相當多的 App 是上架到 Play Store 的,可以想見這個惡意程式的作者並不打算只針對一般的下載感染,能夠神不知鬼不覺的上傳到 Play Store 供用戶下載的問題才大。相較之下,那些透過垃圾郵件、下載鈴聲等方法讓手機感染的方式反而沒那麼大的影響力。
在事件爆發之前, Google 為 Play Store 加入 Play Protect ,也就是 Play 安全防護這個玩意來防禦下載到惡意程式的可能,並且設立了認證裝置的標章。但先前已經下載到惡意程式的手機仍然需要防堵,為此,Google 也跟 CDN 業者們合作,將這些疑似有惡意程式的 App 強制下架,數量達到 300 多個:
▲過去需要自己安裝防毒軟體的 Android ,現在有了來自 Google 的安全防護。
這不是 Google 第一次在 Play Store 抓蟲,類似的惡意攻擊其實已經瞄準了 Play Store 對上架 App 的審查鬆弛度。但 Google 仍持續亡羊補牢,在這之前,Google 已經針對一批內建監控程式的 App 進行下架處分。看來 Google 在幫自家手機系統抓漏前,或許也需要對 Play Store 找找問題才行。
CloudFlare 也表明,研究人員目前僅能透過 WireX受影響的組織之間來進行抵抗,目前 WireX殭屍網路雖然受到打擊,但不代表完全被殲滅,不過消費者還是可以安心一陣子,最起碼 Play Protect 仍能在一定的程度內保護大家的手機。