僵尸网络WireX藉GooglePlayStore等方式感染多台装置，Google祭出PlayProtect防御

2024-11-24 220

最近一些 CDN 业者们发现当有个僵尸网络 WireX ，会透过 DDOS 攻击一些 CDN 服务商跟内容提供者。而 CloudFlare 最近则发现了这个攻击的许多细节项目，特别是发现这些攻击自于被感染恶意程式的 Android 装置。其中恶意程式有不少是透过 Play Store 所属的 App 散布，使许多 Android 装置被感染，成为僵尸网络的一部分：

▲据说都是目前被确认是加入恶意程式后上架的 App，目前均已下架。

僵尸网络过去多半是指个人电脑被植入恶意程式，遭到有心人士所利用，进行遥控攻击行为，或成为个人的跳板。但随着手机的数量跟效能都有显著的增加，因此恶意程式的目标也特别锁定起手机。不过最糟糕的还是入侵到 Play Store 中上架，被不知情的民众下载，而导致手机被感染，并被操控成为恶意攻击的棋子。

最近有批“僵尸”向多家 CDN 业者发起攻击，包含内容提供者也遭殃，这些僵尸不会什么高竿的入侵方式，所使用的是相当老派却十分实用的 DDoS 攻击。因此当 CloudFlare、Akamai 等公司发现到这样的问题时，都开始研究问题的源头：

▲Cloudflare 对于僵尸网络的成长估计。

然而令人惊讶的是，这些攻击多半来自手机 App 内的恶意程式。不但如此，更有相当多的 App 是上架到 Play Store 的，可以想见这个恶意程式的作者并不打算只针对一般的下载感染，能够神不知鬼不觉的上传到 Play Store 供用户下载的问题才大。相较之下，那些透过垃圾邮件、下载铃声等方法让手机感染的方式反而没那么大的影响力。

在事件爆发之前， Google 为 Play Store 加入 Play Protect ，也就是 Play 安全防护这个玩意来防御下载到恶意程式的可能，并且设立了认证装置的标章。但先前已经下载到恶意程式的手机仍然需要防堵，为此，Google 也跟 CDN 业者们合作，将这些疑似有恶意程式的 App 强制下架，数量达到 300 多个：

▲过去需要自己安装防毒软件的 Android ，现在有了来自 Google 的安全防护。

这不是 Google 第一次在 Play Store 抓虫，类似的恶意攻击其实已经瞄准了 Play Store 对上架 App 的审查松弛度。但 Google 仍持续亡羊补牢，在这之前，Google 已经针对一批内建监控程式的 App 进行下架处分。看来 Google 在帮自家手机系统抓漏前，或许也需要对 Play Store 找找问题才行。

CloudFlare 也表明，研究人员目前仅能透过 WireX受影响的组织之间来进行抵抗，目前 WireX僵尸网络虽然受到打击，但不代表完全被歼灭，不过消费者还是可以安心一阵子，最起码 Play Protect 仍能在一定的程度内保护大家的手机。

消息来源