Individuare il software – L’analisi dei log relativi agli attacchi del 17 agosto ha rivelato che alcuni attacchi precedenti, caratterizzati dalla stessa firma, avevano coinvolto la prima applicazione Android, “twdlphqg_v1.3.5_apkpure.com.apk”. Alla luce di questa scoperta i ricercatori hanno subito analizzato esempi dell’applicazione per capirne il funzionamento e verificare l’esistenza di eventuali applicazioni correlate. Le ricerche condotte sulla base di possibili varianti del nome e dei parametri dell’applicazione hanno rivelato l’esistenza di una serie di altre applicazioni dello stesso autore o di autori con nomi simili e con descrizioni analoghe, come illustrato nella figura 2. Mentre venivano individuate nuove applicazioni, alcuni membri del team hanno iniziato a studiare i file binari per capirne il funzionamento.
Google ha così commentato il lavoro di ricerca svolto Abbiamo identificato circa 300 app coinvolte, che abbiamo provveduto a bloccare su Play Store e ora stiamo rimuovendo da tutti i dispositivi interessati. Le scoperte dei ricercatori combinate con le nostre analisi ci hanno permesso di fornire una migliore protezione agli utenti Android, ovunque si trovino.
Panoramica del malware – Molte delle applicazioni identificate appartengono alle categorie dei lettori video o multimediali, delle suonerie o di strumenti come storage manager e app store, dotati di funzionalità nascoste aggiuntive non prontamente evidenti agli utenti dei dispositivi infettati. All’avvio di queste applicazioni, i componenti dannosi avviano il servizio di polling Command and Control che invia query al server C&C, solitamente g.axclick.store, per ottenere comandi di attacco. Una volta ricevuti i comandi di attacco, il servizio di analisi ispeziona il comando di attacco non elaborato, lo analizza e avvalendosi dei parametri estratti richiama il servizio che lancia l’attacco. Le applicazioni che ospitavano queste funzioni di attacco, per quanto dannose, apparivano del tutto innocue agli occhi degli utenti che le avevano installate. Esse sfruttavano inoltre le funzionalità dell’architettura di servizi Android, che consente alle applicazioni di utilizzare risorse di sistema persino quando sono eseguite in background. In questo modo erano in grado di lanciare gli attacchi anche quando l’applicazione non era in uso. Attualmente gli scanner antivirus riconoscono questo malware come trojan “Android Clicker”, sebbene lo scopo di questa campagna non abbia niente a che vedere con il Click Fraud. È probabile che questo malware fosse in qualche modo associato al Click Fraud, ma è stato in seguito riqualificato per lanciare attacchi DDoS.
Conclusione – Queste scoperte sono state possibili solo grazie alla collaborazione tra obiettivi degli attacchi DDoS, società che si occupano di mitigare gli attacchi DDoS e società di ricerca. Ciascuno di loro ha infatti apportato un pezzo diverso del puzzle e senza il contributo di tutti, questa botnet sarebbe rimasta un mistero. La cosa migliore che le organizzazioni possono fare quando sono vittime di un attacco DDoS è condividere informazioni dettagliate sull’attacco. Sono proprio queste informazioni che consentono a quanti di noi sono impegnati nella lotta al crimine informatico di compiere importanti passi avanti, ben più di quanto sarebbe altrimenti possibile.
I parametri da condividere riguardano intercettazioni di pacchetti, elenchi di indirizzi IP di attacco, richieste di riscatto, intestazioni di richieste e qualsiasi altro pattern che possa interessare. Questi dati non dovrebbero contenere invece alcun traffico legittimo, in modo da limitare al massimo le implicazioni per la privacy e anche perché il traffico legittimo può inquinare e rallentare il lavoro di analisi. Infine, cosa più importante, è necessario altresì fornire l’autorizzazione a condividere questi dati, non solo con i vostri vendor, ma anche con i rispettivi contatti attendibili all’interno della più ampia comunità di sicurezza, all’interno della quale potrebbero essere presenti terze parti in possesso di competenze o visibilità non disponibili nella vostra più ristretta cerchia di vendor.
Non bisogna vergognarsi di chiedere aiuto. Non solo non bisogna vergognarsi, ma nella maggior parte dei casi, è impossibile nascondere il fatto di essere vittima di un attacco DDoS. Numerosi servizi di ricerca sono infatti in grado di individuare l’esistenza di attacchi DDoS in corso a livello globale ai danni di terze parti, indipendentemente da quanti sforzi questi ultimi possano fare per tenere nascosto l’attacco. La reticenza porta con sé pochi vantaggi. Ben più vantaggi porta l’essere collaborativi. Condividere metriche dettagliate sugli attacchi di cui si è vittima consente inoltre ai vari gruppi di condivisione di informazioni formali o meno di comunicare tra loro al fine di comprendere meglio le dinamiche degli attacchi in corso su scala globale, anziché solo degli attacchi individuati sulle singole piattaforme. Questo rapporto è un esempio di come la condivisione informale può produrre vantaggi assolutamente positivi non solo per le vittime ma per l’intera rete Internet. La cooperazione tra le varie organizzazioni è essenziale per contrastare le minacce in atto su Internet e senza di essa i crimini informatici prolifererebbero indisturbati.
