Cloudflareは8月29日(米国時間)、「The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack|Cloudflare」において、大規模なボットネットを構築して分散型サービス妨害(DDoS)攻撃を仕掛けていた数百のAndroidアプリがGoogle Play Storeから削除されたと伝えた。

Akamai、Cloudflare、Flashpoint、Google、Oracle Dyn、RiskIQ、Team Cymruなど複数のベンダーの研究者が、この攻撃に対応するために協力して作業を実施した。各社の発表によると、Google Play Storeで配信されたアプリにマルウェア「WireX」が仕込まれ、それをダウンロードした100カ国以上のAndroid端末が踏み台となって、DDoS攻撃が発生したという。

分析された情報からこのボットネットは8月2日の早い段階で活動を開始していた可能性があるとしている。8月17日にコンテンツデリバリネットワークプロバイダーやコンテンツプロバイダーが「WireX」から攻撃を受けてこれらマルウェアの存在に気がついたとしている。

Estimated growth pf the botnet based on the count of unique IPs per hour observed participating in attacks 資料: Cloudflare

不正なアプリは、メディア/ビデオプレイヤー、着メロ、ストレージマネージャーといったカテゴリーに分類されていたという。不正アプリが起動されると、制御サーバと通信して攻撃コマンドを受信し、攻撃を実行する仕組みになっていた。Androidサービスアーキテクチャの機能を活用して、アプリケーションが使用されていない時に攻撃を開始することが可能だったという。

マルウェア「WireX」が仕込まれていた不正アプリの例 資料: Cloudflare

記事では、「WireX」を突き止めて対処することができた背景には、関係者がそれぞれの情報を持ち寄って共有したことがあるとしている。それぞれの企業が問題を解決するために必要となる情報を持っており、どれかが欠けてもこのボットネットの存在を突き止めること難しかったと説明している。