阿里聚安全小編曾多次報道了官方應用市場出現(xiàn)惡意軟件的事件，讓大家在下載APP的時候三思而后行。

最近多家安全公司組成的安全研究小組發(fā)現(xiàn)了一個新的、傳播廣泛的僵尸網(wǎng)絡，它是由成千上萬的Android智能手機組成。

該僵尸網(wǎng)絡名為WireX，被殺毒工具檢測識別為“Android Clicker”，主要包括運行從谷歌Play商城下載的數(shù)百個惡意軟件的Android設備，而這些惡意軟件被設計來進行大規(guī)模應用層DDoS攻擊。

來自不同技術公司的安全研究員包括Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru在8月初就發(fā)現(xiàn)了一系列的網(wǎng)絡攻擊行為，并共同打擊該僵尸網(wǎng)絡。

盡管Android惡意軟件的活動十分常見，這一新發(fā)現(xiàn)的活動也不是非常復雜。但印象深刻的是多個安全公司，其中一半是競爭對手，他們以互聯(lián)網(wǎng)社區(qū)的整體利益為重，能夠分享數(shù)據(jù)并一起對抗僵尸網(wǎng)絡。

WireX僵尸網(wǎng)絡在月初被用來發(fā)動小規(guī)模的DDoS攻擊，但是中旬開始，規(guī)模逐漸升級。

WireX僵尸網(wǎng)絡在8月份月初感染了超過12萬Android手機。8月17日，研究員注意到來自超過100個國家，7萬多受感染的手機發(fā)起了大規(guī)模的DDoS攻擊。

如果你的網(wǎng)站被DDoS攻擊，搜索以下User-Agent字符串來確認是否是WireX僵尸網(wǎng)絡：

進一步調(diào)查后，安全研究員確認超過300個惡意軟件存在于谷歌Play商城上，其中包含WireX惡意代碼的APP類型有媒體、視頻播放器、手機鈴聲、存儲管理工具等。

就像其他惡意軟件，為了躲避谷歌Play的安全檢測，WireX惡意軟件不會一開始就執(zhí)行惡意行為。 相反的是，WireX惡意軟件會耐心等待來自多個”axclick.store”子域名的命令和控制（C2）指令。

谷歌已經(jīng)確認并刪除了大部分WireX惡意軟件，下載這些APP的用戶主要來源于俄羅斯，中國和其他亞洲地區(qū)。但WireX僵尸網(wǎng)絡依然小規(guī)模的活躍著。

文章編譯自thehackernews，更多安全類熱點信息和知識分享，請關注阿里聚安全的官方博客