โดยเมื่อไม่นานมานี้ เจ้าพ่อเสิร์ชเอนจิน (search engine) อย่าง Google ได้ออกประกาศว่าได้ดำเนินการลบแอพพลิเคชั่นกว่า 300 แอพฯ ที่สืบทราบว่าเป็นภัยต่อระบบปฏิบัติการ Android ออกจาก Play Store ของตนเองแล้ว หลังพบพฤติกรรมลับของแอพฯ ที่มีบอตเน็ตที่ชื่อว่า วีรีเอ็กซ์ WireX ได้ hijack อุปกรณ์ และส่งข้อมูลสำหรับการโจมตีแบบกระจาย (DDoS) ในวงกว้างแอพฯที่เข้าข่าย และสุด 4 บริษัทใหญ่ได้ออกมาสนับสนุนด้วยการร่วมมือกันวิจัย และหาแนวทางป้องกัน

WireX

โดยนักวิจัยจาก 4 บริษัท ได้แก่ Akamai, Cloudflare, Flashpoint และ RiskIQ ได้ตีพิมพ์เนื้อหาที่ค่อนข้างร้ายแรงเกี่ยวกับกับใช้บอตเน็ต วีรีเอ็กซ์ ในฐานะรูปแบบในการโจมตีขนาดใหญ่ของ DDoS ต่อเครือข่ายเนื้อหา (CDNs) และผู้ให้บริการเนื้อหาจำนวนมากเมื่อวันที่ 17 สิงหาคม 2560 บอตเน็ตส่วนใหญ่แล้วจะประกอบด้วยอุปกรณ์แอนดรอยด์ที่ใช้แอพพลิเคชันอันตราย

ซึ่งออกแบบมาเพื่อสร้างการรับส่งข้อมูล DDoS บางครั้งก็เกี่ยวข้องกับการเรียกค่าไถ่เพื่อให้ได้เป้าหมายเป็นการตอบแทน
สิ่งที่ทีมวิจัยทราบว่าบอตเน็ต วีรีเอ็กซ์ ปรากฏตัวขึ้นในวันที่ 2 สิงหาคม นั้นเกิดจากผลกระทบข้างเคียงที่ไม่สามารถสังเกตเห็นในเวลานั้น (วันที่ 17 สิงหาคม 2560)

จนกระทั้ง นักวิจัยเริ่มค้นหาสตริง User-Agent 26 ตัวในบันทึก และพบว่ามีโจมตีที่ยาวนานขึ้น ตั้งแต่วันที่ 15 สิงหาคม 2560 โดยมีกิจกรรมบางอย่างที่มาจากที่อยู่ใน IP จำนวน 70,000 รายการ เมื่อตรวจสอบพบว่ามีบอตเน็ต วีรีเอ็กซ์ ที่ทำการการโจมตี DDoS ตามชั้นแอพพลิเคชันในส่วนคำขอในเข้าชมใน HTTP GET

และมีความสามารถในการออกคำขอ Post ด้วยการสร้างการรับส่งข้อมูลที่คล้ายกับคำขอที่ถูกต้องจากไคลเอ็นต์ HTTP ทั่วไป และเว็บเบราเซอร์

 

WireX

WireX Botnet Hijack

หลังจากพบการโจมตีใน ก็ได้มีการวิเคราะห์ข้อมูลการโจมตี และพบว่ามีอุปกรณ์จากกว่า 100 ประเทศ ที่มีการแจกจ่าย IPs โจมตีพร้อมกับสายอักขระ User-Agent นักวิจัยในองค์กรต่างๆ เพื่อตรวจสอบสิ่งที่เกิดขึ้น และพยายามทำงานร่วมกันเพื่อสืบสวน โดยเริ่มต้นจากการตรวจสอบข้อมูล

WireX

ที่แสดงถึงการเชื่อมต่อระหว่าง IP ที่โจมตี และสิ่งที่เป็นอันตรายซึ่งอาจทำงานอยู่ด้านบนของระบบปฏิบัติการ Android และใช้ข้อมูลร่วมกันเพื่อแก้ไขปัญหา ที่เกี่ยวข้องกับแอพพลิเคชัน อาทิ “twdlphqg_v1.3.5_apkpure.com.apk” ซึ่งนักวิจัยได้ทำความเข้าใจวิธีการทำงาน

และตรวจสอบว่าโปรแกรมประยุกต์ที่เกี่ยวข้องอาจมีอยู่ โดยใช้รูปแบบของชื่อแอพพลิเคชัน และพารามิเตอร์ในชุดแอพพลิเคชันพบว่ามีแอพพลิเคชันเพิ่มเติมหลายตัวจากผู้เขียนที่มีชื่อเดียวกันหรือชื่อเดียวกันโดยมีคำอธิบายที่คล้ายคลึงกัน 

WireX

 

โดยปัจจุบันนักวิจัยจาก 4 บริษัทที่กล่าวข้างต้น พร้อมด้วยข้อมูลที่ได้รับจากองค์กรอื่นๆ เริ่มแบ่งปันข้อมูลและใช้ความรู้ร่วมกันเพื่อวิจัยบอตเน็ตและการโจมตี รวมถึงเปิดเผยกับกูเกิ้ลเพื่อช่วยบรรเทาผลร้ายและทำลายบอตเน็ตในท้ายที่สุด เมื่อกูเกิ้ลได้รับการแจ้งเตือนว่ามัลแวร์อยู่ในเพลย์ สโตร์ ก็จะเริ่มกระบวนการลบแอพฯ ที่ได้รับผลกระทบ และลบแอพฯ ออกจากอุปกรณ์สื่อสารในที่สุด