In letzter Zeit häufen sich die Berichte über Malware und schadhafte Apps im Play Store. So erkannte Google Anfang August den Staatstrojaner “Lipizzan” . Im akuten Fall erreicht das Ganze eine neue Dimension: Insgesamt wurden 300 Apps aus dem Play Store entfernt, die aus den Smartphones der Nutzer ein riesiges Botnetz für DDoS-Angriffe geformt haben.
Bei einer Größe von 2-5 Milliarden Android-Nutzern und einer Auswahl von über 2 Millionen Apps im Play Store ist es kein Wunder, dass sich hier auch einige schwarze Schafe angesiedelt haben. Google hat nun 300 Apps aus dem Play Store entfernt, die eine ganz besondere Malware enthielten: Nicht Geld oder Daten der Nutzer waren das Ziel, sondern die Smartphones wurden gekapert und unbemerkt in ein gigantisches Botnetz namens WireX eingeführt. Der Beitritt geschah unbemerkt nach der Installation der Apps. Ebenso unbemerkt haben sich die Nutzer dann an DDoS-Angriffen beteiligt. Es wurden zwar keine riesigen Datenmengen übertragen, aber dennoch leidet das Kontingent der Nutzer unter einem solchen Vorgehen.
Schlimmer trifft es bei dem Angriff jedoch das Angriffsziel. Durch die von den Nutzern unbemerkte Attacke durch mehrere hunderttausend Geräte und IP-Adressen gingen die Server vieler großer Anbieter in die Knie. Dadurch wurde der Angriff aber erst aufgedeckt. Durch die Zusammenarbeit der Anbieter mit Google und weiteren Parteien wie Akamai für die Infrastruktur, Cloudflare für den Abfang großer Datenmengen, Oracle und weiteren konnte das Netzwerk entdeckt werden.
Genauere Angaben zu den Apps gibt es nicht. Es sollen aber einigermaßen sinnvolle gewesen sein, sodass die Nutzer sie auch auf dem Smartphone belassen haben. Die Apps sind mittlerweile aus dem Play Store entfernt worden und werden von Google auch aus der Ferne von den Smartphones der Nutzer gelöscht. Nur so kann sichergestellt werden, dass das Botnetz heruntergefahren oder zumindest stark eingeschränkt wird. Es wird aber wohl nicht der letzte Angriff in diese Richtung gewesen sein, denn ein solches Botnetz ist für Algorithmen praktisch nicht zu erkennen und fällt erst dann auf, wenn es erstmals aktiv wird.
Was heißt DDoS und wie sieht ein solcher Angriff aus?
DDoS ist die Abkürzung für Distributed-Denial-of-Service und steht für eine spezielle Art der Cyber-Kriminalität. DDoS ist ein “verteilter” Denial-of-Service (DoS), was wiederum die Verweigerung eines Dienstes ist. Das heißt, eine angefragte Webadresse ist nicht mehr, oder nur noch sehr stark eingeschränkt verfügbar. Dies geschieht durch eine Überlastung (durch die Verteilung des Angriffes auf mehrere Geräte) der IT-Infrastruktur.
Bei einem DDoS-Angriff führen die Angreifer die Nichtverfügbarkeit des Dienstes/des Servers gezielt herbei. Damit ein DDoS-Angriff funktioniert müssen mehrere Endgeräte (PC’s oder Smartphones) mit Malware infiziert werden. Die infizierten Endgeräte schließen sich zu einem sogenannten Botnetz zusammen und greifen dann, parallel und aus der Ferne gesteuert sowie vom Nutzer unbemerkt, das Endziel an, indem sie zahlreiche Anfragen stellen und die IT-Infrastruktur schließlich, sofern kein DDoS-Schutz besteht, unter der Überlastung zusammenbricht. Je mehr Endgeräte sich im Botnetz befinden, desto schlagkräftiger ist solch eine Attacke.
