Android-attackerna upptäcktes efter en serie överbelastningsattacker mot nätleverantörer under mitten av augusti. De visade sig härstamma från ett virus som döpts till Wirex och sprids via Google Play-butiken, enligt en undersökning som Cloudflare gjort ihop med flera andra teknikföretag.
Förra året såg vi en ny trend inom överbelastningsattacker när tusentals hackade övervakningskameror världen över användes för att bland annat sänka den franska molnleverantören OVH. Bakom angreppet fanns viruset Mirai som infekterade uppkopplade enheter med dålig säkerhet, och värvade dem till ett världsomspännande botnätverk.
På samma sätt använder Wirex sårbarheter i Android för att värva telefoner och andra enheter till att utföra massiva ddos-attacker. Viruset körs i bakgrunden, utan att användaren själv märker att något skumt pågår.
Wirex verkar främst ha spridits via Google Play och andra appbutiker. Google själva ska ha plockat bort runt 300 stycken från butiken. Någon lista på appar har inte publicerats men det ska bland annat röra sig om mediaspelare, ringsignaler och filhanteringsverktyg som innehållit den skadliga koden.
Det är oklart hur många enheter som hann infekteras. Men säkerhetsföretagen har uppmätt Wirex-attacker där över 120 000 unika ip-adresser från fler än 100 länder deltagit.
Läs också: Är du nyfiken på framtidens mobil? Så här kan din telefon se ut om tio år
Cloudflares säkerhetschef Justin Paine säger till Arstechnica att Wirex är "ett av de första, och definitivt det största Android-baserade ddos-nätverket". Samtidigt menar han att de lyckades stoppa det i god tid, innan det hann växa sig än större.
Men om vi lärt oss något av Mirai är det att det här inte behöver vara slutet för Wirex. Hackarna verkar ha hittat ett nytt sätt att samla kraft till ddos-attacker, och kommer säkerligen att försöka utnyttja Android igen.