Expertos en seguridad de diferentes organizaciones y compañías han trabajado en conjunto para rastrear y combatir una red zombi compuesta por cientos de dispositivos Android infectados que utilizaba en ataques DDoS.
Equipos de seguridad de Akami, Cloudfare, Flashpoint, Google, RiskIQ y TeamCymru se unieron para investigar una serie de ataques DDoS masivos de origen desconocido que habían estado afectando servidores y redes durante las últimas semanas.
Además, hace pocos días, Google recibió una denuncia que le daba a conocer que su mercado de aplicaciones para Android alojaba un programa malicioso que es el que después se descubrió que estaba vinculado con los ataques DDoS. Google realizó una limpieza de inmediato de su mercado de Android: eliminó más de 300 aplicaciones infecciosas y comenzó el proceso de notificar a los usuarios sobre el peligro para eliminar las aplicaciones de sus dispositivos y evitar la difusión de la amenaza.
Siguiendo los rastros de estos ataques, los investigadores descubrieron que provenían de una red zombi de más de 100.000 dispositivos Android infectados distribuidos en más de 100 países. Los dispositivos habían sido infectados por aplicaciones maliciosas que los usuarios habían descargado de Google Play y mercados de aplicaciones extraoficiales.
“Muchas de las aplicaciones identificadas estaban en las categorías de reproductores de video/multimedia, tonos y herramientas como administradores de almacenamiento y tiendas de aplicaciones con características escondidas que no se hacían visibles a los usuarios que estaban infectados” explicaron los investigadores en el informe.
Las aplicaciones solicitaban permisos de administrador al instalarse, lo que les permitía participar en los ataques de negación de servicio que investigaban las organizaciones. Asimismo, utilizaban recursos del sistema que permitían al programa malicioso operar y lanzar los ataques aun cuando la aplicación no estuviese en uso.
La red zombi que conformaron los dispositivos afectados por estas aplicaciones maliciosas recibió el nombre de WireX y operaba enviando más de 20.000 solicitudes HTTP por minuto desde más de 120.000 direcciones IP.
Los ataques de negación de servicio de WireX funcionaban como cualquier otro: saturando el tráfico de los servidores de ciertos sitios web con tráfico basura para que ningún usuario legítimo pueda acceder a ellos. Los expertos creen que lograron encontrar y controlar la red zombi antes de que llegara a explotar su máximo potencial de ataque.
Fuentes
Hackers Use Thousands Of Infected Android Devices In DDoS Attacks Forbes
The WireX Botnet: An example of cross-organizational cooperation Akamai Blogs
The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack RiskIQ
Hackers prove prowess with Android-based DDoS malware CIO Dive
Expertos unen fuerzas para encontrar y combatir una red zombi de Androids contaminados