Cada cierto tiempo las empresas de seguridad publican notas de seguridad en la que han encontrado algún malware o que algún nuevo tipo de fallo de seguridad se está expandiendo. Normalmente son problemas bastante controlados y en los que una única empresa puede hacerse cargo. Sin embargo en otras ocasiones hacen falta más manos y cabezas para ocuparse de estos problemas.
De vez en cuando en el mundo Android vemos con atención como un malware se ha propagado fuertemente o se ha encontrado un importante fallo de seguridad. Casi todos son corregidos en unas semanas y el número de afectados es bastante pequeño. En estos casos se estudia el malware, se aprende de él y se fortalecen los sistemas. Es el caso del que hablaremos hoy.
A principios de agosto vimos las primeras noticias del WireX, una red de bots que infectó unos cuantos dispositivos Android. No se le dió mucha relevancia pero en unas semanas el número se había ampliado a decenas de miles. Para detener esta botnet varias empresas de tecnología y seguridad han tenido que trabajar conjuntamente.
Google, CloudFare, Akamai y otras tecnológicas se unen para combatir WireX
A pesar de ser competidores, la nota de prensa se ha publicado al unísono. WireX es una red de bots bastante avanzada que utiliza miles de Android afectados para realizar ataques DDoS. Hasta la fecha se tenían muy pocos registros de ataques DDoS que aprovechen dispositivos Android. Un nuevo estilo de ataque que podría incrementarse en los próximos años debido al numeroso número de gadgets disponibles.
Los expertos no conocen el número exacto de dispositivos infectados por WireX, debido porque aunque estén afectados no tienen porqué atacar a la vez. Si el móvil está apagado, la red de bots no puede utilizar ese dispositivo para atacar, pero aunque esté bloqueado sí podía ya que los servicios se seguían ejecutando en segundo plano. Se entiende que unos 70.000 dispositivos Android repartidos en más de 100 países serían utilizados por WireX para realizar ataques DDoS a diversos CDNs.
Propagado a través de 300 aplicaciones maliciosas de Google Play
¿Cómo han conseguido infectar tantos dispositivos? Principalmente a través de malware extendido en todo tipo de aplicaciones de Google Play. Desde exploradores de archivos, apps para ganar dinero, galerías... las típicas aplicaciones que todos sabemos que pueden contener malware, efectivamente lo tienen.
Una vez detectado el problema Google ha eliminado unas 300 aplicaciones de Google Play para impedir que más usuarios se vean afectados. En principio nuevas herramientas como Google Play Protect deberían protegernos precisamente de este malware y otros spyware.
Estas aplicaciones maliciosas se mantenían abiertas en segundo plano, esperando a que la red de bots les indicase dónde dirigirse y así poder efectuar un ataque DDoS a los servidores elegidos.
Sorprende en parte como esta botnet de dispositivos Android, la mayor hasta la fecha, haya podido pasar las líneas de seguridad de Google que precisamente nos protegen de esto. De nuevo la fragmentación y los dispositivos antiguos son uno de los quebraderos de cabeza en materia de seguridad.
Fuente | Akamai | Cloudfare | KrebsOnSecurity
En Xataka Android | Siete consejos para evitar malware en Android
Ver 1 comentarios