Un grupo de investigadores especializados en seguridad han descubierto un nuevo tipo de malware dirigido a dispositivos con el sistema operativo Android. Éstos se utilizaban como parte del botnet de WireX para lanzar ataques DDoS contra una serie de objetivos. Es por ello que Google ha eliminado 300 aplicaciones de Android de su Play Store y que habían sido infectadas. Se utilizaban para estos ataques DDoS.
Utilizadas para ataques DDoS
El proveedor de la red de distribución de contenidos Akamai encontró el malware al investigar un ataque lanzado contra un cliente a mediados de agosto y reveló que los primeros signos de ataques DDoS basados en la infección por software malicioso de Android fueron detectados el 2 de este mes.
Sin embargo la infección se encontraba en sus primeras etapas en ese momento, por lo que el malware sólo se hizo más importante cuando el número de objetivos aumentó y más dispositivos se vieron afectados por este problema. El malware que se utiliza para infectar dispositivos Android ha sido introducido de forma oculta en varias aplicaciones de algunas de las categorías más populares. Entre estas podemos encontrar reproductores de vídeo, herramientas de llamadas y administradores de recursos, muy usados especialmente en Android. Una vez infectado, se utilizaba el dispositivo para generar tráfico y contribuir a un ataque DDoS de mayor escala como parte de la red de bots de WireX.
70.000 IPs afectadas
La investigación revelaron que aproximadamente 70.000 IPs únicas fueron usadas para los ataques, y los expertos creen que casi 100.000 dispositivos estuvieron comprometidos.
El malware afecta al dispositivo de la manera tradicional, ya que consulta a un servidor de comando y control y posteriormente espera los comandos de ataque.
“Las aplicaciones que alojaban estas funciones de ataque, aunque eran maliciosas, parecían ser benignas para los usuarios que las instalaban. Estas aplicaciones también se aprovechaban de las características de la arquitectura de servicio de Android que les permite utilizar los recursos del sistema, incluso en segundo plano, y por lo tanto son capaces de lanzar ataques cuando la aplicación no está en uso”, afirman desde la investigación.
Antivirus
Parece que existen algunos antivirus de Android que ya detectan el malware, pero lo señalan como un troyano de Android Clicker. Los investigadores han explicado que existe la posibilidad de que el código original se desarrollara para realizar clicks fraudulentos, pero luego se reutilizó para ataques DDoS.
Como hemos indicado, Google ya ha eliminado las aplicaciones infectadas de Play Store, pero el desafío ahora es eliminar el malware de los casi 100.000 dispositivos que se cree que están infectados. La recomendación que hacemos siempre es la de mantener nuestros dispositivos bien actualizados y con programas y herramientas de seguridad que nos permita hacer frente a posibles amenazas que puedan poner en riesgo el buen uso.
En otras ocasiones hemos visto que los usuarios de Android han sufrido ataques similares. Uno de los más fuertes y peligrosos fue Judy, que afectó nada menos que a 36 millones de usuarios de este sistema operativo para móviles y tabletas.