Suele ocurrir en el ámbito de la ciberseguridad que hasta que una amenaza no alcanza un tamaño considerable, la comunidad no pone el foco en ella. Hay malwares muy dañinos pero muy poco extendidos que apenas llaman la atención y otros que causan alarma global por el mero hecho de expandirse rápidamente. Aunque las consecuencias no sean devastadoras para el dispositivo. Este es el caso de WireX y su paso del anonimato a la notoriedad en cuestión de dos semanas.
Una nevera zombi funciona igual que siempre, pero la botnet que la utiliza junto a miles de dispositivos del Internet de las Cosas (IoT) es capaz de tumbar los servidores de Facebook, Twitter o PlayStation durante unas cuantas horas. Es lo que pasó en octubre del año pasado cuando Mirai lanzó un ataque de denegación de servicio (DDoS) a las principales compañías de Internet que se saldó con un apagón de 11 horas.
Cuando la botnet se desactivó, los investigadores publicaron su código fuente en la Red. A los pocos días había cientos de redes zombis imitando a Mirai y, aunque WireX aún no había sido activada, esa sería la base sobre la que se construiría. Es una de las primeras botnets en expandirse a través de Android, más concretamente a través de Google Play (la tienda oficial), con cerca de 300 aplicaciones que hacían de cebo. Eran apps aparentemente inofensivas, como tonos de llamada, reproductores de vídeo falsos y otras dedicadas a acelerar el sistema del teléfono.
Este diario se ha puesto en contacto con Google, que no responde acerca de cuántos dispositivos podrían estar infectados, si se han retirado ya todas las apps “con bicho” de la tienda oficial o qué proceso llevan a cabo para identificar este tipo de malwares. A cambio, siete empresas punteras de tecnología (entre las que está el archiconocido buscador) publicaban este lunes el mismo comunicado: “La botnet WireX: cómo la colaboración en la industria desbarató un ataque DDoS”.
120.000 dispositivos atacando a la vez
Dicen los investigadores que WireX se puso en marcha el 2 de agosto y lanzó solo unos miles de ataques. Aún estaba en fase de desarrollo. El día 15 llamó la atención por primera vez de algunos expertos, que ya cifraban en torno a 70.000 las direcciones IP que la botnet utilizaba para lanzar los ataques DDoS. Dos días más tarde, WireX estaba atacando desde unos 100 países, algo sin precedentes teniendo en cuenta que hablamos de dispositivos Android.
Es común en el IoT, por la poca seguridad de las tostadoras, los frigoríficos o los auriculares inteligentes, que las botnets tomen el control de estos dispositivos. Al infectarse, los aparatos lanzan sin que nos demos cuenta miles de peticiones a los servidores del sitio web que la botnet ordene, saturándolo hasta que cae. Es lo mismo que hicieron los más de 120.000 dispositivos Android que WireX llegó a tener activos al mismo tiempo.
El tráfico basura en forma de peticiones HTTP (hasta 20.000 por segundo) fue más difícil de localizar porque se generaba en unos 100 países a través de miles de teléfonos móviles o tablets intentando entrar al mismo sitio web. Mientras esto pasaba, el usuario podía estar hablando por WhatsApp, en Facebook o haciéndose fotos en la playa, ya que la botnet corría en segundo plano.
Siguiendo el rastro de WireX
Google y los otros investigadores explican que han “identificado aproximadamente 300 apps asociadas al incidente, las hemos bloqueado de la Play Store y ahora mismo estamos eliminándolas de todos los dispositivos afectados”. La decena de empresas que han participado en la detección de WireX, entre las que se encuentran Cloudfare, Flashpoint, Google, Oracle Dyn, RiskIQ o Team Cymru explican que “la colaboración en los últimos ataques globales no han hecho otra cosa que reforzar el valor de esta colaboración”.
Empezaron por rastrear el historial de las IP atacantes, lo que rápidamente “reveló una conexión entre ellas y 'algo' malicioso, corriendo posiblemente en el sistema operativo Android”. Desde ahí dieron con la primera aplicación que había lanzado los ataques y rastrearon la tienda de Google en busca de otras apps similares que tuviera la misma firma (twdlphqg_v1.3.5_apkpure.com.apk) con pequeñas variaciones en el nombre, en los autores o en las descripciones.
“Creemos que hemos descubierto esta botnet y hemos reaccionado mientras estaba en su fase más temprana de crecimiento”, explica en Ars Technica Justin Paine, uno de los investigadores que ha participado en la detección de WireX. “Es una de las primeras y, ciertamente, una de las más grandes botnets basadas en Android”. WireX tuvo un precedente en septiembre del año pasado pero a pequeña escala.
Hace una semana, Google tuvo que retirar un juego de su tienda llamado Bubble shooter wild life porque llevaba oculto un troyano bancario. También a principios de este mes, la multinacional reinició otras tantas apps por incluir software espía para nuestros teléfonos. Escapar del malware es cada vez más difícil, por eso, si algún día dudas sobre si la app que te vas a descargar no es segura, mejor no lo hagas.