Uno de los primeros ataques DDoS para Android infecta teléfonos en 100 países
Estamos acostumbrados a que los ataques conocidos como DDoS afecten a un buen número de tipos de dispositivos, de hecho se teme cómo en un futuro próximo van a poder afectar a los millones de productos de Internet de las Cosas o IoT que nos rodearán.
Sin embargo ahora, siendo una de las primeras veces que se ha detectado, unos investigadores de seguridad están reportando una nueva plataforma recientemente utilizada para lanzar poderosos ataques de denegación de servicio distribuidos entre cientos de miles de dispositivos, hablamos de teléfonos y tablets basados en sistema operativo Android de Google. En concreto esta botnet estaba compuesta por unas 300 aplicaciones disponibles en la tienda oficial de la firma, la Google Play, y una vez instaladas, los dispositivos infectados entraban en una red maliciosa que enviaba tráfico a ciertas webs con el fin de dejarlas «fuera de combate» y para que dejen de responder.
Hasta la fecha Android no ha sido un objetivo habitual de este tipo de ataques DDoS, ni mucho menos, pero en este caso los investigadores han podido ver que, por ejemplo, la botnet de WireX controlaba más de 120.000 direcciones IP ubicadas en un total de 100 países. El mencionado tráfico se realizó en forma de peticiones HTTP que fueron dirigidas a sitios específicos, muchos de los cuales recibieron avisos advirtiendo de los ataques a menos que los operadores pagaran rescates para que estos no se produjesen.
Y es que al extender estos nuevos ataques entre tantos teléfonos de todo el mundo y esconderlos dentro de las solicitudes web comunes, los atacantes hicieron muy difícil que las compañías que se defendían de los DDoS pudiesen averiguar tanto la fuente como su manera de funcionamiento. Así lograron «bombardear» objetivos con más de 20.000 solicitudes HTTP por segundo en un intento de agotar los recursos del correspondiente servidor.
Hay que tener en cuenta que un volumen de 20.000 solicitudes por segundo puede no sonar como un gran ataque, pero dependiendo de hacia dónde se dirigen, pueden ser más o menos significativos. Justin Paine, uno de los investigadores de las siete organizaciones de seguridad que ayudaron a neutralizar WireX, dijo que creen que la caída de la botnet se produjo cuando esta estaba todavía en sus inicios, ya que los operadores estaban aún en el proceso de crecimiento.
Los ataques DDoS llegan a la plataforma Android de Google
Su desmantelamiento fue gracias a siete organizaciones que reunieron datos en un intento de averiguar qué estaba causando estos ataques y así descubrieron que estos provenían de aplicaciones maliciosas ejecutadas en dispositivos Android. Pronto identificaron el nombre del código malicioso, «twdlphqg_v1.3.5_apkpure.com.apk”, por lo que pudieron identificar las 300 aplicaciones para que Google pudiese bloquearlas de la tienda oficial y eliminarlas de los dispositivos infectados.
Así, al infectar Android a través de apps disponibles en la Google Play, podríamos decir que los atacantes DDoS ahora están explotando una nueva plataforma para estos fines y además ampliamente utilizada en todo el mundo, con los problemas que esto podría acarrear.