Un consorcio de seguridad desmantela la botnet WireX en Android

WireX se encuentra principalmente en dispositivos Android ejecutando aplicaciones maliciosas y está diseñado para crear tráfico DDoS.

Investigadores de Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru y otros fabricantes se han unido para combatir WireX, una botnet dirigida a redes de distribución de contenido (CDN) y proveedores de contenido.

WireX se encuentra principalmente en dispositivos Android ejecutando aplicaciones maliciosas y está diseñado para crear tráfico DDoS, de acuerdo con lo que han explicado los investigadores en un post.

El grupo de investigación cree que WireX podría haber estado activo desde el 2 de agosto, pero fueron los ataques del 17 de agosto contra los CDN y los proveedores de contenido los que hicieron saltar las alarmas.

“Esta investigación ha sido emocionante porque es un estudio de caso de lo eficaz que es la colaboración en toda la industria. Ha sido más que un informe de análisis de malware. El grupo de trabajo fue capaz de conectar los puntos de la víctima con el atacante y utilizó la información para mitigar mejor el ataque y desmantelar la botnet muy rápidamente”, ha afirmado Allison Nixon, director de investigación de seguridad de Flashpoint.

Hace unos días Google encontró el malware disponible en su Play Store y eliminó las cientos de aplicaciones afectadas.

“Identificamos aproximadamente 300 aplicaciones asociadas con el problema, las bloqueamos desde Play Store y estamos en el proceso de eliminarlas de todos los dispositivos afectados”, ha informado el equipo de investigación de Google.

Muchas de las aplicaciones identificadas recaían en las categorías de reproductores multimedia, tonos de llamada o herramientas como gestores de almacenamiento y tiendas de aplicaciones con funciones ocultas adicionales que impedían a los usuarios descubrir que estaban infectados.

La botnet produce tráfico que se asemeja a las solicitudes válidas de clientes HTTP genéricas y navegadores web. El tráfico generado por los nodos de ataque son principalmente solicitudes HTTP GET, aunque algunas variantes parecen ser capaces de emitir solicitudes POST, han explicado los investigadores.