Rede usava 120 mil Androids infectados com apps do Google Play para ataques

News3

Pela primeira vez foi registrada uma botnet usando centenas de milhares de dispositivos Android usadas para ataques de negação de serviço. A rede, chamada de WireX, controlava 120 mil endereços de IP diferentes espalhados por 100 países; os dispositivos eram comandados remotamente e usados para ciberataques.

Antes de tudo, se você não sabe o que é uma botnet: é uma rede de dispositivos infectados que são controlados pela remotamente por um cibercriminoso, normalmente sem conhecimento do usuário. Elas normalmente são usadas para ataques de DDoS (ou negação de serviço), em que centenas de milhares ou milhões de dispositivos bombardeiam servidores com o objetivo de tirar um site do ar, ou impedir o seu funcionamento, como se 1 milhão de pessoas entrassem na mesma página ao mesmo tempo, sobrecarregando a infraestrutura que mantém o serviço online.

No caso da rede WireX, o que impressiona é o método de infecção. Foram 300 aplicativos que eram distribuídos legitimamente por meio do Google Play, na loja oficial do Android. Após a instalação, o aparelho era inscrito na rede e passava a ser usado para ataques.

O ataque em si também era peculiar. O site Ars Technica relata que os operadores da botnet entravam em contato com a equipe de tecnologia alertando sobre o DDoS e exigia um pagamento para que o ataque não ocorresse. Ao espalhar a origem por tantos lugares diferentes, os cibercriminosos tornavam mais difícil a proteção contra o ataque, com até 20.000 requisições HTTP por segundo.

Para um site grande, 20.000 acessos por segundo não parece muita coisa, mas o estrago pode ser grande se o ataque for direcionado. Por exemplo: o afunilamento destas requisições em uma página de busca, que naturalmente requer mais recursos, por exemplo, pode levar os servidores a exceder seus limites.

A ideia, no entanto, era expandir as capacidades da WireX com o tempo, segundo os pesquisadores que ajudaram a neutralizar a rede. Justin Paine, diretor da CloudFlare, que fez parte do grupo de sete organizações de segurança que desmantelou a botnet, acredita que a rede ainda estava em sua infância, e seu poder deveria aumentar com o passar do tempo, com mais dispositivos infectados.

As outras organizações que participaram do esforço foram Akamai, Flashpoint, Google, Dyn (da Oracle), RiskIQ e o Team Cymru.


Compartilhe:

Deixe seu comentário