Tu televisor está comprometido: mientras duermes, envía miles de millones de comandos para ciberataques
Cómo el botnet Kimwolf ha llegado a infectar casi 2 millones de dispositivos Android en todo el mundo
Kimwolf, una red de bots, se convirtió en el centro de atención después de que los especialistas de QiAnXin XLab informaron sobre la infección de más de 1,8 millones de dispositivos basados en Android. En el conjunto de dispositivos infectados hay televisores, decodificadores y tabletas, a través de los cuales ahora se lanzan ataques contra recursos remotos. La magnitud de la actividad fue tan grande que en tres días la red de bots emitió 1,7 mil millones de comandos para llevar a cabo ataques DDoS. En el mismo período, uno de los nombres de dominio utilizados para el control ocupó el primer puesto en la lista de los más populares en Cloudflare, superando incluso a Google.
La mayor cantidad de infecciones se registró en Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas. Entre los modelos afectados figuran SuperBOX, P200, X96Q, SmartTV, MX10 y otros. El objetivo principal del ataque son los dispositivos conectados a redes domésticas. Aún no se sabe exactamente cómo se produce la infección, pero se sabe que la red de bots utiliza funciones de reenvío proxy, acceso inverso al sistema y control remoto de archivos. Esto permite no solo lanzar ataques, sino también lucrar con el tráfico, usando los dispositivos comprometidos como parte de una red de proxies anónima.
Kimwolf se conoció por primera vez a finales de octubre, cuando los especialistas recibieron una de las versiones del código malicioso de un socio verificado. Desde entonces se han encontrado otros ocho ejemplares. En diciembre, el equipo registró al menos tres intentos exitosos de desconectar los servidores de control de la red de bots, tras lo cual los atacantes empezaron a usar Ethereum Name Service para reforzar su infraestructura. Esto permitió cifrar las direcciones IP de los servidores y utilizar contratos inteligentes para obtenerlas de forma oculta. La comunicación segura se facilita mediante DNS-over-TLS y otros métodos de cifrado.
El análisis mostró que más del 96% de todos los comandos recibidos por los dispositivos infectados están relacionados con la prestación de servicios de proxy, y no con ataques DDoS directos. No obstante, la red de bots admite 13 métodos distintos para llevar a cabo ataques por los protocolos UDP, TCP e ICMP, y como objetivos se indican recursos ubicados en Estados Unidos, China, Francia, Alemania y Canadá.
Resulta de especial interés la relación de Kimwolf con otra red de bots — AISURU. Según los especialistas, en la fase inicial ambos programas maliciosos se difundían con los mismos scripts e incluso usaban un certificado de firma común. En diciembre, en uno de los servidores de actualización se encontró un script que contenía enlaces tanto a Kimwolf como a AISURU, lo que confirma la pertenencia de ambas redes a un mismo grupo criminal.
El mecanismo de funcionamiento del malware sigue siendo relativamente simple: después de ejecutarse, comprueba que no se inicien duplicados, descifra la dirección del servidor de control, se conecta a él y espera instrucciones adicionales. Las versiones más recientes añaden la posibilidad de obtener la IP a través de datos de contratos inteligentes de Ethereum, lo que hace a la red de bots menos vulnerable a los intentos de detenerla.
Así, las ciberamenazas actuales con mayor frecuencia provienen no de routers infectados o cámaras IP, como ocurría en la época de Mirai, sino de televisores y decodificadores. Kimwolf es solo uno de los representantes de esta nueva generación de redes de bots, capaces de utilizar millones de dispositivos eludiendo las medidas de protección clásicas.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla