Scoperta una gigantesca botnet Android: 1,8 milioni di device infetti

Verso la fine del mese di ottobre, il panorama della sicurezza informatica globale è stato scosso da una rilevazione anomala nei dati di traffico internet. Gli analisti di Cloudflare hanno notato un sito web che, in modo del tutto inaspettato, aveva scalato le classifiche dei domini più visitati al mondo, arrivando in alcuni momenti a ricevere più contatti di quanti ne generasse una ricerca su Google.

Quello che inizialmente poteva sembrare un fenomeno virale o un’anomalia statistica si è rivelato essere qualcosa di molto più sinistro: il server di controllo di una botnet cybercriminale di proporzioni enormi. Questa scoperta ha portato alla luce una rete latente che si estende attraverso i confini nazionali, infiltrandosi silenziosamente nelle case di milioni di utenti ignari.

Quasi due milioni di device infetti

Il sistema individuato costituisce il punto nevralgico di una infrastruttura gigantesca che controlla almeno 1,8 milioni di dispositivi Android. Ribattezzata “Kimwolf“, questa rete è considerata dagli esperti di sicurezza la più grande botnet Android conosciuta fino ad oggi.

L’architettura del malware si basa su un codice simile a quello del precedente detentore del record, “Aisuru“, ma è stata ulteriormente sviluppata per risultare molto più difficile da rilevare dai sistemi di difesa tradizionali.

Il meccanismo di infezione è subdolo e si diffonde tramite file APK manipolati che, una volta installati, avviano automaticamente il malware in background.

Una volta che smartphone, tablet o TV box vengono compromessi, questi possono essere utilizzati impropriamente per una vasta gamma di scopi criminali, tra cui i temuti attacchi DDoS, durante i quali i server vengono inondati di richieste fino a essere paralizzati.

Particolarmente pericolosa è la funzione di “reverse shell” integrata nel codice maligno, che concede agli aggressori un accesso diretto alla riga di comando dei dispositivi colpiti.

Questo livello di accesso permette ai criminali di scaricare ulteriori malware, modificare file o eseguire comandi arbitrari a loro piacimento. Inoltre, la botnet funge da massiccio servizio proxy, consentendo ai perpetratori di nascondere la loro vera posizione e aggirare i blocchi IP.

I ricercatori della società di sicurezza Xlab, che sono riusciti a penetrare l’infrastruttura di Kimwolf per analizzarne l’estensione, hanno rilevato che la maggior parte degli indirizzi IP infetti si trova in Brasile, India e Stati Uniti, sebbene siano colpiti sistemi in oltre 220 paesi.

Come proteggere i propri dispositivi

Per difendersi da questa minaccia pervasiva, è fondamentale comprendere quali siano i bersagli prediletti dai criminali informatici. Secondo le analisi effettuate, la botnet prende di mira principalmente dispositivi Android privi di certificazione Google, come TV box economici senza marchio o tablet basati su AOSP che mancano dei meccanismi di protezione ufficiali di Google.

Molti di questi dispositivi infetti si trovano all’interno di abitazioni private, rendendo la minaccia estremamente diffusa a livello domestico. La prima strategia di protezione, dunque, è usare solo dispositivi con sistema operativo Android ufficiale e che riceve ancora gli aggiornamenti di sicurezza.

Di conseguenza, gli esperti consigliano vivamente agli utenti di prestare la massima attenzione al momento dell’acquisto, assicurandosi che i dispositivi Android dispongano della certificazione ufficiale Play Protect ed evitando prodotti a basso costo provenienti da produttori sconosciuti.