La identificación de un equipo asaltante en Internet ha hecho saltar las alarmas de todo el mundo. Nuevos informes acreditan que este grupo de asaltantes se ha colado en los servidores proxy domésticos y de oficina de miles de routers y móviles para hacer un uso ilícito de los datos de los usuarios, sobre todo aquellos destinados al sector bancario.
Por otra parte, también se han localizado aplicaciones en Google Play maliciosas que convertía a los smartphones Android en servidores proxy residenciales, utilizados para delitos cibernéticos y compras automatizadas. Sin duda, es una de las prácticas más perspicaces que se han visto en los últimos años para atrapar información confidencial sin que sean descubiertos.
40.000 routers afectados en 88 países
Un documento de la firma de seguridad Lumen Labs ha confirmado que aproximadamente 40.000 routers caseros y corporativos conocidos en inglés como SOHO (Small Office/Home) han sido atacados por una empresa criminal anónima que realiza actividades fraudulentas a través de Internet, involucrando hasta 88 países, y que cada día va aumentando el número de dispositivos que manipulan en 1.000 unidades.
Según se ha podido esclarecer, el malware es una variante de The Moon, un conjunto de códigos sospechosos que tienen su origen en el año 2014. Anteriormente, The Moon infectaba routers de la marca Linksys E1000, pero con el paso del tiempo se expandió y se centró en otros modelos como los Asus WRT, las cámaras de red Vivotek y algunos sistemas D-Link. Lo cierto es que se tratan de aparatos electrónicos obsoletos, por lo que es más fácil de acceder a ellos.
Los investigadores han deducido que este peligroso malware se adentra de forma totalmente anónima en los dispositivos y toda la información confidencial es traspasada por medio del servicio proxy Faceless a foros ilegales para ser vendida. Esta puerta de enlace es una de las más peligrosas y es utilizada principalmente por los cibercriminales para acometer sus crímenes. Esto ha dado lugar a que se formen los denominados botnets, un grupo de dispositivos infectados que están controlados por los malhechores.
No obstante, los programadores de la empresa Black Lotus han destacado que estos cibertataques se han orquestado principalmente en cuentas y organizaciones de los Estados Unidos, especialmente dentro del sector bancario.
28 aplicaciones de Google Play como punto de acceso
Otro informe de Satori Intelligence acredita que 28 aplicaciones de Google Play han sido manejadas por los cibercriminales para inscribir los dispositivos móviles de cada uno de los usuarios afectados en una red proxy residencial de 190.000 nodos para interrumpir el tráfico de Internet. De esta manera, los ciberdelincuentes ocultaban sus actos malvados, con la inclusión de spam, phishing, robo de credenciales y pulverización de contraseñas.
Estas aplicaciones corresponden a servidores VPN de Android gratuitos y modificados que utilizaban un kit de desarrollo de software de LumiApps que contenía ProxyLib, una biblioteca que permite a los desarrolladores crear una serie de códigos personalizados para automatizar procesos.
Sea como fuere, el medio BleepingComputer recomienda desinstalar esas 28 aplicaciones ilegítimas que se han difundido para no ser víctima de estafa e incide en utilizar VPN de pago para una navegación mucho más segura. A su vez, destaca que para defenderse de los llamados botnets, es imprescindible actualizar el firmware de nuestros dispositivos a la versión más reciente y utilizar contraseñas más infalibles. En el caso de que el móvil o el router estén desfasados, lo mejor es cambiarlos por uno nuevo.
Fuente: Ars Technica | adslzone
