Malware BadBox Instalado en 30,000 Dispositivos Android

La seguridad en internet no es un extra ni un lujo, es algo básico. Pero, seamos sinceros, pocas veces lo tenemos en mente. Cada día, miles de dispositivos terminan en manos de hackers sin que nadie lo note: a veces por apps maliciosas, redes poco seguras o fallos en el sistema. Lo que pasó con el malware BadBox, sin embargo, lleva las cosas a otro nivel. Este software malicioso logró colarse en más de 30,000 dispositivos Android antes de que los usuarios siquiera los usaran. Sí, venía preinstalado desde fábrica. Y no solo afectó a teléfonos y tabletas, sino también a marcos de fotos digitales, reproductores multimedia y otros dispositivos conectados a internet (IoT).

El malware fue detectado y bloqueado por la Oficina Federal de Seguridad de la Información de Alemania (BSI), pero su propósito era claro: robar datos personales, instalar más malware y permitir a los hackers acceso remoto a redes enteras. Este caso no solo es alarmante, también nos deja una pregunta que no podemos ignorar: ¿qué tan seguros son los dispositivos que compramos? Aquí te contamos qué pasó, por qué esto importa y qué puedes hacer para protegerte.

¿Cómo BadBox Infecta Dispositivos y Qué Hizo Alemania para Detenerlo?

Cuando un dispositivo infectado con BadBox se conecta a internet por primera vez, el malware empieza a hacer su trabajo: se comunica con un servidor remoto, conocido como servidor de comando y control (C2), manejado por los hackers detrás del ataque. Ese servidor le dice al malware qué hacer exactamente, desde qué funciones maliciosas activar hasta cómo manejar los datos robados del dispositivo y la red a la que está conectado.

Según el BSI (la agencia de ciberseguridad de Alemania), BadBox es un todoterreno del cibercrimen. Puede robar códigos de autenticación de dos factores (sí, incluso los que usamos para proteger cuentas importantes), instalar más malware y hasta crear cuentas en plataformas de correo y mensajería. ¿Para qué? Para difundir noticias falsas o llevar a cabo otras campañas fraudulentas. Y eso no es todo: también comete fraudes publicitarios cargando anuncios y simulando clics en segundo plano, generando ingresos para los estafadores sin que el usuario sospeche nada.

Por si fuera poco, BadBox puede convertir tu dispositivo en un proxy residencial, lo que significa que los hackers usan tu conexión a internet y la dirección IP de tu dispositivo para enrutar su propio tráfico. Esto no solo consume tu ancho de banda, sino que puede vincularte indirectamente con actividades ilegales que ellos estén realizando.

Podría interesarte leer: NoviSpy: Spyware para Android que explota fallos zero-day de Qualcomm

¿Cómo detuvieron esto en Alemania?

Aquí es donde entra el BSI. La agencia logró bloquear la comunicación entre los dispositivos infectados y los servidores de los hackers gracias a una técnica llamada "hundimiento" (sinkholing). Básicamente, redirigieron las solicitudes DNS (es decir, las conexiones que los dispositivos intentaban establecer con los servidores maliciosos) hacia servidores controlados por la policía. De esta manera, el malware no puede enviar datos robados ni recibir órdenes para realizar más ataques.

En palabras del BSI: "Actualmente, la comunicación de los dispositivos afectados se está redirigiendo hacia nuestros servidores como parte de una medida de hundimiento conforme a la Ley de Seguridad de la Información (BSIG)". Según la agencia, esta técnica es efectiva y mientras mantengan el hundimiento activo, los dispositivos infectados no representan un peligro grave. Sin embargo, este bloqueo es una solución temporal y no elimina el malware del dispositivo.

Según el BSI, todos los dispositivos infectados con BadBox estaban ejecutando versiones antiguas de Android y firmware desactualizado. Esto significa que incluso si el malware se elimina, esos dispositivos siguen siendo un blanco fácil para otras amenazas, como botnets y más malware.

La presidenta del BSI, Claudia Plattner, fue muy directa sobre el problema:

“El malware en dispositivos conectados a Internet no es algo raro. Las versiones de firmware obsoletas son un riesgo enorme. Los fabricantes y distribuidores deben evitar que este tipo de productos lleguen al mercado. Pero los consumidores también pueden actuar: la ciberseguridad debe ser un criterio importante al comprar un dispositivo.”

¿Cuántos dispositivos más podrían estar infectados?

El panorama no es alentador. La agencia advierte que, debido a la gran variedad de fabricantes de dispositivos Android IoT y la cantidad de modelos que existen, es muy probable que haya muchos más dispositivos infectados con BadBox o malware similar, que aún no han sido identificados. Estos pueden incluir:

1. Teléfonos y tabletas Android.
   
   
2. Cámaras de seguridad.
   
   
3. Parlantes inteligentes.
   
   
4. Televisores inteligentes.
   
   
5. Decodificadores de streaming.
   
   
6. Otros dispositivos conectados a internet.

Básicamente, cualquier dispositivo que haya tomado un camino “sospechoso” desde su fabricación hasta las tiendas de reventa puede estar comprometido.

¿Cómo saber si tu dispositivo tiene malware?

Si tienes dudas de que tu dispositivo podría estar infectado con algún tipo de malware (como botnets), aquí hay algunas señales comunes a las que debes prestar atención:

1. Sobrecalentamiento inexplicable, incluso cuando el dispositivo no está en uso.
   
   
2. Rendimiento lento o caídas aleatorias.
   
   
3. Cambios en la configuración que no hiciste tú.
   
   
4. Actividad inusual, como notificaciones o comportamientos extraños.
   
   
5. Conexiones a servidores desconocidos, especialmente si consumes más datos de lo normal.

Podría interesarte leer:  Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad

La clave está en la prevención