Pela primeira vez foi registrada uma botnet usando centenas de milhares de dispositivos Android para ataques de negação de serviço. A rede, chamada de WireX, controlava 120 mil endereços de IP diferentes espalhados por 100 países; os dispositivos eram comandados remotamente e usados para ciberataques.

Antes de tudo, se você não sabe o que é uma botnet: é uma rede de dispositivos infectados que são controlados remotamente por um cibercriminoso, normalmente sem conhecimento do usuário. Elas geralmente são usadas para ataques de DDoS (ou negação de serviço), em que centenas de milhares ou milhões de dispositivos bombardeiam servidores com o objetivo de tirar um site do ar ou impedir o seu funcionamento, como se 1 milhão de pessoas entrassem na mesma página ao mesmo tempo, sobrecarregando a infraestrutura que mantém o serviço online.

No caso da rede WireX, o que impressiona é o método de infecção. Foram 300 aplicativos que eram distribuídos legitimamente por meio do Google Play, a loja oficial do Android. Após a instalação, o aparelho era inscrito na rede e passava a ser usado para ataques.

O ataque em si também era peculiar. O site Ars Technica relata que os operadores da botnet entravam em contato com a equipe de tecnologia alertando sobre o DDoS e exigiam um pagamento para que o ataque não ocorresse. Ao espalhar a origem por tantos lugares diferentes, os cibercriminosos tornavam mais difícil a proteção contra o ataque, com até 20 mil requisições HTTP por segundo.

-> Google Play Store: tudo sobre a loja de aplicativos do Android
-> Como resolver os principais erros da Play Store

Para um site grande, 20 mil acessos por segundo não parece muita coisa, mas o estrago pode ser considerável se o ataque for direcionado. Por exemplo: o afunilamento dessas requisições em uma página de busca, que naturalmente requer mais recursos, por exemplo, pode levar os servidores a exceder seus limites.

A ideia, no entanto, era expandir as capacidades da WireX com o tempo, segundo os pesquisadores que ajudaram a neutralizar a rede. Justin Paine, diretor da CloudFlare, que fez parte do grupo de sete organizações de segurança que desmantelou a botnet, acredita que a rede ainda estava em sua infância, e seu poder deveria aumentar com o passar do tempo, com mais dispositivos infectados.

As outras organizações que participaram do esforço foram Akamai, Flashpoint, Google, Dyn (da Oracle), RiskIQ e o Team Cymru.