Investigadores de seguridad han alertado sobre la aparición de una nueva y agresiva botnet denominada UdaDoS. Este malware, que ha comenzado a reclutar miles de dispositivos en las últimas semanas, se destaca por su capacidad para lanzar ataques de Denegación de Servicio Distribuido (DDoS) de alto volumen mientras mantiene un perfil bajo para evitar ser detectada.
¿Cómo opera UdaDoS?
A diferencia de botnets tradicionales que atacan indiscriminadamente, UdaDoS muestra un enfoque híbrido sofisticado:
- Infección vía ADB: Su principal vector de entrada son dispositivos Android (TV Box, Smartphones antiguos, Tablets) que tienen el puerto ADB (Android Debug Bridge, puerto 5555) expuesto a Internet.
- Fuerza Bruta IoT: También ataca routers y cámaras IP utilizando diccionarios de contraseñas por defecto actualizados.
- Persistencia: Una vez dentro, UdaDoS elimina a otros malwares competidores (como variantes de Mirai) para asegurar el control exclusivo del ancho de banda del dispositivo.
El Peligro: Ataques “UDA” (User Datagram Attack)
El nombre “UdaDoS” deriva de su especialización en inundaciones UDP (User Datagram Protocol) altamente personalizadas. Estas ráfagas de tráfico son difíciles de filtrar para los firewalls convencionales porque imitan el tráfico legítimo de videojuegos o streaming, permitiendo a los atacantes saturar las conexiones de empresas y proveedores de internet con terabits de datos basura.
El salto a Android
Históricamente, las botnets vivían en routers y cámaras. UdaDoS confirma la tendencia de migrar hacia Android.
¿Por qué? Porque un Android TV Box tiene un procesador mucho más potente que una cámara de seguridad barata. Esto permite a la botnet:
- Encriptar su tráfico C2 (Comando y Control) para que los analistas de seguridad no puedan leer sus órdenes.
- Ejecutar ataques más complejos (Capa 7 / HTTP Floods) que requieren más CPU.
La amenaza del “DDoS-as-a-Service”
Se sospecha que los operadores de UdaDoS están alquilando esta potencia de fuego en la Dark Web. Esto significa que cualquier persona con criptomonedas puede pagar para tumbar la web de su competencia usando tu dispositivo infectado.
¿Cómo protegerse?
- Bloquea el Puerto 5555: Asegúrate de que tu firewall perimetral bloquee el tráfico entrante al puerto TCP 5555 (ADB). Ningún dispositivo externo debería tener acceso a la depuración de tus equipos Android.
- Segmentación IoT: Mantén tus dispositivos inteligentes en una VLAN separada de tu red principal.
- Monitoreo: Vigila picos inusuales de tráfico UDP saliente en horarios no laborales.
Ficha Técnica: UdaDoS
| Característica | Detalle |
| Nombre | UdaDoS |
| Objetivos de Infección | Dispositivos Android (ADB), Routers IoT, DVRs |
| Vector de Ataque | Escaneo de Puertos (5555, 23, 2323) y Fuerza Bruta |
| Tipo de Ataque | Inundación UDP, TCP SYN, HTTP Flood |
| Capacidad Especial | Eliminación de malware rival (“Killer script”) |
| Estado | En Expansión Activa |
