El mundo es un lugar muy grande, y no gira en torno a lo que muchas veces podemos pensar desde occidente. La empresa Xunlei, prácticamente desconocida hasta ahora fuera de China, es la creadora del software empleado por decenas de millones de ordenadores chinos. El cliente de BitTorrent de Xunlei, llamado Thunder es el software para BitTorrent más usado en todo el mundo. En China tiene más de 100.000.000 de usuarios, por delante de los que conocemos por aquí como uTorrent, Vuze o BitComet.
La empresa Xunlei, con Google en su accionariado, ofrece en su web un índice de descargas de contenidos multimedia que luego pueden descargarse con el cliente para BitTorrent. Xunlei es el líder del mercado chino en servicios de intercambio de archivos P2P. Precisamente esa posición de dominio tan clara que tiene en China es la que explica el alcance de la infección que se ha producido a través de su software Thunder.
El pasado junio algunos usuarios detectaron la presencia de software malicioso en sus ordenadores con un certificado de seguridad perteneciente a la empresa Xunlei. Inmediatamente lo dieron a conocer en varios foros online chinos, algo que tuvo bastante repercusión en los portales de aquel país. Un hecho bastante lógico dada la popularidad de Xunlei y las decenas de millones de usuarios que tiene.
Una minuciosa investigación llevada a cabo por ESET ha mostrado que Xunlei estuvo distribuyendo malware a sus usuarios de Windows y Android. La infección empezaba con un programa de instalación para Windows que, en primer lugar, se conectaba al dominio Kankan.com para indicar que se estaba instalando en una máquina concreta. A continuación instalaba varios archivos dentro de las librerías de Windows que, a su vez, instalaban un plugin para Office. En este punto, volvía a conectarse a Kankan.com para indicar que se había instalado correctamente.
Con este enrevesado sistema, el malware se aseguraba de estar operativo cada vez que el usuario ejecutase Word, Excel o Powerpoint, que a su vez llamaban al plugin «fantasma». Este, una vez cargado, lo primero que hacía era comprobar si se estaban ejecutando programas especiales de detección de problemas en el ordenador y esconder sus huellas si encontraba alguno.
Lo siguiente era comprobar si la máquina estaba conectada a Internet. Si no encontraba una conexión, se limitaba a esperar un tiempo para volver a comprobarlo, y así hasta que estaba disponible la conexión. En el momento en el que tenía acceso a Internet, comprobaba si había actualizaciones y ponía en marcha el resto de la infección.
El paso final consistía en descargarse una aplicación para smartphones y tablets Android (.APK). Para instalarlo en el dispositivo Android era necesario que éste tuviera activado el modo de Depuración, algo que en teoría sólo debería suceder si el usuario programaba con él, pero que muchos usuarios no programadores tienen activado para rootear el teléfono o hacer capturas de pantalla.
No está claro el motivo de todo este montaje, ya que las aplicaciones Android aparentemente no eran maliciosas y sólo servían para instalar marketplaces para Android. ESET ha denominado a este código malicioso Win32/KanKan.
La compañía Xunlei, cuando se conocieron los hechos, se disculpó públicamente y anunció que esta era una iniciativa no autorizada de unos pocos empleados a los que asegura haber despedido. Desde agosto, ofrece un programa de desinfección y ha utilizado los mismos mecanismos que se pusieron en marcha para infectar los equipos para distribuirlo a las máquinas infectadas que, de esta forma, emplean el mismo mecanismo para eliminar los rastros de la infección.
Lo sorprendente de todo este incidente es que, a pesar de haber afectado a miles de usuarios, y de haber amenazado a decenas de millones de internautas chinos, precisamente por suceder allí, con programas y empresas locales, no se ha sabido nada hasta prácticamente hoy mismo. Estamos todos conectados pero la enorme barrera del idioma sigue siendo muy importante.