Evolución del malware móvil en 2013

0

El sector del maware para dispositivos móviles no para de crecer y crecer, es algo de lo que hablamos más o menos de forma continuada. No sólo aumenta su número, sino además la complejidad de su estructura, acompañada de la adopción de técnicas cada vez más similares al malware para compatibles.

Los desarrolladores de malware mobile ya no son individuos solitarios, sino organizaciones con varios niveles: diseñadores del código, probadores, diseñadores de interfaz tanto para apps como para webs manipuladas, donde será distribuido el malware. Además están los dueños de redes de bots móviles y programas inocuos que son utilizados como base en muchos casos.

Como pone de manifiesto el informe publicado recientemente por un experto de Kaspersky -Roman Unucheck- la labor desarrollada por los diferentes grupos se ponde de manifiesto en la evolución de los troyanos. En 2013, se encontraron evidencias de cooperación entre diferentes grupos de diseñadores de malware. Como ejemplo un caso conocido: Trojan-SMS.AndroidOS.Opfake.a, además de su propia actividad, también distribuía una backdoor “Backdoor.AndroidOS.Obad.a“, a través de spam que contenía un enlace al malware. Se basaba en la lista de contactos de la víctima.

Ahora está más que claro, que la industria del malware móvil está desarrollada y moviéndose hacia la ganancia de beneficios, idea que extraemos por las funcionalidades observadas en el malware.

2013 en números

  • El pasado año se encontraron unas 143211 modificaciones realizadas en programas maliciosos, destinadas al público móvil.
  • En 2013, aproximadamente 4 millones de paquetes o APKs fueron utilizados por los cibercriminales para distribuir malware. Si sumamos los años 2012 y 2013, asciende a un total de 10 millones de paquetes distribuídos: diferentes paquetes de instalación, pueden instalar programas con la misma función, pero que difieren únicamente en cuanto a interfaz o el contenido de los mensajes que difunde.

Paquetes de instalación detectados entre 2012 y 2013

  • Android sigue siendo la plataforma preferida para lanzar malware, con el 98,05% de todo el malware encontrado en 2013. Esto confirma la popularidad y acogida que ha tenido a nivel general, junto con la vulnerabilidad de su arquitectura.

Distribución del malware móvil encontrado por plataforma en 2013

  • La mayor parte del malware móvil está pensado para robar dinero al usuario, por ejemplo, mediante Troyanos SMS, habituales o backdoors.

Tipos principales de malware móvil encontrados

  • A lo largo del año, el número de modificaciones de malware destinadas a ataques de phishing, robo de información bancaria o dinero, ha aumentado en casi 20 veces. En 2013, Kaspersky impidió con sus productos en torno a 2500 infecciones por troyanos bancarios móviles.

Métodos y técnicas empleadas

En 2013 asistimos, no solo a un incremento brutal en la creación de nuevas amenazas móviles, sino además una evolución en sus técnicas y tecnologías empleadas por los cibercriminales para conseguir mayor efectividad y resistencia.

Distribución del malware

Veamos los principales y más sofisticados métodos empleados por los hackers para infectar dispositivos móviles, en orden de importancia:

  1. Infección de sitios web legítimos: cada vez utilizamos más nuestros dispositivos móviles para acceder a la red. De hecho, lo que menos hacemos es hablar con ellos. Muchos usuarios no son conscientes de que, incluso los sitios web más conocidos o con mejor reputación, pueden ser hackeados alguna vez. Según datos del estudio, el 0,4% de todas las webs visitadas por los usuarios de productos Kaspersky han visitado sitios web comprometidos.
  2. Tiendas alternativas o de terceros: En Asia existen multitud de compañías fabricantes de aparatos móviles y apps de Android, muchos de ellos instalan sus propias tiendas “oficiales”, que contienen programas que muchas veces no aparecen en la tienda de Google. El control de este tipo de apps por parte de terceros puede desembocar en troyanos camuflados en ellas, aunque parezcan apps inocentes, utilidades o juegos.
  3. Uso de Botnets: Como norma, los bots se intentan expandir utilizando la libreta de direcciones del individuo, enviando enlaces maliciosos en mensajes de texto (SMS). Se ha registrado, incluso, un caso en el que el malware se expandía mediante una botnet de terceros.

Resistencia ante la protección anti-malware

La capacidad del software malicioso de hacer “permanente” su presencia en el dispositivo atacado, es un importante aspecto del desarrollo vivido por estas amenazas. Cuanto más tiempo consiga el malware vivir en nuestro terminal, más dinero podrá obtener de nosotros. Los creadores de virus están siempre intentando alargar estos tiempos, apareciendo apps cada vez más resistentes.

Un aspecto clave que les permite permanecer más tiempo es la “ofuscación” del código, consistente en crear un código más complejo y que sea más difícil de analizar, añadiendo elementos redundantes o que no guardan relación alguna. Existen a día de hoy ofuscadores que se pueden adquirir por cierto precio. Como ejemplo, volvemos a señalar a Obad.a, el famoso troyano que utilizó un ofuscador comercial valorado en 350 €.

Android posee varias vulnerabilidades que hacen las delicias de los ciber-delincuentes: se puede “saltar” la comprobación de integridad al instalar una app (Masterkey); se pueden elevar los derechos de las apps maliciosas para así hacerlas más fuertes; también se puede conseguir que sean más difíciles de eliminar. Por ejemplo, Svpeng utiliza una vulnerabilidad ZeroDay para Android que le permite protegerse de la eliminación manual o mediante un software antivirus.

Los cibercriminales tamién explotan la vulnerabilidad MasterKey. Han aprendido a introducir ejecutables “no firmados” dentro de APKs (paquetes de instalación) de Android. La comprobación de firma digital se puede saltar fácilmente, dando al archivo exactamente el mismo nombre que el verdadero y poniendolo en el mismo nivel de la estructura interna. 

La única forma de librarnos de esto es actualizando el sistema, pero por desgracia muchos usuarios no hacen mucho caso a este tipo de actualizaciones. En este caso, la única ayuda que podrían recibir es la de una suite de protección antimalware.

Capacidades y funciones

En 2013, Kaspersky detectó varias tecnologías en desarrollo, utilizadas por los delincuentes en su software malicioso. Hagamos un repaso de las mismas.

El control del malware desde un Centro de Control único proporciona máxima flexibilidad. Las botnets pueden hacer más dinero que los troyanos autónomos. Por eso no sorprende que tantos Troyanos SMS incluyan funcinonalidad de bot. Según se cree, el 60% del malware móvil posee elementos de grandes y pequeñas botnets.

Utilizando el Google Cloud Messaging, los dueños de la red de bots pueden operar sin un servidor de Control o C&C, eliminando así la posibilidad de que la botnet sea detectada y bloqueada por las autoridades. Google Cloud Messaging está diseñada para enviar mensajes cortos de hasta 4 Kb a dispositivos móviles, mediante servicios de Google. El desarrollador sólo tiene que registrarse y recibir un ID único para sus apps. Los comando recibidos por esta vía no se pueden bloquear de forma inmediata en el dispositivo infectado.

By using Google Cloud Messaging botnet owners can operate without a C&C server, thus eliminating the threat of the botnet being detected and blocked by law enforcement authorities. Google Cloud Messaging is designed to send short message (up to 4 KB) to mobile devices via Google services. The developer simply has to register and receive a unique ID for his applications. The commands received via GCM cannot be blocked immediately on an infected device.

Ejemplos de malware que hace uso de esta técnica: el conocido troyano SMS.AndroidOS.FakeInst.a o el Trojan-SMS.AndroidOS.Agent.ao, junto con Opfake, mencionado antes. Google hace lo que puede, manteniéndose en contacto permanente con los desarrolladores de antivirus para saber cuando debe bloquear el ID de un criminal.

Los ataques en Windows XP, permiten al malware móvil infectar un PC, tras ser conectado este al smartphone o tablet. A principios de 2013 se detectaron 2 apps similares (en Google Play) diseñadas para (supuestamente) limpiar el sistema operativo de restos de procesos dejados por dispositivos Android. De hecho, la aplicación lo que hacía era descargar el archivo autorun.inf (contiene información de arranque de medios extraíbles) junto con un icono y el troyano Win32 que el programa detecta en la tarjeta SD del terminal.

Al conectar el smartphone  en el puerto USB con modo “depurador” en Windows XP, el sistema inicializaría automáticamente el troyano (en caso de que  Autoplay no estuviera desactivado) y el sistema queda infectado. El troyano permite a los criminales controlar de forma remota el ordenador, además de extraer grabaciones de micrófono. Es uno de esso métodos que solo consiguen su objetivo en Windows XP, motivo por el cual estamos siempre recordando la necesidad de cambiar a un sistema más seguro. Esta amenaza también necesita una versión de Android anterior a 2.2 para cumplir su cometido.

 

La moda ahora son los troyanos bancarios

En 2013 se contempló un rápido crecimiento del número de troyanos bancarios. Como veremos a continuación, la industrial de producción de malware mobile, se enfoca cada vez más hacia la consecución de beneficios más rápidos. Por ejemplo, mediante phishing mobile, robo de información de tarjetas de crédito, etc. Los ciber-criminales están obsesionados con este tipo de método de ganancias ilegales. A principios de 2013 sólo se conocían 67 de estos “troyanos bancarios”, pero a finales de año su número excedía los 1320. Hablamos de muestras únicas, no variantes. Los productos de seguridad de Kaspersky para móviles bloquearon más de 2500 intentos de infección mediante troyanos bancarios.

Troyanos bancarios móviles conocidos por Kaspersky

Los troyanos bancarios pueden funcionar a la par con los Troyanos Win32, para saltarse la autenticación en 2 pasos, como ocurrió en el caso mTAN, donde se robaban los códigos de verificación contenidos en los mensajes de texto. En 2013, quedó aptente una evolución en la fisionomía de los troyanos bancarios. Ahora, dichos troyanos solo atacan a un número limitado de clientes de banca online, pero es espera que introduzcan técnicas que les permitan llegar a más usuarios y geográficamente más lejos.

Distribución de infecciones causadas por troyanos bancarios

Los troyanos bancarios de Android son la amenaza más sofisticada y peligrosa de la plataforma. Aunque afectan principalemente a Rusia y Asia, no podremos estar tranquilos indefinidamente, pues el interés que tienen los atacantes es global.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR