Un troyano de Android puede estar presente en el 99% de los terminales

0

 

Un troyano para Android que lleva "suelto" unos 4 años en la red

El equipo de desarrollo de la compañía de seguridad BluexBox Labs acaba de descubrir una vulnerabilidad en el sistema de seguridad de Android, el cual permitiría a un atacante modificar el código de un APK (paquete instalador) sin corromper la firma digital de la aplicación original. De esta forma, sin que levante sospechas, se puede convertir una aplicación original e inofensiva en un peligroso troyano. Este troyano no sería detectado ni por Google Play ni por el teléfono o el usuario.

El impacto de esta situación puede ser inmenso. Esta vulnerabilidad, presente desde que salió al mercado la versión Android 1.6 -Donut- podría estar afectando a cualquier teléfono con una antiguedad menor a 4 años. Esto supone unos 900 millones de terminales. Dependiendo del tipo de aplicación sobre la que se monte, este problema puede supone desde pérdidas de datos hasta que nuestro terminal pase a formar parte de una Botnet móvil.

Aunque el riesgo para el usuario y el entorno empresarial es grande -una aplicación modificada puede acceder a datos personales o conseguir acceso a una red empresarial- este problema está alojado en las aplicaciones desarrolladas por los constructores de terminales (como HTC, Samsung, LG, Motorola, etc) o aplicaciones de terceros que guardan relación con los aspectos básicos del sistema (por ejemplo módulos VPN o Cisco) ya que todos estos componentes tienen algo en común: acceso a aspectos básicos del sistema con elevados privilegios, como la obtención de acceso al System UID.

La instalación de una aplicación troyanizada desde un proveedor de dispositivos puede permitirle a la misma acceso completo a los ajustes del sistema y a todas las aplicaciones contenidas y sus datos. Tras esto, la aplicación afectada puede leer los datos del dispositivo: correos electrónicos, SMS, documentos, etc. También puede obtener las contraseñas almacenadas e información de cuentas. Esto significa que podría tomar control sobre casi cualquier función del dispositivo, como realizar llamadas selectivas, enviar SMS arbitrariamente, encender la cámara y realizar grabaciones.

Para un hacker todo esto ofrece un valor añadido, ya que pueden aprovecharse de un terminal que para ellos está siempre encendido, conectado y cuyo código es díficil de detectar, integrando el terminal dentro de la botnet sin esfuerzo.

Como funciona

Como decimos, la vulnerabilidad implica el aprovechamiento de discrepáncias en la forma en que Android maneja y verifica la criptografía de aplicaciones, permitiendo que un APK sea modificado sin romper las firmas de identidad de la aplicación.

Cualquier aplicación de este sistema debe contener su propia firma criptográfica, determinando la autenticidad de la misma y asegurando que esta no ha sido modificada de alguna forma. Mediante la explotación de este problema de seguridad, el atacante puede inyectar código en la aplicación objetivo, mientras hace creer al sistema que la aplicación aún es original.

La compañía Bluebox ya reportó a Google esta vulnerabilidad, de nombre 8219321, en Febrero de 2013. Ahora está en manos de los desarrolladores de teléfonos la decisión de implementar un parche o actualización que corrija este problema. Por tanto, la disponibilidad de parches dependerá en gran medida de la marca y el modelo en cuestión.

 

La imagen inferior demuestra como el equipo de Bluebox, imitando el comportamiento del troyano, ha conseguido modificar el sistema en sus aspectos más básicos, en este caso incluyendo el nombre Bluebox en el apartado Versión de Banda Base. Este es un aspecto controlado por el firmware del dispositivo.

El troyano ha permitido modificar un dispositivo HTC como se ve en la imagen

RECOMENDACIONES

 – Los usuarios deben tener mucho cuidado a la hora de identificar el “autor” de una aplicación antes de descargarla.

 – En las redes empresariales, se debe poner énfasis en informar al usuario sobre la importancia de actualizar sus dispositivos de empresa, y mantenerlos al día en el futuro.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR