Autor: Sergio de los Santos, ssantos@11paths.com, @ssantosv, el viernes 21 de febrero en http://blog.elevenpaths.com/
El malware en Android es un problema. Quizás aún no llegue a
los términos y cifras que
barajan las casas antivirus y las empresas que venden soluciones, pero
desde luego, tampoco
se trata de una mera exageración como nos intentaba explicar la propia Google.
La realidad suele acercarse al término medio. En cualquier caso, la fuerte
asociación que se está creando entre Android y el malware, azuzada por los
medios, además de la percepción que está calando entre los usuarios,
constituyen ya un hecho del que le costará mucho deshacerse.
Entre tanto, el asunto del malware en Android se manifiesta
en muchas formas y dispone de diferentes frentes desde los que analizar el
problema. Cuando se habla de "malware para Android" se debería ser
mucho más específico. ¿De qué tipo? ¿De dónde viene? ¿Cómo me infecto?
¿Qué probabilidades existen? ¿Qué consecuencias tiene? ¿Cómo me protejo? ¿Cómo
me defiende el sistema operativo? ¿Quién está detrás de todo esto? ¿Es
realmente preocupante? Solo respondiendo a este tipo de cuestiones se
podría conocer si realmente afrontamos un problema de seguridad como otro
cualquiera o
nos encontramos ante una grave epidemia contra la que deberíamos estar
prevenidos.
En esta serie de entradas no se van a responder (al menos
con la minuciosidad que requerirían cada una) a todas esas preguntas. Nos
centraremos en un método de difusión concreto, y en una forma de malware
definida. Sin embargo, podrá ofrecernos una idea de cómo se difunde una
buena parte del malware para Android (que redunda en la sensación de
(in)seguridad que mantienen los usuarios), y cómo funcionan ciertos atacantes y
la propia Google Play a la hora de "defender" su market. Se intentará
realizar aproximación realista y, esperamos, interesante.
Google Play y el malware
Google Play es la tienda "oficial" de aplicaciones
de Android. Existen otras, de las que Google "no se responsabiliza"
y, por tanto, pueden contener cualquier tipo de programa o aplicación. En
principio, hay markets más serios y otros menos "profesionales". Pero
nos centraremos en el oficial, Google Play, donde también se aloja malware o al
menos, mucho adware. Una de cada diez aplicaciones en Google Play es maliciosa, afirmó
Trend-Micro. Para valorar las "aplicaciones maliciosas" de esta
forma entran en juego muchas variables, por lo que probablemente esas
cifras sean discutibles. Con el objetivo de precisar el análisis, en este
estudio vamos a centrarnos en las aplicaciones falsas, en cómo suelen funcionar
los atacantes, en cómo suele reaccionar Google Play, sus técnicas y, a veces,
saber quién está detrás de todo esto.
¿En realidad hay tanto malware en Google Play?
En marzo de 2013 Trend
Micro analizó dos millones de aplicaciones (Believe the hype, lo
titularon). Casi medio millón se calificaron como "maliciosas". Así
que algunos dedujeron que una de cada cuatro apps de Android era malware. De
ese medio millón, casi 70.000 venían de Google Play. Como Goolgle Play alojaba
en ese momento 700.000 apps, dedujeron a su vez que una de cada 10 apps de
Google Play era malware. Todos estos datos venían como consecuencia de la
detección del producto comercial de Trend Micro. Esas cuentas no eran precisas,
se mirase por donde se mirase. Así el "estudio" nos dejaba
con más preguntas que certezas sobre de dónde venían esas dos millones de
aplicaciones y qué se consideraba malware exactamente.
En contraste, a finales de septiembre de 2013, Adrian Ludwig
(jefe de seguridad de Android), dio una charla en la Virus Bulletin de Berlín
destinada a quitar hierro al asunto del malware en Android . Con datos sobre la
mesa, desmontó el supuesto "mito" de que Android se infecta mucho con
malware. Alabó la defensa en profundidad que implementa su sistema operativo.
Ludwig sostuvo que los investigadores son buenos a la hora de encontrar el malware,
pero que no tienen datos fiables que indiquen la frecuencia con la que una
aplicación ha sido instalada. y según Google, son muy pocas las veces que esto
ocurre. Pretendía presentar un gran abismo entre lo que es la existencia de
malware, y cuántos dispositivos están realmente infectados. Ese
discurso era, cuando menos, discutible.
Otros estudios sobre infección, que detectan actividad
sospechosa en la red generada por un terminal (y permiten detectar otro tipo de
malware, aunque sigue sin ser un método perfecto), concluyen
que el nivel de infección es de más del 1% de los dispositivos, o en
números absolutos, más
de 11 millones de dispositivos infectados.
Lo que pensamos que es más seguro, es de que la vía de
infección más usada actualmente es la simple instalación por parte del usuario
de aplicaciones fraudulentas. La infección por vulnerabilidades, aunque
posible, todavía no es mayoritaria.. Recientemente Metasploit
añadió un módulo para aprovechar una vulnerabilidad en Android de forma muy
sencilla. El exploit, permite obtener el control del sistema con tan solo
visitar una página web manipulada especialmente. Aprovecha una vulnerabilidad
que afecta a las versiones anteriores a la 4.2 (Jelly Bean) y que publicada a
finales de octubre de 2012. Aun así, con esta ventana de exposición tan
"apetitosa" para los atacantes, no se observa que este sea su
método preferido de infección, como lo es en los sistemas de escritorio.
También es cierto que Google Play es el market más utilizado
y "reputado" por ser el oficial. De él esperaríamos ciertas
garantías a la hora de instalar aplicaciones y no infectar el dispositivo. Pero
su modelo de negocio contiene errores de diseño que permiten que se ofrezca
malware para descarga, algo que en otros markets o stores es poco habitual,
anecdótico, o aún no ha ocurrido. Pero, ¿cuánto malware o adware y cómo se
distribuye en Google Play? Daremos algunas pistas en las siguientes
entregas.
Sergio de los Santos
ssantos@11paths.com
@ssantosv
**************************************************************
El negocio de las "FakeApps" y el malware en Google Play (I): Introducción
El negocio de las "FakeApps" y el malware en Google Play (II)
El negocio de las "FakeApps" y el malware en Google Play (III)
El negocio de las "FakeApps" y el malware en Google Play (IV)
**************************************************************
**************************************************************
El negocio de las "FakeApps" y el malware en Google Play (I): Introducción
El negocio de las "FakeApps" y el malware en Google Play (II)
El negocio de las "FakeApps" y el malware en Google Play (III)
El negocio de las "FakeApps" y el malware en Google Play (IV)
**************************************************************
No hay comentarios:
Publicar un comentario