El negocio de las "FakeApps" y el malware en Google Play (I): Introducción

Autor: Sergio de los Santos, ssantos@11paths.com, @ssantosv, el viernes 21 de febrero en http://blog.elevenpaths.com/

El malware en Android es un problema. Quizás aún no llegue a los términos y cifras que barajan las casas antivirus y las empresas que venden soluciones, pero desde luego, tampoco se trata de una mera exageración como nos intentaba explicar la propia Google. La realidad suele acercarse al término medio. En cualquier caso, la fuerte asociación que se está creando entre Android y el malware, azuzada por los medios, además de la percepción que está calando entre los usuarios, constituyen ya un hecho del que le costará mucho deshacerse. 

Entre tanto, el asunto del malware en Android se manifiesta en muchas formas y dispone de diferentes frentes desde los que analizar el problema. Cuando se habla de "malware para Android" se debería ser mucho más específico. ¿De qué tipo? ¿De dónde viene? ¿Cómo me infecto? ¿Qué probabilidades existen? ¿Qué consecuencias tiene? ¿Cómo me protejo? ¿Cómo me defiende el sistema operativo? ¿Quién está detrás de todo esto? ¿Es realmente preocupante? Solo respondiendo a este tipo de cuestiones se podría conocer si realmente afrontamos un problema de seguridad como otro cualquiera o nos encontramos ante una grave epidemia contra la que deberíamos estar prevenidos.

En esta serie de entradas no se van a responder (al menos con la minuciosidad que requerirían cada una) a todas esas preguntas. Nos centraremos en un método de difusión concreto, y en una forma de malware definida. Sin embargo, podrá ofrecernos una idea de cómo se difunde una buena parte del malware para Android (que redunda en la sensación de (in)seguridad que mantienen los usuarios), y cómo funcionan ciertos atacantes y la propia Google Play a la hora de "defender" su market. Se intentará realizar aproximación realista y, esperamos, interesante.

Google Play y el malware

Google Play es la tienda "oficial" de aplicaciones de Android. Existen otras, de las que Google "no se responsabiliza" y, por tanto, pueden contener cualquier tipo de programa o aplicación. En principio, hay markets más serios y otros menos "profesionales". Pero nos centraremos en el oficial, Google Play, donde también se aloja malware o al menos, mucho adware. Una de cada diez aplicaciones en Google Play es maliciosa, afirmó Trend-Micro. Para valorar las "aplicaciones maliciosas" de esta forma entran en juego muchas variables, por lo que probablemente esas cifras sean discutibles. Con el objetivo de precisar el análisis, en este estudio vamos a centrarnos en las aplicaciones falsas, en cómo suelen funcionar los atacantes, en cómo suele reaccionar Google Play, sus técnicas y, a veces, saber quién está detrás de todo esto.

¿En realidad hay tanto malware en Google Play? 

En marzo de 2013 Trend Micro analizó dos millones de aplicaciones (Believe the hype, lo titularon). Casi medio millón se calificaron como "maliciosas". Así que algunos dedujeron que una de cada cuatro apps de Android era malware. De ese medio millón, casi 70.000 venían de Google Play. Como Goolgle Play alojaba en ese momento 700.000 apps, dedujeron a su vez que una de cada 10 apps de Google Play era malware. Todos estos datos venían como consecuencia de la detección del producto comercial de Trend Micro. Esas cuentas no eran precisas, se mirase por donde se mirase. Así el "estudio" nos dejaba con más preguntas que certezas sobre de dónde venían esas dos millones de aplicaciones y qué se consideraba malware exactamente.

En contraste, a finales de septiembre de 2013, Adrian Ludwig (jefe de seguridad de Android), dio una charla en la Virus Bulletin de Berlín destinada a quitar hierro al asunto del malware en Android . Con datos sobre la mesa, desmontó el supuesto "mito" de que Android se infecta mucho con malware. Alabó la defensa en profundidad que implementa su sistema operativo. Ludwig sostuvo que los investigadores son buenos a la hora de encontrar el malware, pero que no tienen datos fiables que indiquen la frecuencia con la que una aplicación ha sido instalada. y según Google, son muy pocas las veces que esto ocurre. Pretendía presentar un gran abismo entre lo que es la existencia de malware, y cuántos dispositivos están realmente infectados. Ese discurso era, cuando menos, discutible.

Otros estudios sobre infección, que detectan actividad sospechosa en la red generada por un terminal (y permiten detectar otro tipo de malware, aunque sigue sin ser un método perfecto), concluyen que el nivel de infección es de más del 1% de los dispositivos, o en números absolutos, más de 11 millones de dispositivos infectados.

Lo que pensamos que es más seguro, es de que la vía de infección más usada actualmente es la simple instalación por parte del usuario de aplicaciones fraudulentas. La infección por vulnerabilidades, aunque posible, todavía no es mayoritaria.. Recientemente Metasploit añadió un módulo para aprovechar una vulnerabilidad en Android de forma muy sencilla. El exploit, permite obtener el control del sistema con tan solo visitar una página web manipulada especialmente. Aprovecha una vulnerabilidad que afecta a las versiones anteriores a la 4.2 (Jelly Bean) y que publicada a finales de octubre de 2012. Aun así, con esta ventana de exposición tan "apetitosa"  para los atacantes, no se observa que este sea su método preferido de infección, como lo es en los sistemas de escritorio.

También es cierto que Google Play es el market más utilizado y "reputado" por ser el oficial. De él esperaríamos ciertas garantías a la hora de instalar aplicaciones y no infectar el dispositivo. Pero su modelo de negocio contiene errores de diseño que permiten que se ofrezca malware para descarga, algo que en otros markets o stores es poco habitual, anecdótico, o aún no ha ocurrido. Pero, ¿cuánto malware o adware y cómo se distribuye en Google Play? Daremos algunas pistas en las siguientes entregas.

Sergio de los Santos

ssantos@11paths.com

@ssantosv

**************************************************************
El negocio de las "FakeApps" y el malware en Google Play (I): Introducción
El negocio de las "FakeApps" y el malware en Google Play (II)
El negocio de las "FakeApps" y el malware en Google Play (III)
El negocio de las "FakeApps" y el malware en Google Play (IV)
**************************************************************