Una mirada al Ecosistema de Malware en Smartphones

Desde el año 2015, nuestra pantalla se ha visto cada vez más nutrida sobre noticias de usuarios que resultan afectados por malware descargado desde las tiendas oficiales de las diferentes casas de software en Smartphones.

En un artículo anterior, les mostrábamos algunas de las medidas que podemos poner en práctica para garantizar un mínimo riesgo en la obtención de aplicaciones móviles, sin embargo, en ocasiones estas medidas se ven sobrepasadas por el ingenio del ciberdelincuente quien haciendo uso, no solo de ingeniería social o técnicas de posicionamiento a través de puntaje (reviews) en el marketplace, sino que han desarrollado servicios que aparentan ser legítimos para engañar a los desarrolladores de aplicaciones con paquetes muy rentables y altamente atractivos.

Algunas técnicas de prevención ya las conocemos y podemos evitar la mayoría de este malware activando las opciones por defecto en Android para “No instalar APKs desde fuentes no confiables”, o evitar que “Downloaders (Troyanos)” se otorguen permisos de administrador (root) en el terminal móvil y terminen instalando cualquier aplicación de este Ecosistema Malicioso. En algunos casos, el Malware se instala con retardo (delay), no de manera agresiva: espera que el usuario desencadene un evento (como desbloquear el móvil), para iniciar la descarga e instalación. Sin embargo, durante la última semana varias noticias vuelven a sonar nuestras alarmas en la materia:

  • Por un lado vemos cómo el ecosistema ha evolucionado hacia incorporar servicios de publicidad ilegítima (rogue advertising), ofreciendo a los desarrolladores paquetes muy atractivos, que a la postre se utilizan para infectar aplicaciones legítimas en el marketplace,
  • Y por el otro vemos cómo se han posicionado aplicaciones ocultas (shady apps) para desarrollar servicios maliciosos que permiten a cualquier usuario móvil y newbie en las artes de la ciberdelincuencia, el desarrollo de Ransomware (TDK – Trojan Development Kits[1]), fomentando cada vez más la apuesta por las tendencias globalizadas de servicios en la nube: RaaS (Ransomware as a Service).
[1] Trojan Development Kits (TDKs): aplicativos que le permiten al ciberdelincuente crear su propio Ransomware en pocos pasos a través de una interfaz fácil de usar.

 

¿Qué los motiva?

Este movimiento tiene un corte netamente económico, las ganancias que se pueden obtener por desarrollar dentro de este ecosistema son muy atractivas, pudiendo sobrepasar los cientos de miles de dólares, todo lo que necesitan es tener habilidades para el desarrollo y los contactos adecuados en el mundo del cibercrimen. Una de las principales finalidades de estos aplicativos de publicidad es obtener la mayor cantidad de información del usuario, no solo para ofrecer en base a las tendencias y gustos, sino también en base a su ubicación física.

3-contenido-small-fusob

Por otro lado, tenemos la novedad de contar con herramientas gratuitas para crear Ransomware sin necesidad de un conocimiento técnico profundo; aunque la incursión del Ransomware en las plataformas móviles ha sido retardada por los respaldos automáticos en la nube, es un hecho que las técnicas para el bloqueo del Sistema Operativo y componentes de almacenamiento de estos equipos ha mutado y es cada vez más común ver Ransomware Móvil basado en FUSOB, SMALL y LOCKDROID.

El panorama no luce alentador, sobre todo para aquellos que confían su vida privada e información más valiosa a la plataforma Android.

¿Quienes son estos individuos?

Están organizados y cuentan con mecanismos de comunicación avanzados, podría ser su vecino hermitaño o el chico de secundaria que gusta de programación y juegos en línea; pero la verdad es que no hay un perfil determinado, puede ser cualquiera. Quienes hacen comentarios que alimentan la reputación de estas aplicaciones maliciosas, son un grupo nutrido que posee más de una identidad, con un poco de tiempo nos impresionaría lo que lograríamos obtener.

Hoy en día, este mercado se encuentra orientado a China y el Este de Europa, sin embargo, no se descarta que el próximo 2018 sea un año interesante para la expansión de este mercado hacia nuestras latitudes (como sucedió con Petya/WannaCry), tampoco descartamos que mantengan el enfoque dual por algún tiempo más (sin dejar de lado el mercado de los computadores que tantos beneficios les ha traído).

¿Qué podemos hacer contra ellos?

Cómo comentamos al inicio del artículo, en una publicación anterior compartimos algunas medidas para el “Uso seguro de aplicaciones moviles“, por lo que les sugerimos no perder de vista lo siguiente:

  1. Hacer sus respaldos en cortos períodos de tiempo.
  2. Mantener sus aplicaciones actualizadas.
  3. Mantener sus móviles actualizados (con la última versión de firmware tan pronto se encuentre disponible).
  4. Utilizar solo aplicaciones de repositorios oficiales y asegúrese que su Android cuente con la última versión de Google Play Protect.
  5. Incorporar una solución de software robusta que le garantice mantener su entorno con el menor riesgo posible, permitiéndole detectar y contener la amenaza en cuanto ésta emerja.

Contáctenos para concertar una cita y hacer una revisión sin costo de su entorno móvil..!

Fuentes:

Blog – Un Informatico en el Lado del Mal
Blog – Una al día Hispasec
Sitio Web TheHackerNews [2] [3]
Sitio Web de Forbes [4], comentarios propios del autor.

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a las amenazas en dispositivos moviles, que es y será el principal reto a resolver por todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Ing. O. J. Alvarado
GSEC, ISO27001LA, CEH
ADV Integradores y consultores
ingenieria@adv-ic.com | www.adv-ic.com | @adv_ic  | Linkedin: ADV Integradores y consultores | Facebook: ADV Integradores y consultores

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s