Según el informe de malware del tercer trimestre de 2013 de Kaspersky Lab, el 97,5% de todos los ataques contra las plataformas móviles corresponden a Android. Este dato no es sorprendente ya que, además de ser la plataforma más popular, mantiene la opción de instalar aplicaciones de terceras fuentes incluso en las versiones más modernas.
En el tercer trimestre de 2013, Kaspersky Lab ha acumulado un total de 120.341 modificaciones de malware móvil en su sistema, casi 20.000 muestras más que el trimestre anterior. El malware basado en Android continúa siendo el blanco favorito de los ciberdelincuentes entre todos los sistemas operativos móviles.
Es importante tener en cuenta que las modificaciones no son detecciones individuales o programas maliciosos sino que son muestras de códigos maliciosos que los cibercriminales utilizan para infectar las aplicaciones móviles legítimas. El procedimiento común para los cibercriminales es descargar aplicaciones legítimas y modificarlas con el código malicioso.
Una vez modificadas, los cibercriminales las redistribuyen en sitios donde los usuarios puedan descargarlas, como las tiendas de aplicaciones de terceros. El sistema de Kaspersky Lab identifica las muestras de códigos maliciosos que están siendo insertados en las aplicaciones modificadas utilizando tecnologías basadas en la nube, heurística y firmas antivirus. Mediante la detección de las muestras de código malicioso, Kaspersky Lab puede determinar qué aplicaciones son maliciosas antes de que se ejecuten en el dispositivo del usuario.
Métodos habituales
Las aplicaciones más conocidas siguen siendo el blanco preferido de los cibercriminales, ya que son las más demandadas por los usuarios. El ciberdelincuente sólo tiene que modificarlas con un código malicioso y aprovecharse de la popularidad de estas apps para su propagación.
En el ranking de malware móvil, el primer lugar corresponde a los troyanos puerta trasera (Backdoors) con el 31%, un 1,3% menos que el trimestre anterior. En el segundo puesto están los troyanos SMS (30%), cuyo índice ha crecido un 2,3%.; le siguen los programas troyanos (22%) y los troyanos-espía, con un índice del 5%. Los backdoors y los troyanos SMS en el tercer trimestre han sumado el 61% del total de programas maliciosos móviles, un 4,5% más que en el segundo trimestre de este mismo año.
Los expertos de Kaspersky Lab afirman que no es raro que los programas maliciosos móviles incorporen varios componentes. En el caso de los backdoors, con frecuencia tienen también funciones de troyanos SMS, y éstos pueden contener funciones complejas de bots.
El trimestre de las botnets móviles
El tercer trimestre de 2013 ha sido sin duda el de las botnets móviles. Los cibercriminales se han esforzado en hacer que sus creaciones sean más interactivas y para administrar las bots, los creadores de virus han empezado a usar Google Cloud Messaging.
Es complicado para las soluciones de seguridad detectar estas interacciones ya que es el sistema operativo el que se encarga de procesar las instrucciones recibidas del GCM y resulta imposible bloquearlas en el dispositivo infectado.
Además, a mediados de junio de 2013 los expertos de Kaspersky Lab registraron por primera vez casos en que se usaban botnets de terceros para propagar malware móvil, es decir, dispositivos móviles infectados por otros programas maliciosos administrados por otros delincuentes. De esta manera se propagaba el troyano más sofisticado para Android: Obad.a.
El malware móvil sigue enfocado, principalmente, al robo de dinero a los usuarios. En el tercer trimestre ha aparecido un nuevo programa malicioso que permite a los delincuentes robar dinero no sólo de las cuentas móviles, sino también de las cuentas bancarias de la víctima. El troyano Trojan-SMS.AndroidOS.Svpeng.a, al recibir una orden del cibercriminal comprueba si el número de teléfono está vinculado con los servicios de banca online de diferentes bancos rusos haciéndose con las claves del usuario.
Svpeng.a evita que la víctima se comunique con el banco interceptando los SMS y las llamadas de los números pertenecientes al mismo. Como resultado, la víctima durante largo tiempo no sospecha que le estén robando dinero de su cuenta bancaria.
Llaves maestras
El inicio del tercer trimestre fue testigo del descubrimiento de dos vulnerabilidades muy peligrosas en Android, ambas conocidas como “Llaves maestras” (Master keys). Estas vulnerabilidades permiten que los componentes de una aplicación eviten la firma criptográfica de manera que el sistema operativo Android la considera completamente legítima, incluso si contiene módulos maliciosos.
Las dos vulnerabilidades son muy similares. Los archivos APK son archivos ZIP con todos sus recursos comprimidos como archivos con nombres especiales (el propio código de la aplicación se almacena en el archivo clases.dex). El mismo formato ZIP no excluye la duplicación de nombres de archivos, y en caso de recursos “duplicados”, al parecer Android verifica con éxito un archivo, pero ejecuta el otro, interfiriendo en el funcionamiento del sistema.
Fuente: Kaspersky
Ilustración: Dreamstime 22873929