Cómo funciona el malware dirigido a dispositivos móviles
ESET Latinoamérica repasa el funcionamiento del malware en dispositivos móviles, desde los métodos más comunes de distribución hasta los mecanismos que se implementan para no ser detectados.
Buenos Aires, 5 de marzo de 2020 - Está claro que los dispositivos móviles manejan información sensible de nuestras vidas y eso los convierte en un blanco atractivo para los cibercriminales. Es por eso que desde el Laboratorio de Investigación de ESET Latinoamérica, compañía líder en la detección proactiva de amenazas, comparten de qué manera funciona el malware a dispositivos móviles de manera de estar prevenidos.
Android es el sistema operativo móvil más utilizado en el mundo, concentra actualmente el 76% del mercado. “Hay diversas versiones activas del sistema, donde el 90% de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre Oreo. Esta cantidad de usuarios y la variedad del ecosistema vuelve a la plataforma el blanco perfecto para cibercriminales, provocando que las detecciones de códigos maliciosos para Android representen el 99% de todo el malware para móviles.”, menciona Denise Giusto Bilic, Especialista en Seguridad Informática del Laboratorio de Investigación de ESET Latinoamérica
Para la propagación de un código malicioso en Android, por ejemplo, ESET explica que el primer paso es la propagación de la amenaza, es decir, lograr que ese ejecutable malicioso alcance el entorno de la víctima. Para conseguir esto, los atacantes se valen de un conjunto de estrategias:
Vulnerabilidades: La explotación de fallos de seguridad a través de los diversos estratos de la arquitectura móvil es uno de los vectores utilizados para lograr la ejecución de código malicioso en el entorno de la víctima. Esta explotación puede referirse a fallos en el hardware, como ocurrió con QuadRooter: un conjunto de fallos que años atrás dejó vulnerables a 900 millones de dispositivos con Android y procesadores Qualcomm. Similarmente, el firmware puede estar expuesto a huecos de seguridad, tal como se demostró en 2018 cuando investigadores encontraron decenas de fallos en las versiones de fábrica de varios modelos de equipos con Android.
Otra posibilidad son las aplicaciones de usuario que se instalan en los equipos y no siempre se ciñen a estándares de desarrollo seguro e, incluso de hacerlo, no están exentas de incluir puertas de entrada al sistema. Un ejemplo reciente fue el fallo de WhatsApp que permitía lograr una sesión remota en el equipo víctima mediante la recepción de un GIF específicamente creado para detonar funcionalidad maliciosa. Esta misma app sufrió también un fallo que habilitaba la instalación de spyware en los teléfonos de los usuarios.
Malware en tiendas oficiales: Las tiendas oficiales dejaron de ser completamente seguras, por lo que una app no es legítima solo por distribuirse en una tienda oficial. Un reporte de ElevenPaths concluyó que las apps maliciosas permanecen un promedio de 51 días en Google Play, llegando en algunos casos a permanecer por 138 días.
Los atacantes no solo se aprovechan de la posibilidad de subir malware a la tienda oficial, sino que además encuentran maneras de sacar provecho de aquellas aplicaciones legítimas que no se distribuyen mediante Google Play. El caso ejemplar de los últimos años fue Fortnite, un juego con más de 250 millones de usuarios en el mundo, cuyos desarrolladores decidieron no distribuir a través de Google Play. Además de las vulnerabilidades encontradas en el instalador de Fortnite que permitían la instalación de malware, la sola falta de esta app tan popular catapultó a los usuarios hacia tiendas de terceros y sitios de dudosa reputación accesibles mediante una búsqueda web.
Imagen 1. Sitios de terceros para descargar ejecutables de Fortnite.
Campañas en redes sociales: Engaños que pretendían permitir cambiar el color de WhatsApp, hacer videoconferencias cuando aún no existía tal funcionalidad o elaborados sistemas de estafas geolocalizadas que funcionaban mediante supuestos cupones de canje fueron algunas de las más notables campañas en teléfonos móviles. El fin usualmente es lograr que el usuario descargue e instale una aplicación, ceda sus datos o termine suscripto a un servicio de mensajería premium por el cual se le cobrará sin su conocimiento.
Pie de imagen: Diferentes finalidades de campañas de Ingeniería Social vía WhatsApp.
Troyanos y scareware: Las estafas dedicadas a asustar a los usuarios para lograr que se precipiten a ingresar a un enlace, descargar una amenaza o aceptar un permiso siguen vigentes. Muchas aplicaciones falsas buscan hacerse pasar por soluciones de seguridad y prometen al usuario ser las únicas capaces de desinfectar su terminal. El hecho de camuflarse como herramientas de protección brinda a los ciberdelincuentes ciertas ventajas, una de las cuales es escudarse bajo una figura de confianza, de modo que el usuario no dudará en otorgar a la aplicación permisos de administrador del terminal.
En este sentido, desde ESET mencionan que la capacidad de permanecer en el sistema el mayor tiempo posible es de vital importancia para algunas campañas criminales, como aquellas basadas en ciberespionaje. En un entorno móvil, esto se logra combinando mecanismos variados, como:
- Pretender ser aplicaciones del sistema (por ejemplo, Ajustes) para levantar menos sospechas.
- Bloquear la desinstalación habiendo ganado ya permisos de administrador.
- Mostrar mensajes engañosos, por ejemplo, mensajes que simulan un fallo durante la instalación.
- Ocultar el icono del menú de aplicaciones.
- Superponer ventanas falsas para cubrir la actividad maliciosa.
“Cuando hablamos de proteger nuestros teléfonos debemos tener en cuenta que la superficie de ataque incluye mucho más que malware. Múltiples factores pueden comprometer al teléfono (vulnerabilidades, extravío, robo, rotura, configuraciones inseguras, Ingeniería Social), a la red (mensajes MMS maliciosos, antenas y hotspots fraudulentos, interceptación de mensajes, espionaje, redes públicas inseguras) o a los servicios en la nube (explotación, fuga de datos, recolección indiscriminada, contenido peligroso, cryptojacking, y mucho más). Sin embargo, considerando que el 60% de los usuarios no posee una solución de seguridad móvil, es sería el paso básico donde empezar. La educación y la concientización son puntos clave para comprender a que nos exponemos y tomar medidas en consecuencia, para así disfrutar de la tecnología de manera segura”, comenta Denise Giusto Bilic.
Además, ESET acerca #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea. De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/01/15/como-funciona-el-malware-dirigido-a-dispositivos-moviles/