BAQUIA

Malware en Android y Google Play

MalwareAndroid.jpg

El pasado 16 de abril Sergio de los Santos, ingeniero de seguridad informática y director del Laboratorio de Eleven Paths, participó en el ciclo de conferencias UPM TASSI de la Universidad Politécnica de Madrid con una ponencia sobre el malware en Android.

La existencia de malware en Google Play es una realidad que no debemos obviar los usuarios de Android. Aunque Google ha tomado algunas medidas de seguridad en su market de aplicaciones; el hecho es que Android sigue siendo el sistema operativo móvil con mayor número de infecciones por malware.  Sólo en en el segundo semestre de 2014, los expertos de G DATA analizaron 796.993 nuevos programas maliciosos, casi 4.500 cada día; y es más, según un informe de Alcatel-Lucent el número de dispositivos móviles Android infectados en 2014 se ha igualado al de portátiles con Windows.

b2ap3_thumbnail_Infeccion-malware-moviles.png

 

Sergio de los Santos se empezó a interesar por el comportamiento del malware en Android en una ocasión que buscaba en Google Play una aplicación para bloquear la publicidad de su dispositivo; y en la que se encontró con la existencia de aplicaciones falsas (fake apps en inglés), que a su vez son software de publicidad.

Google Play

Cuando se va a analizar este tipo de malware, lo primero que hay que estudiar es su procedencia; es decir, la tienda oficial desde donde se descargan las aplicaciones; que como todo sabemos es Google Play.

Según estudios realizados por Trend Micro en 2013, uno de cada diez aplicaciones de Google Play eran maliciosas, algo discutible según qué vara de medir se utilice para calificarlas como tal. En este punto Sergio de explayó bastante, aportando pruebas para al menos desconfiar de las afirmaciones tan contundentes. Por otro lado, para contrarrestar la idea generalizada de que Android es inseguro, el jefe de seguridad de Android (Adrian Ludwig) dijo a finales de 2013 que “una cosa es que haya malware en el market, y otra diferente es el número de instalaciones que se realizan”; cosa que según Google ocurre pocas veces, idea que en la charla también se intentó desmontar.

b2ap3_thumbnail_GooglePlay-2.jpg

Y ¿ por qué los delincuentes prefieren Google Play al Apple Store ? Hay varias respuestas para esta cuestión; pero principalmente son dos. La primera es porque Android es el sistema operativo más extendido; y por tanto proporciona mayor número de víctimas. En segundo lugar, porque el market de Apple tiene una tarifa más cara para publicar aplicaciones (tarifa de desarrollador: 99 $ anuales frente a un pago único de 25 $); y sobre todo porque las políticas de admisión de nuevas aplicaciones son mucho más estrictas.

Por otro lado, Sergio añadió que las infecciones de Android llegan mayoritariamente a través de descargas fraudulentas;  siendo las infecciones por explotación de vulnerabilidades menos frecuentes

Fake Apps

Muchas de las falsas aplicaciones no suelen ser detectadas por los antivirus y además “se disfrazan” de aplicaciones válidas. En ocasiones, las operaciones que realizan son las prometidas. Pero lo que hacen es aprovechar la funcionalidad del teléfono para ejecutar acciones que impliquen algún coste, como por ejemplo enviar mensajes SMS premium.

Los programadores de fake apps eligen logos e iconos casi idénticos a la aplicación que están imitando para intentar engañar al usuario. También suelen crear aplicaciones de pago que existen para iOS; y las ofrecen gratis para Android.

Además, aunque no sepas programar java, tienes varias ayudas como algunas herramientas que te proporcionan el esqueleto de una app para que puedas terminarla, o servicios web que te ayudan a crear una.

b2ap3_thumbnail_fake-apps.jpg

En general, el comportamiento de las fake apps se expresa mediante la invasión de publicidad. También se ha observado que piden la puntuación de la aplicación antes de poder empezar a usarla, con idea de que otros usuarios vean la valoración, y así se decidan a descargarla. Aunque para este objeto hay quien contrata usuarios falsos para hacer las puntuaciones.

En 2013 Google actualizó las políticas para desarrolladores de Google Play con idea de evitar el plagio de las imágenes de otras aplicaciones.

\”Restringimos el uso de nombres e iconos que puedan confundir por lo similar con apps existentes en el sistema, para reducir la confusión.\”

Es por ello que la tendencia en las nuevas fake apps ha cambiado, y ahora se disfrazan de aplicaciones peculiares como una linterna, juegos de cartas, o incluso de antivirus falsos.

Antivirus

Muchos de vosotros confiaréis en que los antivirus son capaces de proteger vuestros dispositivos móviles de este tipo de amenazas. Y en principio debería ser así; pero el desarrollo de programas antimalware en plataformas móviles está menos maduro que en los equipos de escritorio. Algunos antivirus se basan en listas negras, de tal manera que deciden si un programa es malware o no comparando su firma hash. Además, un antivirus basado en el reconocimiento de firmas normalmente no es capaz de detectar malware nuevo.

Según comenta Sergio de los Santos, hay otras posibilidades para detectar malware; pero algunas serían lentas como las sandbox, y una detección basada en los permisos que tiene la aplicación tampoco sería válida. Lo que sí ayudaría a mitigar el número de aplicaciones maliciosas en Google Play sería que Google reforzara las políticas de seguridad para subir aplicaciones a la tienda.

Por otro lado, el store de Google no sólo tiene malware del tipo fake apps; sino que también se han encontrado troyanos, RATs y  \”minadores\” de litecoins.

b2ap3_thumbnail_Troyano.jpg

 

Casos reales de malware

Shuabang. En noviembre de 2014 ElevenPaths descubrió y alertó sobre este tipo de malware.”

Se trata de un sistema sofisticado de procedencia china, que actúa como una botnet. El objetivo de Shuabang es conseguir una posición alta de valoración para determinadas apps en la tienda de Google. Para ello crea una infraestructura que permite por una parte valorar/puntuar las aplicaciones de Google Play de forma artificial; y por otra aumentar el número de descargas. El fraude se consigue asociando cuentas falsas de Google a distintos identificadores de smartphones reales conseguidos previamente. El sistema logra instalar cuentas falsas de Google en los dispositivos, y simular la descarga de aplicaciones bajo esas cuentas.; y así posicionarlas más alto en Google Play.

Clickers, nuevo método de fraude por clic descubierto por ElevenPaths

Los clickers son programas que simulan clicks en determinadas zonas de una página web. Esto es interesante económicamente porque los anuncios publicitarios se pagan por número de clicks en el anuncio. Por tanto, con un clicker la empresa propietaria de una página web que aloje anuncios, podría conseguir de forma fraudulenta más dinero de la empresa publicitaria.

Algunos ejemplos de este tipo de apps fueron un Talking Tom, y un Cut the Rope falsos; que en realidad se dedicaron a visitar anuncios y banners.

Cómo defenderse del malware de Android

Sergio transmitió algunos consejos para protegernos de las aplicaciones Android maliciosas. En primer lugar la responsabilidad del usuario a la hora de descargarse aplicaciones. Por ejemplo, no descargar de tiendas de aplicaciones no oficiales, y asegurarse de qué aplicación estamos descargando. Como herramientas antivirus cree que los mejores son las marcas tradicionales de escritorio.

Si alguna vez sufrís un ataque de malware en Android, o en cualquier otro equipo informático, es conveniente siempre denunciarlo a la policía; pero el problema, según comentó Sergio es que en el caso de los fraudes a través de móviles es muy difícil identificar al atacante.

b2ap3_thumbnail_EnvioEmail.jpg

Conclusiones

Como resumen de la ponencia podemos quedarnos con estas ideas:

  • La tienda de Google Play es un lugar perfecto para el fraude, por su mayor exposición.

  • Es muy difícil detectar malware en Google Play porque el número de peticiones de publicación diario es demasiado grande.

  • Google debería realizar un mejor filtrado de las peticiones de publicación de apps.

  • La mayor parte del \”malware\” del que se habla en Google Play son las fake apps que nos invaden de publicidad.

  • Es recomendable, aunque no suficiente, usar un antivirus para protegernos porque realiza una limpieza de al menos parte del malware que nos podemos encontrar.

En la conferencia se habló en algún punto de Tacyt, la herramienta de análisis de amenazas móviles de Eleven Paths. Quería comentarla en el artículo por varias razones. Primero porque tiene que ver con el tema del post; pero también porque es una herramienta muy innovadora que permite encontrar amenazas de una forma muy sencilla.

Tacyt fue presentada por ElevenPaths en octubre de 2014; y se la considera una herramienta de ciberinteligencia para amenazas móviles que supervisa, almacena, analiza, correlaciona y clasifica millones de apps móviles, añadiendo miles de aplicaciones nuevas cada día.

Uno de los principales beneficios de Tacyt es obtener toda la información relativa a una aplicación: metadatos, permisos, desarrollador, ficheros, urls a las que accede, etc … Pero además de servir como ayuda para la prevención del fraude de apps, también colabora en la detección de amenazas contra la marca de una empresa, o es capaz de identificar patrones sospechosos de desarrolladores sospechosos, aplicaciones que comparten información, etc.

b2ap3_thumbnail_Tacyt.jpg

¿ Y para quién está destinada Tacyt ? El público al que va dirigido, o que puede sacar provecho de esta herramienta es muy variado. Va desde investigadores y analistas de seguridad, pasando por empresas que quieran reducir el riesgo del uso de las apps, proveedores de servicios de seguridad gestionada (MSSP), o empresas que quieran monitorizar la aparición de apps imitadoras.

Al terminar la charla, algunos asistentes nos acercamos a Sergio de los Santos para hacer algunas preguntas, entre las que salió, cómo no, Tacyt. Sergio comentó que han hecho pilotos para entidades bancarias y para la administración pública; y también añadió que algún fabricante de antivirus se ha puesto en contacto con ellos para interesarse por la herramienta.

Podéis ampliar información en el blog de Eleven Paths

Y vosotros ¿ habéis sufrido alguna fake app que os inunde el móvil con la maldita publicidad ? ¿ usáis algún tipo de antimalware, o seguridad en el móvil ?

 

 


Compartir en :


Noticias relacionadas




Comentarios