Según el informe de malware del Q2 de Kaspersky Lab, el malware móvil fue la categoría más significativa detectada en ese segundo trimestre de 2013, tanto en cantidad como en complejidad. Los cibercriminales no solo desarrollan programas cada vez más nocivos para plataformas móviles, sino que también están avanzando en capacidades y comportamiento de los programas.
El 30 de junio de 2013, Kaspersky Lab incluía un total de 100.386 modificaciones de malware móvil a su sistema, lo cual es un aumento dramático en comparación con finales de 2012 (46.445 modificaciones). El malware basado en Android ha evolucionado más en comparación con otras plataformas y se ha convertido en el blanco favorito de los ciberdelincuentes entre todos los sistemas operativos móviles. Se le puede considerar como el equivalente de Windows en el mundo de los smartphones.
Es importante tener en cuenta que las modificaciones no son detecciones individuales o programas maliciosos originales. Son muestras de códigos maliciosos que los cibercriminales utilizan para infectar las aplicaciones móviles legítimas. El procedimiento común para los cibercriminales es descargar aplicaciones legítimas y modificarlas con el código malicioso.
Los cibercriminales redistribuyen las aplicaciones modificadas maliciosas en sitios donde puedan ser descargadas por los usuarios, como las tiendas de aplicaciones de terceros. El sistema de Kaspersky Lab identifica las muestras de códigos maliciosos que están siendo insertados en las aplicaciones utilizando tecnologías basadas en la nube, heurística y firmas antivirus. Mediante la detección de las muestras de código malicioso, Kaspersky Lab puede determinar qué aplicaciones son maliciosas antes de que se ejecutan en el dispositivo del usuario.
Métodos habituales
En el ranking de malware móvil, el primer lugar corresponde a los Backdoors con el 32,3%, y en la segunda posición se encuentran los troyanos SMS (SMS-Trojans), con el 27,7%. Los troyanos regulares son los terceros en la clasificación (23,2%) y los troyanos espía (Trojan-Spys) se encuentran en el cuarto puesto con el 4,9%.
En cuanto a capacidades y flexibilidad, la tendencia en los programas maliciosos para dispositivos móviles converge con la de los programas maliciosos en el mundo PC. Las muestras modernas abusan de las tecnologías de ofuscación para evadir las medidas de seguridad, y suelen llevar múltiples cargas que hacen que la infección sea más persistente, que se extraiga información adicional o se descarguen e instalen programas maliciosos adicionales.
Ransomware para Android
El pasado mes de junio el ransomware (programa malicioso que extorsiona a los usuarios secuestrando el dispositivo) llegó a los dispositivos móviles, o más precisamente, una mezcla de falso antivirus y ransomware. La aplicación asociada se llama “Free Calls Update” y después de ejecutarse intentaba obtener los privilegios de administrador del dispositivo para modificar la configuración y poder encender/apagar las conexiones Wi-Fi y 3G Internet.
El archivo de instalación se elimina después de la instalación para neutralizar la solución antivirus legítima, si es que estuviera instalada en el sistema. La aplicación es un falso antivirus que finge analizar programas maliciosos y muestra que no existe ninguno en el dispositivo, alentando a la víctima a adquirir una licencia para obtener la versión completa, tal como sucede en el ambiente PC.
Al navegar, la aplicación mostraba una ventana pop-up que lograba asustar al usuario y le advertía que un programa malicioso intentaba robar contenido pornográfico del teléfono; esta advertencia era repetitiva y bloqueaba totalmente el dispositivo. El falso protector impedía eliminar la aplicación o ejecutar otras cuando se apropia de los privilegios de administrador.
Obad: el troyano Android más sofisticado de todos los tiempos
En el segundo trimestre de este año, Kaspersky Lab detectó el que es probablemente el troyano más sofisticado de todos los tiempos dirigido contra Android. Es capaz de mandar SMS a números de pago, descargar otros programas maliciosos e instalarlos en el dispositivo infectado y/o enviarlo a través de Bluetooth; y realizar cambios en remoto en el dispositivo. Los productos de Kaspersky Lab detectan este programa malicioso como Backdoor.AndroidOS.Obad.a. El archivo está totalmente cifrado y es complicado eliminarlo, no se descifra hasta que el programa consigue establecer una conexión a Internet.
Los creadores de Backdoor.AndroidOS.Obad.a encontraron un error en el software DEX2JAR, programa utilizado habitualmente por los analistas para convertir archivos APK en el formato de archivo de Java (JAR). Esta vulnerabilidad descubierta por los ciberdelincuentes interrumpe la conversión de Dalvik en bytecode Java bytecode, complicando el análisis estadístico del troyano.
Además, los ciberdelincuentes han encontrado un error en el sistema operativo Android referido a la tramitación del expediente AndroidManifest.xml. Este archivo existe en todas las aplicaciones de Android y se utiliza para describir la estructura de la aplicación, definir sus parámetros de lanzamiento, etc. El malware modifica AndroidManifest.xml de tal manera que no cumple con las normas de Google, pero se procesa correctamente en un smartphone gracias a la explotación de una vulnerabilidad determinada.
Los creadores de Backdoor.AndroidOS.Obad.a también utilizan otro error desconocido en el sistema operativo Android. Al explotar esta vulnerabilidad, las aplicaciones maliciosas pueden hacer uso de los privilegios de administrador de dispositivos sin aparecer en la lista de aplicaciones. Como resultado, es imposible borrar el programa malicioso desde el smartphone tras obtener privilegios ampliados.
