Android y la industria del malware

viernes, 13 de septiembre de 2013

Está de moda afirmar que Android es el nuevo Windows. De alguna manera es bastante cierto, pero existen diferencias fundamentales que merece la pena señalar. Porque el hecho de que exista mucho malware para ambos, no los convierte en sistemas semejantes... Los motivos por los que se infecta y las técnicas, son diferentes.

Déjà vu en Android

Los trucos y técnicas de ingeniería social históricamente usados en Windows para infectar a usuarios, se están trasladando a Android. Uno de los últimos métodos conocidos, implica malware distribuido por correo electrónico con un APK adjunto que simular ser una notificación fallida de un paquete por USPS. Esto ha ocurrido desde siempre en Windows.

El scareware en Android también está comenzando a surgir de forma generalizada, con rogueware que simula librar al teléfono de fallos inexistentes. También el ransomware es una familia que se está introduciendo en Android (gracias al éxito del virus de la policía)...

Scareware en Android que no es más que una animación en una web
Y como guinda, el malware bancario también apunta a Android como objetivo, no ya como "complemento" del malware para Windows sino como fin en sí mismo.

Aplicaciones falsas en Google Play (que falla en sus controles) recuerdan a la publicidad engañosa y los programas falsos que las víctimas piensan que necesitan para visualizar contenido en Windows... incluso ya existe en Android malware totalmente dirigido, como el caso de marzo contra activistas.
Fuente: Kaspersky
Todas estas son técnicas de infección y estafas que ya hemos sufrido en Windows, y en estos ejemplos se está usando Android como vehículo para infectar a través de las mismas variaciones de métodos basados en la "ingeniería social" y con el mismo fin de lucro o robo. Hasta aquí, las coincidencias son absolutas... y lógicas. Los descritos son adaptaciones digitales de estafas que difícilmente cambiarán porque están basadas en la "vulnerabilidad humana": el miedo a perder datos, credulidad, curiosidad... que casan perfectamente con la necesidad de lucro por parte de los atacantes, (algo que tampoco cambiará porque han comprobado que existe un mercado floreciente). En este aspecto cualquier objetivo, incluyendo Android, es "el nuevo Windows", porque el problema no es tanto de la técnica del ataque o el dispositivo donde se perpetre, sino la credulidad y el desconocimiento del usuario ante el dispositivo. El atacante confía en sus poderes de convicción para que sea la propia víctima la que se infecte.

Vulnerabilidades vs. infecciones

Pero hay aspectos en los que no se parecen tanto, como las vías de infección. Por ahora, el atacante de Android confía mucho en que el usuario ejecute el APK y lo instale. Por eso despliega todo tipo de trucos para convencerlo. Aunque se han dado casos de malware para Android que explota vulnerabilidades del propio sistema operativo. Por ejemplo el famoso fallo criptográfico en Android, propició la aparición de malware que aprovechaba el problema. También durante 2012 se dieron casos de vulnerabilidades en el navegador de Android para infectar teléfonos con solo visitar webs.

Aunque no es lo habitual. Aquí encontramos la mayor diferencia. El malware para Windows sí que suele aprovechar vulnerabilidades para instalarse de forma que no requiera de la colaboración del usuario. Esto es lo que ofrece a Windows esa imagen de inseguridad y asociación perenne con el malware. Los problemas pueden llegar por otras muchas vías además de la ingeniería social: sistema operativo, navegador, reproductor, plugins, documentos, PDFs... sin que el usuario lo note y acabar pensando que el sistema operativo Windows es incontrolable porque "él no ha hecho nada". Hasta el usuario con el sentido común más agudizado, debe tener cuidado cuando usa Windows "gracias" en buena parte a los los sospechosos habituales: Flash, Office, plugin de Java, Adobe Reader... Todo este software "común" ayuda a que la imagen de Windows como foco del malware se perpetúe, a pesar de las medidas de seguridad que integra internamente para evitarlo.

Android todavía no se encuentra en ese punto del camino en su cruzada contra el malware. No se suele vulnerar en general ni el sistema operativo (más allá de la incomprensible política de firma de programas) ni aplicaciones "comunes" con las que se pudiera contaminar a muchos usuarios. ¿Qué ocurrirá si mejora la seguridad de Android y los atacantes se ven obligados a explotar en mayor medida vulnerabilidades como ocurre ahora en Windows? Teniendo en cuenta algo tan básico como la actualización de seguridad del sistema operativo y los problemas de coordinación con las operadoras, no se ofrecen muchas esperanzas....

Fuente: http://www.juniper.net/us/en/local/pdf/additional-resources/3rd-jnpr-mobile-threats-report-exec-summary.pdf
Android parte con desventaja

El problema de salir al escenario con gran cuota de mercado y ser objetivo del malware lo ha sufrido históricamente Microsoft, ha lidiado con él y en los últimos años incluso se ha "mejorado" considerablemente la situación en un juego en el que ambos bandos han elevado el listón. Si iOS se curó en salud, y resulta robusto y resistente contra el malware por diseño, Android cometió errores (por ejemplo con la mencionada política de certificados de aplicaciones, aunque puede que no sea un "error" sino una estrategia para atraer programadores) y sufre las consecuencias. La marca ya está indiscutiblemente asociada al malware, y a eso se refiere la frase "Android es el nuevo Windows". Pero además parte con desventaja, porque parecen ir a dos velocidades diferentes. El malware no viene de la banda de adolescentes que atacaba a Windows a finales de los 90, sino que se trata de una mafia organizada. El tráfico de vulnerabilidades es un mercado en auge que mueve mucho dinero, se habla de APTs, ciber* y espionaje gubernamental... y Android parece no estar (y quizás tampoco lo estén muchos de los desarrolladores) interesado en priorizar la seguridad. También parte con desventaja si busca ayuda en el software antimalware. Por mucho que las casas antivirus estén deseando ampliar su mercado, se enfrentan a los mismos problemas que el PC de escritorio con la dificultad añadida de que técnicamente las soluciones no están tan maduras, ni los usuarios tan concienciados. En este sentido todavía deben luchar contra bulos y mitos.

Fuente: http://www.juniper.net/us/en/local/pdf/additional-resources/3rd-jnpr-mobile-threats-report-exec-summary.pdf
Android ha resultado el SO más sencillo de atacar para la industria, mientras el malware crece de forma desorbitada en calidad y cantidad. Se ha topado contra la arrolladora maquinaria del malware actual como primer enemigo, sin la oportunidad de "entrenar" en "ligas menores" ni querer aprender de experiencias ajenas. Un claro ejemplo del desfase en la contienda se ha observado recientemente con malware ya muy sofisticado para Android que "prestaba" sus servicios de difusión por SMS a una familia diferente para infectar más teléfonos. Ellos están organizados y funcionan. ¿Mejora al mismo ritmo Android? Las medidas de seguridad más interesantes se están introduciendo en las últimas versiones, pero el despliegue es lento y las mejoras tibias. Como esperanza, la historia demuestra que nunca hay que descartar el poder de Google cuando decide poner patas arriba un sector o un modelo que se creía inmutable. Quizás en algún momento se harte de que se asocie el malware a la marca....

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario en la entrada