"Tienes más posibilidades de que te alcance un rayo, que de que se infecte tu móvil". ¿De verdad?

lunes, 27 de abril de 2015

Usar titulares con gancho para llamar la atención sobre un estudio... se ha hecho siempre, hay que permitir y entender que se tomen ciertas licencias. Pero cada vez la atención es más escasa porque el número de integrantes de una industria crece, el potencial cliente se "inmuniza" y es necesario elevar el listón... Este titular de Damballa sobre un estudio de malware en telefonía móvil suena bien, pero ¿qué hay de cierto si leemos la letra pequeña, los comparamos con otros, o incluso simplemente razonamos un poco?

El estudio

Del estudio destacan este titular, como claro reclamo para que los periodistas lo perpetúen:

Investigación sobre el 50% de los móviles estadounidenses concluye que tienes 1.3 más
posibilidades de ser alcanzado por un rayo que de tener malware en tu dispositivo de comunicación

Damballa ha realizado un estudio bastante interesante. Para evaluar los niveles de infección en móviles, no se basa en firmas (evitando todos los conocidos problemas tanto técnicos como de interpretación que surgen cuando se utilizan firmas antivirus). Disponen de DNS pasivos (o lo que es lo mismo, la capacidad de saber qué dominios resuelve un teléfono) del 50% del tráfico móvil de Estados Unidos. Entendemos que porque tienen acceso a los DNS del operador dominante, lo que ya puede suponer una desvirtualización del estudio (¿sabemos si el operador elegido define de alguna forma al tipo de usuario?) Así que, en la RSA han aprovechado para presentar su segundo estudio (el primero fue en 2012) con la siguiente metodología:

  • En el estudio realizado durante el último cuatrimestre de 2014, vieron entre 160 y 130 millones de dispositivos por día.

  • Estos dispositivos contactaron con 2.762.453 host únicos. Solo 9.688 de 151 millones de dispositivos contactaron con una lista negra de hosts. De ahí se deduce que el 0,0064% de móviles están infectados. Puesto que el National Weather Services dice que las posibilidades de ser alcanzado por un rayo son de 0,01%, el titular está servido.

¿Qué base tienen esos números?

No es difícil saber por dónde empezar: nadie tiene la verdad absoluta. Este tipo de datos, como en las encuestas, pueden cocinarse más o menos. Aunque desde el espíritu crítico, se pueden intentar señalar los potenciales puntos débiles del estudio y que pueden hacer (cuando menos) variar ostensiblemente los números. Incluso no es difícil encontrar otras investigaciones con resultados muy dispares. Pero si nos centramos en los potenciales puntos débiles del estudio, pueden esconderse en varios aspectos.

En el método y en la cantidad

No dan muchos más detalles sobre la metodología. En principio, es un método más interesante que el de las firmas antivirus. Elude los conocidos problemas de calidad de detección, de uso de motores, de interpretación, etc. y va directo al grano de la comunicación que hace el infectado: en este caso, han dado por hecho que una petición equivale a un infectado. Esto es posible porque tenían acceso al tráfico móvil en Estados Unidos. ¿Incluye conexiones WiFi? El malware más sofisticado puede intentar eludir conexión de datos, o el usuario no tener contratado este servicio. ¿Es Estados Unidos un país suficientemente representativo? Esta misma prueba, según la propia Google (cuyo interés, lógicamente, es dar un mensaje de tranquilidad sobre los niveles de infección) habría sido muy diferente según el país en el que se hubiese realizado.

Estudio oficial de Google sobre malware en Android en 2014. PHA = Potentially Harmful Apps

En la gráfica queda claro que China, Rusia, Emiratos Árabes... son países con un porcentaje cercanos al 1% de infección. El titular de Damballa no aplica en ellos. Pero centrémonos en Estados Unidos, como el estudio. En ese gráfico, la "media de infección" en US se aprecia superior al 0,1%. Aunque nos manejemos con números pequeños y sólo en este país, es del orden de 16 veces mayor que lo que afirma Damballa (0,0064%). Con aproximaciones diferentes, las conclusiones son muy diferentes.

Por ofrecer otra aproximación que igualmente no se corresponde con los resultados de Damballa: En 2013, un informe realizado por Kindsight, también basado en el estudio del tráfico en el operador (no solo dominios, sino inspeccionando el tráfico) hablaba de que el 1% de los Android estaban infectados.

Estudio de 2013 elevaba al 1% los Android con malware, basado en un método de tráfico, no de firmas

Volviendo al estudio de Damballa, no se dice durante cuánto tiempo se ha realizado el estudio. En 2012 (hay más detalles de ese estudio aquí) hablan de tres periodos de seis días. Suponemos que han calculado la media de 151 millones (entre 130 y 160 millones al día) de dispositivos diferentes conectados a diario. Aunque luego utilizan el total de dominios en lista negra contactados durante todo el tiempo, para calcular el porcentaje. ¿Son estos números representativos?

Al margen de todas estas preguntas, la espina dorsal del estudio se basa, creemos, en dos asunciones:

  • Damballa dispone de un conjunto de listas negras de dominios lo suficientemente representativo. En nuestra opinión, en este caso se están sustituyendo firmas (trozos de código o características que definen una muestra) por dominios contactados para detectar malware. Es un método interesante porque un dominio contactado en la lista negra casi "confirma" una infección, pero hereda la misma "imprecisión" de las firmas. ¿Cuántos dominios utilizas? ¿En qué se basa tu criterio para elegir dominios? Quizás se base en, precisamente, los dominios contactados por malware cazado a través de firmas antivirus. Además, la volatilidad de la lista negra de dominios es alta. ¿Se tiene en cuenta? ¿Acaso todo el tipo malware necesita contactar regularmente con dominios? La inmensa mayoría del malware para Android está basado en estafas y llamadas SMS. Muchos de ellos necesitan contactar con servidores pero otros tantos no... ¿Se tienen en cuenta? Un ejemplo claro son los clásicos ZiTM (Zeus in the Mobile), en el que el usuario descarga un programa (ahí sí podría ser detectado por el estudio) y una vez instalado, reenvía los SMS del banco al atacante. No se necesita un dominio C&C con el que contactar regularmente. ¿Qué pasa con los dominios de sistemas de anuncios, legítimos, pero que pueden ser configurados agresivamente para robar información o saturar al usuario de anuncios (adware)?... Al final, el método es tan bueno como la certeza de tu supuesto inicial. En este caso, si la calidad de los dominios en la lista negra no es buena, o si solo salen a la luz las infecciones en las que regularmente se contacta con un C&C, es un método interesante, pero tan válido o inválido como otros tradicionales.
  • Todo el que contacta con uno de esos dominios, está infectado. El que no, no lo está. Como siempre, lo interesante es lo no detectado, lo que escapa a una lista negra o heurística ya diseñada. Ese porcentaje de "infectados silenciosos" que no pueden ser catalogados ni por firma, dominio contactado u otros medios y que saldrán a la luz en futuro... o no. Lo que Damballa y cualquier otro método caza, es simplemente lo conocido en este momento. Es imprescindible añadirle un porcentaje de incertidumbre antes de lanzarse con afirmaciones absolutas.


¿Entonces el titular no es cierto?

El titular responde a la investigación, pero el mensaje es peligroso. Creemos que las posibilidades de infectar un móvil no dependen del azar, desde luego, ni que sean tan bajas. El factor fundamental para hablar de "probabilidades de infección", igual que en el escritorio, depende mucho de los hábitos de uso. Y en el mundo móvil, concretamente, está estrechamente ligado (mucho más que con el escritorio, incluso) con qué apps se instalen y de la fuente que provengan. En el mundo móvil, no son populares las infecciones por otros métodos que no sean la instalación directa (no se usan masivamente exploits todavía).

Podríamos aventurarnos en este sentido con estudios hipotéticos y sacar otras cifras basadas en estos mismos términos. Imaginemos que un usuario es cuidadoso y solo utiliza Google Play para instalar apps. Usando Tacyt, en octubre de 2014 realizamos un estudio privado en el que concluimos que un 1% de las apps en Google Play eran detectadas por 9 o más motores de VirusTotal. Otros estudios se conforman con catalogar como adware o malware las detectadas por entre 1 o 5 motores, nosotros fuimos conservadores, y aun así no consideramos que sea un método 100% certero. Además, hablamos de apks detectadas... otra cosa es que sean realmente malware, qué tipo de malware y desde luego no se hace asunción alguna sobre las no detectadas. ¿Podríamos hablar de que las posibilidades reales de infección de un usuario "normal" que solo consume Google Play, son del 1%? Esta afirmación exige tantos matices como el estudio de Damballa, pero tampoco podríamos llamarla descabellada si se documenta convenientemente, aunque las conclusiones sean absolutamente dispares.

En resumen, el estudio es correcto, aporta información, pero la conclusión debería tomarse como lo que es: Aproximadamente un 0,0064% de los dispositivos Android funcionando bajo un operador en Estados Unidos contacta con dominios en una lista negra de malware.

Sergio de los Santos 
ssantos@11paths.com 
@ssantosv

2 comentarios:

  1. Según el National Weather Services en 2014 hubo 330 personas heridas o muertas por rayos en EEUU con lo que en realidad, considerando fiables sus datos de malware, sería 60 veces más probable infectarse por malware.

    ResponderEliminar
  2. Que una aplicación Android se ejecute sola, Shazam, sin haberla usado nunca no es un virus, cuando esto sucede con varias, la temperatura de la batería sube, y al cabo de un tiempo el móvil a la basura, a no ser que cambies la pantalla gracias, esto tampoco es un virus

    ResponderEliminar