Ponemos bajo la lupa el informe anual de seguridad en Android de Google

viernes, 12 de mayo de 2017


El mes pasado, Google publicó su tercer informe anual de seguridad sobre las protecciones de seguridad de Android, con el objetivo de enviar un mensaje claro al mundo sobre el malware móvil (o PHA, Potencially Harmful Applications, como prefieren denominarlo): dispositivos, aplicaciones y usuarios de Android están más protegidos que nunca. Y todo el ecosistema de Android es ahora más seguro.

Transmitir mensajes positivos está bien, pero es importante ser realista. Eso es lo que nos hace mejorar. Hemos retorcido algunas de las cifras y datos incluidos en el informe, y finalmente hemos llegado a la conclusión de que es difícil pensar que el ecosistema Android es en realidad tan seguro como Google afirma, especialmente teniendo en cuenta que la terminología empleada no es clara y en algunos casos los números no cuadran.

Al final es una cuestión de qué entendemos por “malware”
Según el informe, el termino PHA corresponde a "aplicaciones que podrían poner en riesgo a usuarios, datos de usuario o dispositivos". Esto incluye entre muchos otros, troyanos, spyware o apps de phishing. Eso está bien, pero, como reconoció Google, "también somos menos estrictos en nuestra definición de ciertos PHAs respecto a lo que algunos usuarios esperarían. Un ejemplo clásico es el spam publicitario, que definimos como una aplicación que presenta publicidad al usuario de una manera inesperada, por ejemplo en la pantalla de inicio del dispositivo o en la pantalla de bloqueo". Esto quiere decir que Google no tiene en cuenta el adware agresivo, uno de los problemas más comunes para el usuario final de Google Play, como PHA. No encontramos indicios de una definición agresiva de adware incluida dentro de la clasificación del equipo de seguridad de Google Android para aplicaciones potencialmente perjudiciales (PHA). ¿Cuán agresivo puede llegar a ser este “spam publicitario” o adware? No lo sabemos. Algunas de las “denominadas” campañas publicitarias terminaron rooteando el dispositivo y no sabemos si son considerados PHA. Esto lógicamente deriva en un descenso de las cifras, y seguramente represente uno de los principales gaps con los que las empresas de Antivirus y el propio Google juegan.


Otro aspecto interesante sobre la definición de PHA es que Google ha eliminado un subconjunto del malware que podría ser considerado como "spyware" dentro de esta categoría. Desde 2016, Google introdujo el concepto de MUwS (Mobile Unwanted Sofware): "Un ejemplo común de comportamiento MUwS corresponde a la recolección agresiva de identificadores de dispositivos u otros metadatos. Anteriormente, estas aplicaciones estaban incluidas dentro de la categoría PHA, pero para mejorar la claridad de nuestras clasificaciones ahora es categorizada como MUwS". "Definimos MUwS como aplicaciones que recogen al menos una de los siguientes atributos sin el consentimiento del usuario: Información sobre las aplicaciones instaladas; Información sobre cuentas de terceros; Nombres de archivos en el dispositivo”.

El spyware aún está presente como una categoría en sí misma, pero únicamente si recoge información "sensible" que no entra dentro de los MUwS. Ahora tenemos que lidiar con dos taxonomías de Google para clasificar aplicaciones: PHA y MUwS, que representan software potencialmente dañino y no deseado. La pregunta es entonces, ¿cuántos dispositivos tienen PHA y MUWS instalados?


Esta es la tasa de infección incluyendo PHA y MUwS. Resulta interesante destacar que Google no cuenta como dispositivos infectados aquellos donde el propio usuario ha decidido rootear el teléfono (algo muy común en algunos países). En algún momento del 2016, parece que cambiaron la forma en que los dispositivos únicos son contabilizados. Justo antes de que la tasa de infección se volviera más alta. No sabemos cómo afectó esta nueva metodología en los números reportados.

Además, Google dedicó parte de su informe a comentar el caso del Turkish Clicker, una pieza de malware bastante relevante que hemos seguido desde 2015, y confirmada por el equipo de investigación de CheckPoint. Aunque la familia perteneciente al malware Turkish Clicker ha estado presente en Google Play durante mucho tiempo, y con varias campañas activas desde 2014, no es considerado como PHA por Google: "Por sí mismo, este comportamiento de fraude vía clics no es PHA: hacer clic sobre enlaces HTTP no viola ninguno de los límites de seguridad de Android ni pone en riesgo los datos de los usuarios. Esta familia ha sido clasificada como downloader hostil porque, en algunos casos, los anuncios descargaron de forma involuntaria otros PHA al dispositivo del usuario". ¿Significa esto que las descargas e instalaciones del Turkish Clicker en Google Play no están incluidas en las "estadísticas de PHA"? Esto resulta un poco desconcertante. Cuando hablan específicamente sobre este ejemplo, ni siquiera representan sobre el eje Y del gráfico el número de instalaciones asociadas a cada término (Google Play y Outside of Google Play).


  • Google declaró en su informe que actualmente Android representa más de 1.400 millones de dispositivos. Los principales titulares afirman que a finales de 2016, menos del 0,71% de los dispositivos tenían un PHA instalado. En otras palabras, dispositivos infectados. Esto disminuye al 0,05% para dispositivos que descargan exclusivamente aplicaciones desde Google Play. Ese mensaje podría significar que el malware no es un problema real para los usuarios... pero, ¿es así realmente? Algunos proveedores afirmaron que las tasas de infección reales corresponden al doble, esto es, más del 1,4%.
  • Una gran herramienta antimalware integrada dentro del sistema Android es Verify Apps. Este motor antivirus comprueba las aplicaciones cada, al menos, 6 días. Verify Apps bloquea automáticamente los intentos de instalación iniciados por una PHA instalada desde septiembre de 2016.
  • En 2016, únicamente el 0,02% de las instalaciones descargadas desde Google Play fueron identificadas como falsos negativos. Esto quiere decir que "no fueron detectadas por Google con sus sistemas antimalware". Respecto a instalaciones fuera de Google Play, los números son mayores: La tasa de falsos negativos promedio es del 2,6% en los primeros 90 días. 0,02% no es una mala tasa de falsos negativos, pero debemos tener en cuenta que tienen la capacidad de no permitir la entrada de ciertas aplicaciones en Google Play.
  • Parece que, con algunas excepciones, la salud general de Google Play ha aumentado año tras año. Sin embargo, en el mismo informe, afirmaron que las aplicaciones de fraude vía SMS habían aumentado un 282% y el fraude “de peaje” (toll fraud) en un 592% durante 2016. Lo que significa, respectivamente, 5 y 2 veces más fraude de SMS y aplicaciones de fraude de peaje en el market oficial. El fraude de peaje corresponde a cualquier otro medio (diferente de los SMS o llamadas premium) a través del cual un atacante podría estafar al usuario (tráfico WAP, etc.).

HummingBad: las cifras no cuadran
HummingBad y todas sus derivadas representan un caso especial. HummingBad corresponde a un malware extremadamente sofisticado y bien desarrollado, sin duda uno de los mayores problemas para los usuarios de Android durante 2016. Descubierto por CheckPoint en los dispositivos de sus clientes en febrero de 2016, HummingBad representa un malware verdaderamente agresivo que consiguió eludir los controles de seguridad de Google Play, infectando millones de dispositivos (10 millones de víctimas, rooteando miles de dispositivos cada día y generando 300,000 dólares mensuales). CheckPoint ha seguido esta amenaza durante mucho tiempo, por lo que pueden presumir de disponer de estadísticas e informes de primera mano sobre este malware. CheckPoint consiguió incluso acceder al  C&C (Command & Control), lo que les permitió conocer de cerca cuan agresiva fue esta campaña. En el siguiente gráfico, se puede observar cómo las instancias de HummingBad (dispositivos únicos infectados) ascienden durante el mes de mayo de 2016 para posteriormente disminuir hasta su desaparición final.


La figura de abajo muestra una imagen del panel de control de Umeng (empresa de publicidad) obtenida por CheckPoint, que muestra como los usuarios (y los beneficios asociados) crecen también de 2015 a mayo de 2016.




El informe anual de seguridad de Google para Android indica que HummimgBad tuvo acceso a los dispositivos de una manera diferente. Como se muestra a continuación, afirman que HummingBad alcanzó su máximo entre febrero y mayo de 2016, y posteriormente sus instalaciones se redujeron muy rápidamente, incluso más rápido de lo que Cheetah Mobile o CheckPoint parecen reflejar (no se incluye detalle del eje Y dentro del gráfico de Google, por lo que no podemos establecer su magnitud y ritmo de decrecimiento). El informe de HummingBad generado por CheckPoint fue liberado en julio. Tal vez esto ayudó a "limpiar" los dispositivos, pero esta parte no está clara. Quizás Google no este incluyendo las consecuencias directas de HummingBad (más malware / PHA / instalaciones de HummingBad) como infecciones contabilizables.

Además, Google afirma: "De las 24.000 aplicaciones de HummingBad con unos 379 millones de intentos de instalación (25.1% de los cuales fueron bloqueados o señalados por VerifyApps), únicamente una aplicación fue subida con éxito a Google Play, y ésta fue retirada antes de que llegara a las 50 descargas". Esto es cierto, ya que HummingBad no entró en Google Play la primera vez. Sin embargo, lo hizo la segunda vez que regresó públicamente, al menos en diciembre de 2016, cuando fue identificado por CheckPoint como una nueva variante del malware de HummingBad, denominado "HummingWhale", oculto en más de 20 aplicaciones en Google Play. Este regreso en diciembre no se refleja en las estadísticas.... Usuarios desprevenidos descargaron las aplicaciones infectadas en esta campaña varios millones de veces, pero, según el gráfico, las infecciones en diciembre dentro de Google Play ni siquiera se reflejan (el gráfico termina en noviembre).


Pero, al margen de esta confusión de datos, Google mostró además la siguiente tabla, donde declaraban que habían bloqueado el 99,96% de los "intentos de instalación". Estos datos abarcan el periodo desde abril de 2016 hasta diciembre de 2016. Por lo tanto, los datos mostrados por el informe no incluyen el intervalo de tiempo entre enero y marzo, precisamente cuando la tasa de infección fue mayor.



Figura: ¿Cuales son exactamente las conclusiones que debemos extraer de estos gráficos? ¿Cuál es el porcentaje de PHA, MUwS o PHA+MUwS realmente instaladas?

Conclusiones
De acuerdo a todo lo anterior, resulta difícil pensar que el ecosistema de Android es realmente tan seguro como Google afirma, especialmente teniendo en cuenta que la terminología utilizada en el informe no es clara y algunas cifras no resultan coherentes. Google ha mejorado la seguridad de Android, y sortear sus controles de seguridad no es sencillo en absoluto. Sin embargo, es importante recordar que la mayoría del malware en Android no requiere necesariamente la elusión de los sistemas de seguridad para controlar o dañar el sistema. El usuario (el eslabón más débil de la cadena de seguridad) es precisamente el que instala el malware y le otorga altos permisos.

Este informe declaraba que "un usuario tiene diez veces más probabilidades de descargar una PHA desde fuera de Google Play en 2016". Esto significa que Google Play es más seguro que los markets no oficiales, pero todavía queda mucho trabajo por hacer para proteger activamente a los usuarios de aplicaciones maliciosas.

Por ejemplo, retorcer la terminología de "malware", algunos gráficos confusos, o el hecho de “ignorar” el adware agresivo o los clickers dentro de la categoría PHA, impacta directamente sobre la credibilidad del informe. Especialmente cuando se encuentran relacionados con problemas de privacidad: Airpush, uno de los SDKs más conocidos de adware agresivo, continua siendo frecuente dentro del market, como hemos podido constatar gracia a Tacyt (ver abajo captura de pantalla).


Además, respecto al malware presente en Google Play y los dispositivos infectados, las cifras relativas a HummingBad y HummingWhale tal vez no sean tan positivas como indica el informe de Google. Como hemos comentado al principio, transmitir mensajes positivos está bien, pero también es importante ser realista. Eso es lo que nos hace mejorar.

No hay comentarios:

Publicar un comentario