Evolución del malware en dispositivos móviles con S.O. Android

Tabla de contenido

1. Introducción......................................................................................................... - 2 -

2. El sistema operativo Android................................................................................- 3 -

3. La seguridad en Android.......................................................................................- 5 -

4. Malware en dispositivos móviles..........................................................................- 7 -

5. El malware en Android......................................................................................... - 9 -

5.1. Evolución del malware en Android..............................................................- 11 -

5.2. Actualidad del malware en Android............................................................- 11 -

5.3. Futuro del malware en Android.................................................................. - 14 -

6. Como saber si un dispositivo Android está infectado.........................................- 16 -

7. Como mantener a salvo un dispositivo Android.................................................- 17 -

8. Conclusiones...................................................................................................... - 18 -

9. Bibliografía......................................................................................................... - 19 -

1

1. Introducción

Durante los últimos años, el desarrollo de dispositivos y comunicaciones móviles y tecnologías inalámbricas ha revolucionado la forma de trabajar y comunicarse, creciendo su uso de manera significativa, esperándose que siga al alza su utilización en los próximos años. De hecho, a lo largo de 2014 se espera que el número de este tipo de dispositivos supere al número de personas en el mundo. Este crecimiento tan significativo en su uso, sitúa a los dispositivos móviles como uno de los principales objetivos de cyberamenazas o malware.

De entre los dispositivos móviles más utilizados en la actualidad, destacan los smartphones, aunque en los últimos tiempos están teniendo un gran crecimiento las tablets. Y en estos dispositivos, el sistema operativo más utilizado a nivel mundial es Android, llegando a tener en el último año una cuota de mercado de más del 80% de los dispositivos móviles funcionando con su sistema operativo.

Debido al gran número de usuarios de Android, este es el sistema operativo con un mayor número de amenazas a su seguridad. A lo largo de este documento se hablará sobre Android, centrándose en el tema de su seguridad y amenazas, estudiando la evolución de estas, así como su situación actual y como se espera que evolucionen. Además de comentar como proteger los dispositivos móviles para tratar de reducir el riesgo de infección por malware.

2

2. El sistema operativo Android

Antes de entrar en detalles sobre el malware y la seguridad en el sistema operativo Android, se hará una breve reseña sobre él y sus características.

Android es un sistema operativo diseñado para dispositivos móviles como smartphones y tablets y que está basado en Linux, con un núcleo libre, gratuito y multiplataforma. En sus inicios fue desarrollado por Android inc. Siendo adquirido por google en 2005.

Una de las principales ventajas de Android es precisamente el hecho de que sea libre, lo que implica que ni para programar para él, ni para incluirlo en un dispositivo hay que pagar. Esto hace que sea muy popular entre programadores y fabricantes de dispositivos, facilitando mucho su expansión.

Este sistema operativo permite programar aplicaciones proporcionando interfaces necesarias para acceder a las funciones del teléfono, como puede ser llamadas, GPS, agenda... de una forma muy sencilla y en un lenguaje como Java, muy conocido por la comunidad de desarrolladores. Esta facilidad a la hora del desarrollo, junto con la existencia de herramientas de programación gratuitas, provocan que haya disponible una gran cantidad de aplicaciones que proporcionan una gran experiencia del usuario.

Las características que han hecho de Android un sistema operativo móvil, fácil e intuitivo, son las mismas que disfrutamos en tablets y smartphones:

Framework de aplicaciones: Permite el reemplazo y la reutilización de los componentes.

Navegador integrado: Basado en el motor de código abierto Webkit.

SQLlite: Base de datos para almacenamiento estructurado que se integra directamente con las aplicaciones.

Multimedia: Soporte para medios con formatos comunes de audio, video e imágenes planas (MPEG4, H.264, MP3, AAC, AMR, JPG, PNG, GIF) y soporte para streaming.

Máquina virtual Dalvik: Máquina virtual especializada, diseñada específicamente para Android y optimizada para dispositivos móviles que funcionan con batería y que tienen memoria y procesador limitados.

Conectividad: GSM/ EDGE, Bluetooth, 3g, Wifi,...

Soporte para hardware adicional: Cámara, GPS, brújula, acelerómetro,...

Pantalla Táctil: Android tiene soporte nativo para pantallas capacitivas con soporte multi-táctil.

En cuanto a su arquitectura, los principales componentes del sistema operativo Android son:

Aplicaciones: Escritas en lenguaje java. Las aplicaciones base incluyen un cliente de correo electrónico, programa de SMS, calendario, mapas, navegador, contactos y otros servicios mínimos.

3

Framework de aplicaciones: Los desarrolladores tienen acceso total al código fuente utilizado por las aplicaciones base. La arquitectura está así diseñada para simplificar la reutilización de componentes. Cualquier aplicación puede utilizar partes de otras aplicaciones, o modificar estas para no tener que empezar desde cero.

Librerías: Android incluye en su base de datos un set de librerías en C/C++ usadas por varios componentes del sistema. Estas son expuestas a todos los desarrolladores a través del framework de aplicaciones de Android.

Runtime de Android: Android incorpora un set de librerías base que proporcionan la mayor parte de las funciones disponibles en las bibliotecas base del lenguaje Java. Cada aplicación Android corre su propio proceso, con su propia instancia de la máquina virtual Dalvik. Dalvik ejecuta archivos en el formato Dalvik Executable (.dex), el cual está optimizado para memoria mínima. La Máquina Virtual está basada en registros y corre clases compiladas por el compilador de Java que han sido transformadas al formato .dex por la herramienta incluida "dx".

Núcleo Linux: Android depende de Linux para los servicios base del sistema como seguridad, gestión de la memoria, gestión de procesos, pila de red y modelo de controladores. El núcleo también actúa como una capa de abstracción entre el hardware y el resto de la pila de software.

Esquema arquitectura Android

4

3. La seguridad en Android

Una parte importante de cualquier sistema operativo, es el modelo de seguridad que tenga. En el caso de este trabajo cobra mayor importancia, debido a que es el encargado de evitar infecciones por malware, así que en este capítulo se resumirá el modelo de seguridad del sistema operativo Android.

El modelo de seguridad de Android se basa principalmente en cuatro pilares:

Control de acceso tradicional: Android proporciona opciones de configuración de contraseña rudimentarias, incluyendo la posibilidad de especificar la fuerza o longitud de la contraseña del dispositivo, seleccionar el tiempo antes de bloquear el teléfono o elegir el número de intentos fallidos de introducción de la contraseña antes de que el dispositivo borre sus datos.

Procedencia de la aplicación: Garantiza que solo se puedan instalar en los dispositivos aplicaciones firmadas digitalmente, lo que permite conocer el autor de la aplicación, sin embargo los atacantes pueden utilizar certificados digitales anónimos para firmar sus aplicaciones y distribuirlas por internet, e incluso añadir malware a aplicaciones existentes y firmar estas con un nuevo certificado anónimo. La parte buena es que para poder subir aplicaciones a Google Play, hay que registrarse en Google obteniéndose una clave de licencia, lo que asegura bastante que las aplicaciones descargadas de ahí están limpias.

Aislamiento: Android logra aislar de manera efectiva las aplicaciones entre sí, y les permite acceder tan solo a los recursos que han sido aprobados, impidiendo también el acceso al núcleo del sistema operativo, garantizando que una aplicación maliciosa no pueda llegar a tener nivel de administrador. Esta prohibición en el acceso por defecto a la mayoría de los subsistemas, tiene algunas excepciones, como son: La lista de aplicaciones instaladas (Permitiendo examinar su código), leer sin restricciones los datos de la tarjeta SD (Pero no escribir en ella) o permite también lanzar otras aplicaciones en el sistema.

Un modelo de seguridad basado en permisos: De forma predeterminada, las aplicaciones pueden hacer muy poco sin solicitar permiso explícitamente al usuario. Aunque este sistema de permisos es muy potente, tiene el problema de que es el usuario el que debe tomar decisiones importantes con respecto a la seguridad, aunque la solicitud de permiso se realiza en lenguaje no técnico y a fin de cuentas es el usuario el que decide si otorgar o no los permisos en función de su tolerancia al riesgo, en muchos casos los usuarios no están preparados técnicamente para tomar estas decisiones.

Hay que tener en cuenta que la seguridad de Android no se basa sólo en la implementación de su software. Google liberó el código fuente de Android, lo que permite obtener el escrutinio del proyecto Android de toda la comunidad de seguridad. Google argumenta que esta apertura ayuda a descubrir defectos y conduce a mejoras en la seguridad.

De cara a las aplicaciones que se instalan, y que son una de las principales vías de infección por malware, Android cuenta con una defensa multicapa, que según aseguran

5

ellos mismos, solo el 0,001% de las aplicaciones es capaz de evadir. Este sistema consta de:

El propio filtro de Google Play (Mercado de aplicaciones de Android).

Advertencias cuando las aplicaciones vienen de fuentes desconocidas.

La propia confirmación al instalar.

La tecnología Verify Apps, que comprueba las aplicaciones en tiempo real contra el malware. Cada descarga o instalación de una aplicación, es comparada con una base de datos de malware.

Las comprobaciones de seguridad en tiempo de ejecución.

La sandbox y los permisos.

Porcentaje de aplicaciones que superan las capas de defensa

6

4. Malware en dispositivos móviles

En este apartado se hablará de forma genérica de cómo afecta el malware a los dispositivos móviles, centrándose en posteriores capítulos en dispositivos con sistema operativo Android, que como se comentó anteriormente es en la actualidad el más utilizado en dispositivos móviles.

El malware o software malintencionado, es un tipo de software que tiene como principal objetivo infiltrarse o dañar un dispositivo sin el conocimiento de su propietario. Este concepto lleva siendo muy utilizado desde hace tiempo relativo a los ordenadores, pero con la popularidad que están alcanzando los dispositivos móviles no tardó en aparecer malware dirigido hacia estos. El objetivo principal de los atacantes orientados a dispositivos móviles es obtener información confidencial, que puede ser utilizada para diversos objetivos.

Según se observa en diferentes informes de compañías de seguridad, en los últimos años el crecimiento del malware orientado a dispositivos móviles ha sido enorme. Esto es debido al aumento del uso de este tipo de dispositivos, así como el hecho de que cada vez más usuarios los utilicen para conectarse a internet. En la siguiente gráfica se puede observar este crecimiento, y como se ha acentuado todavía más en el último año.

7

En 2013 los desarrolladores de virus para dispositivos móviles no sólo aumentaron radicalmente su producción, sino que también usaron métodos y tecnologías que permiten a los delincuentes informáticos usar programas maliciosos de una forma más efectiva. Por ello es importante conocer las vías de contagio que usa el malware en los dispositivos móviles, con el fin de ser capaces de prevenir posibles infecciones. Actualmente, las vías de contagio más comunes en dispositivos móviles son:

Vulnerabilidades: Provocadas por fallos en el desarrollo del software, en cuanto a nivel de seguridad y pruebas. Estas vulnerabilidades pueden estar localizadas en el sistema operativo o en las aplicaciones instaladas. En algunos dispositivos estas vulnerabilidades pueden llegar a ser un problema importante, puesto que las actualizaciones del sistema operativo no siempre están disponibles cuando las publica el desarrollador del sistema, sino que es el proveedor del servicio de telefonía (operador) quién decide cuando sus usuarios disponen de la actualización.

Ficheros recibidos: Una vía importante de propagación de malware, es a través de ficheros infectados que llegan a los dispositivos mediante Bluetooth, correo electrónico, mensajería instantánea, redes sociales, SMS, mms o descargados de Internet.

Mensajería: Otro de los problemas de la mensajería instantánea, SMS, correo electrónico,…. aparte de los ficheros recibidos, es que son puerta de entrada de campañas de ingeniería social o spam, que pueden llevar a la infección del dispositivo por algún tipo de malware.

Navegación web: Se han detectado casos de infección al navegar en páginas web manipuladas para que detecte nuestro sistema, busque alguna vulnerabilidad y, utilizándola, infecte el sistema con malware.

Aplicaciones maliciosas: Algunas aplicaciones, realmente son malware "disfrazado". Aunque estas aplicaciones normalmente están en mercados o tiendas "alternativas", en algunos casos se han encontrado aplicaciones maliciosas en los canales oficiales de distribución.

Acceso a través del wifi: La capacidad de estos dispositivos de comunicarse vía wifi, junto con el gran crecimiento de puntos de acceso wifi gratuito, hacen de los dispositivos móviles víctimas potenciales del robo de información mediante espionaje en esas redes wifi.

8

5. El malware en Android.

Como se comentó en capítulos anteriores, el sistema operativo Android es en la actualidad el más utilizado en dispositivos móviles, tanto en número como en cuota de mercado actual. Esto provoca que sea el sistema más atacado por parte de los desarrolladores de malware, prácticamente copando este apartado, como se puede apreciar en el siguiente gráfico, donde se muestra la distribución por plataforma del malware para dispositivos móviles en 2013, según Kaspersky labs:

En otro estudio de Juniper Networks, no sólo confirman esa mayoría de malware para Android, si no que apuntan a un gran incremento en el malware desarrollado para esta plataforma, que según dicho informe aumentó más de un 600% en el 2013.

A la vista de los datos, y al margen de que uno de los principales motivos para que Android sea el sistema más atacado sea su elevado número de usuarios, es inevitable que surja la pregunta de si Android es más vulnerable al malware que otros sistemas operativos.

En un artículo de la compañía de seguridad Trend Micro, aseguran que es sabido que Android sufre más problemas de seguridad que IOS, y que esto es debido a que google no es tan rígido como Apple y que no restringe tanto las descargas o adaptación del sistema operativo.

Pero aparte de esto, apuntan como factor clave al mecanismo de actualización de Android, puesto que Google delega en terceros (operadoras o fabricantes de dispositivos) para que decidan cuando pueden actualizar el sistema sus usuarios, teniendo gran parte de ellos versiones desactualizadas, como por ejemplo a principios

9

de 2013 cuando la versión más común era la 2.3, que llevaba sin actualizarse desde Septiembre de 2011.

Google implementa y lanza estas actualizaciones (Que pueden tener mejoras de seguridad o nuevas funcionalidades críticas), pero no directamente al usuario, si no que antes de llegar a estos, esas terceras partes que decíamos antes, hacen de eslabones y dichas actualizaciones pasan por sus manos, ralentizando mucho la actualización y abriendo una opción a los desarrolladores de malware de explotar vulnerabilidades descubiertas. Esto tiene difícil solución, puesto que hay intereses por parte de fabricantes y operadores, lo que hace que los mayores afectados sean los propios usuarios, que serán los que sufran los problemas de seguridad en sus dispositivos.

Por otra parte, muchas veces son los propios usuarios los que son reticentes a actualizar sus dispositivos, siendo ellos los principales culpables de no solucionar esos posibles fallos de seguridad en el sistema.

En el lado opuesto de las posibles debilidades o fallos de seguridad del sistema Android, se encuentra la propia Google, que sostiene que se exagera con el malware para Android. El propio jefe de seguridad de Android en una charla quiso desmontar el mito de que su sistema se infecta mucho con malware, diciendo que los investigadores que hablan sobre el tema, son buenos detectando malware, pero que no tienen datos fiables sobre cuantos terminales se pudieron infectar y que así se acaba exagerando las cifras.

Según los datos que aportó, los malware más conocidos solo se instalan una de cada millón de veces, el resto es bloqueado por su sistema de seguridad multicapa, ya comentado anteriormente en este documento. Según sus cálculos, los usuarios solo instalan un 0,12% de las aplicaciones sobre las que Verify Apps lanza algún tipo de alerta, o en general unas estadísticas muy bajas de malware, como se puede ver en el gráfico que se puso en el apartado de seguridad en Android.

Google hace hincapié en que las defensas de Android son seguras, pero según compañías de seguridad, aunque esto sea cierto, lo importante es saber si limita las infecciones como para dejar de considerarlas un problema. Decir que solo el 0,12% de las aplicaciones que ellos detectan como malware son instaladas, no ofrece ningún dato real sobre el número de dispositivos infectados, así como tampoco se sabe cuántas aplicaciones no detectadas por sus defensas eluden sus sistemas de seguridad. Por lo que sería más preciso conocer el número de terminales infectados a posteriori, que el porcentaje de aplicaciones que pueden llegar a infectar. También indican que no son pocas las aplicaciones que se cuelan en el Google play eludiendo las defensas de Google.

Dentro de esta disputa, las compañías de seguridad también aseguran que esos datos de Google no tienen en cuenta que el malware que envía SMS a números Premium o que muestra publicidad no le importa estar encerrado en una sandbox y que realmente no tienen la misión de dañar al teléfono, por lo que no lo contabiliza Google en sus cálculos.

10

En definitiva, aunque Android pueda contar con un sistema de defensa bueno, también Windows contaba con él y no le impedía ser el sistema más atacado. Los datos son claros, y es el sistema para el que más malware se crea y que más infecciones detecta.

5.1. Evolución del malware en Android.A continuación se hará un pequeño repaso a algunas de las principales amenazas que se han ido detectando con el paso del tiempo para Android, y que permite ver un poco la evolución que tuvo el malware así como las motivaciones de los desarrolladores.

Uno de los primeros malware detectados para Android fue el conocido como Droid09, que apareció en el Android Market en el año 2009. Esta aplicación pretendía ser un cliente bancario con la intención de obtener credenciales de inicio de sesión, aprovechándose de que para el usuario no sería extraño que un cliente bancario les solicitase esos datos.

El primer malware detectado por la empresa Symantec, fue el Tap Snake, también distribuido por el Market, y que era un sustituto del conocido juego Snake. Esta aplicación se ejecutaba en segundo plano siempre, impidiendo su cierre y enviado información de la ubicación del dispositivo cada 15 minutos, pudiendo ver esa información a través del programa GPS Spy de la misma empresa.

A finales de 2010, se descubrió el primer caso que afectó de manera significativa a los usuarios de Android, el Fake Player, que además fue el primer SMS Trojan que se descubrió en Android. Esta aplicación, también distribuida en el Market, aparentaba ser un reproductor multimedia, pero una vez instalada, enviaba SMS a números de tarificación especiales. Ya se han descubierto varias variantes de este malware.

Más adelante, Geinimi supuso un cambio en lo referente al malware, comenzando lo que se convertiría en uno de los mayores focos de infección. Se servía de aplicaciones legítimas, infectando el código, y distribuyéndolas posteriormente en mercados alternativos al oficial, escogiendo para ello las aplicaciones que más éxito tenían en el momento. Fue el primero en aplicar ofuscación de código y utilizar el algoritmo DES para cifrar las comunicaciones, añadiendo una complejidad nunca antes vista. También permitía actualizar la versión del malware y era capaz de enviar información privada a algunas direcciones web permaneciendo posteriormente a la espera de órdenes.

Otro malware de similares características fue el HongTouTou, que utilizaba sistemas de infección similares al Geinimi. Al ser infectado, el dispositivo enviaba información privada como el Imei o el Imsi a un servidor remoto, que le respondía enviando un conjunto de direcciones procedentes de un motor de búsqueda y un conjunto de palabras claves, que eran utilizadas para emular un proceso de búsqueda y hacer clics en resultados específicos, consiguiendo de esta manera posicionarse mejor en dichos motores de búsqueda.

5.2. Actualidad del malware en AndroidEn la actualidad, y como ya se comentó anteriormente, Android sigue siendo el principal blanco de los ataques del malware para dispositivos móviles, con un gran aumento del número de amenazas detectadas.

11

La mayoría de estos programas malintencionados tienen como objetivo robar dinero a los usuarios, como demuestra que el 88% del malware detectado en lo que va de 2014 se base en el envío silencioso de SMS Premium.

Tampoco hay que olvidarse del malware dirigido a campañas de phising, con la intención de obtener información privada de los usuarios, que es otra de las amenazas vigentes y que están creciendo de forma considerable.

A parte de estas amenazas, las actividades más populares en el malware actualmente son:

Descarga o activación de ficheros o aplicaciones no deseados.

Seguimiento en segundo plano de la ubicación así como monitoreo del usuario.

Presuntos antivirus móviles, que en realidad son malware.

Conexión a portales en segundo plano para aumentar su tráfico.

Monitoreo en segundo plano de SMS bancarios para realizar fraudes.

Si algo destacó en los últimos tiempos en cuanto al tipo de malware, es el aumento de troyanos para Android. Esto junto con ese ánimo de lucro efectivo que se está viendo en el comportamiento de los atacantes, hace que una amenaza creciente sean los llamados “troyanos bancarios”.

Además de aumentar la producción, los desarrolladores de malware (Aparte de utilizar los procedimientos típicos) también mejoran los métodos de propagación de sus programas, para distribuirlos de manera más efectiva. Aunque con alguna excepción, siguen confiando mucho en que el usuario ejecute el fichero apk e instale la aplicación.

Por ejemplo, aprovechan que cada vez más gente utiliza sus dispositivos móviles para visitar las páginas web más populares para infectar estas y poder así propagar el malware a los visitantes de la página. O se aprovechan de tiendas alternativas de aplicaciones con un menor control a la hora de alojar aplicaciones. También está creciendo el uso de bots que distribuyen enlaces maliciosos mediante el envío de SMS a los contactos de la víctima.

Otra mejora que se está observando en el malware, es la resistencia que tiene ante los sistemas de defensa. Esto permite una larga vida al malware en el dispositivo de la víctima, lo que supondrá mayores beneficios para el atacante. Cada vez es más frecuente encontrar malware que utiliza el “enmarañamiento”, que consiste en hacer el código más enredado para dificultar el análisis de este.

En cuanto a las vulnerabilidades de Android, recientemente se han descubierto aplicaciones que se aprovechan de algunas de estas vulnerabilidades detectadas en los últimos tiempos para evitar la comprobación del código durante la instalación, elevar los privilegios de sus aplicaciones y dificultar la eliminación de estas. Como se comentó anteriormente, esto muchas veces tiene difícil solución por la tardanza de las actualizaciones en llegar a los usuarios.

También se observaron últimamente algunas mejoras tecnológicas, siendo un buen ejemplo la administración mediante Google Cloud Messaging. Administrar programas maliciosos es mucho más flexible desde un solo centro, las botnets permiten obtener

12

mayores beneficios que un troyano autónomo, encontrándose troyanos SMS que hacen también funciones de bots. La utilización de Google Cloud Messaging, permite a los atacantes administrar sus botnets desde ahí sin necesitar ningún servidor, eliminando la posibilidad de que este sea descubierto y clausurado.

Para terminar con la situación actual del malware en Android, se realizará un breve repaso a las 10 principales amenazas encontradas en 2013 según Kaspersky Labs:

  Nombre* % del total de ataques

1 DangerousObject.Multi.Generic 40,42%

2 Trojan-SMS.AndroidOS.OpFake.bo 21,77%

3 AdWare.AndroidOS.Ganlet.a 12,40%

4 Trojan-SMS.AndroidOS.FakeInst.a 10,37%

5 RiskTool.AndroidOS.SMSreg.cw 8,80%

6 Trojan-SMS.AndroidOS.Agent.u 8,03%

7 Trojan-SMS.AndroidOS.OpFake.a 5,49%

8 Trojan.AndroidOS.Plangton.a 5,37%

9 Trojan.AndroidOS.MTK.a 4,25%

10 AdWare.AndroidOS.Hamob.a 3,39%

1. DangerousObject.Multi.Generic: Este veredicto indica que ya sabemos que la aplicación es maliciosa, pero la firma de detección por uno u otro motivo no llegó al usuario.

2. Trojan-SMS.AndroidOS.OpFake.bo: Este es uno de los representantes de los troyanos SMS más complejos. Se caracteriza por tener una interfaz muy bien diseñada y por la avidez de sus creadores. La activación del troyano le roba al dueño del teléfono desde 9 dólares hasta todo el dinero que tenga en su cuenta móvil. También existe el riesgo de desacreditación del número de teléfono, ya que el troyano puede recolectar números de la libreta de teléfonos y enviarles mensajes al azar.

3. AdWare.AndroidOS.Ganlet.a: Módulo de publicidad que puede instalar otras aplicaciones.

4. Trojan-SMS.AndroidOS.FakeInst.a: Este troyano, ha evolucionado durante el transcurso de los últimos dos años desde un simple remitente de SMS hasta convertirse en un bot completo, administrado por diferentes canales (entre ellos mediante Google Cloud Messaging). Puede robar dinero de la cuenta del abonado y enviar mensajes a la lista de contactos de la víctima.

5. RiskTool.AndroidOS.SMSreg.cw: Módulo de pagos muy difundido en China, incluido en diversos juegos como módulo de compra dentro de la aplicación mediante mensajes de texto. Borra el mensaje de confirmación del sistema de pagos sin que el usuario se dé cuenta. La víctima no adivina que le han robado dinero de su cuenta telefónica hasta que no revisa su balance.

6. Trojan-SMS.AndroidOS.Agent.u: El primer troyano que empezó a utilizar una vulnerabilidad del SO Android para obtener derechos de DEVICE ADMIN y con esto hacer que sea muy difícil eliminarlo. Además, puede “colgar” las llamadas entrantes y

13

hacer llamadas por su propia cuenta. El perjuicio que puede causar esta infección es el envío de varios mensajes de texto que pueden costar hasta 9 dólares.

7. Trojan.AndroidOS.Plangton.a: Módulo de publicidad que, sin hacer ninguna advertencia, envía la información personal del usuario al servidor de los publicitarios bajo el pretexto de que es necesario para personalizar la publicidad. Perjuicios: desacreditación del número de teléfono móvil, la cuenta del usuario en Google y algunos otros datos. Además, este troyano cambia la página inicial del navegador y le agrega pestañas de publicidad sin que el usuario se entere.

8. Trojan-SMS.AndroidOS.OpFake.a: Bot multifuncional que ayuda a propagar el complejo malware para Android Backdoor.AndroidOS.Obad.a. Forman un conjunto de aplicaciones que son extremadamente peligrosas para los usuarios por las siguientes razones:

1. Amplias posibilidades: robo de datos personales, envío de mensajes de texto a cualquier número. La instalación de esta aplicación puede vaciar por completo la cuenta del teléfono móvil. Riesgo de desacreditación, ya que se enviarán mensajes de texto en nombre de la víctima a sus contactos. La lista de contactos también se enviará al servidor de los delincuentes.

2. Mecanismos extremadamente complejos de autodefensa y resistencia a la eliminación. Gracias a la explotación de las vulnerabilidades del SO Android.

9. Trojan.AndroidOS.MTK.a: Complejo troyano con muchas funciones y sofisticados métodos de cifrado. Su principal tarea es ejecutar las aplicaciones maliciosas descargadas.

10. AdWare.AndroidOS.Hamob.a: Aplicación publicitaria que se propaga camuflándose como programas legítimos (usando por ejemplo el nombre y pictograma de WinRAR), pero su única función es mostrar publicidad.

5.3. Futuro del malware en AndroidEn un futuro próximo, se espera que el malware continúe una evolución similar a la de los últimos años. Si bien el aumento en porcentaje igual no alcanza las cifras del año 2013, sí que se espera que en número la cantidad de malware orientado a Android siga al alza alcanzándose la mayor cifra de malware en circulación. Es más, algunos informes piensan que Android no solo será el sistema operativo móvil más atacado, si no que pasará a ser el objetivo principal de los desarrolladores de malware por encima de Windows.

Viendo las previsiones de las diferentes compañías de seguridad, también se espera que el malware que se desarrolle explote los diferentes tipos de vulnerabilidades que complicarán la eliminación de los dispositivos. En general, se espera una evolución que haga a las amenazas más sofisticadas y complejas. Por ejemplo, ya empezaron a surgir los primeros troyanos que aprovechándose de que los dispositivos cada vez tienen más potencia, utilizan esta para producir monedas digitales.

14

En cuanto al tipo de amenazas, aunque los troyanos SMS sigan estando entre los principales tipos, se espera un gran aumento de los bots puesto que parece que los atacantes se están dando cuenta de la gran rentabilidad que pueden proporcionar.

Pero la principal amenaza que acecha en el futuro próximo, es la de los troyanos bancarios, ya comentados en la sección anterior, pero en los que no se profundizó precisamente porque es una de las amenazas que más se espera que crezca. Hasta el momento los principales afectados por este tipo de amenaza han sido usuarios de Rusia y la comunidad de estados independientes, pero teniendo en cuenta el interés que están despertando estos troyanos, siendo uno de los tipos más lucrativos de amenazas, es fácil pensar que se propagará rápidamente.

Como ya se comentó, el malware se encamina cada vez más hacia una obtención efectiva de lucro, utilizando phising móvil, obtención de información de tarjetas de crédito y posterior transferencia a la cuenta del móvil y de ahí, o directamente, a billeteras electrónicas de los atacantes. Esto hace que estas amenazas se desarrollen cada vez más, buscando cada vez un mayor número de víctimas potenciales, provocando que poco a poco se vayan convirtiendo en las amenazas móviles más complejas.

Como ejemplo de este tipo de aplicaciones, y ya que se espera un gran crecimiento de estas en el futuro, se comentará uno de los troyanos surgidos durante el pasado año, el Svpeng.

A diferencia de los típicos troyanos SMS, el Svpeng está orientado a la obtención de dinero directamente de la cuenta bancaria de la víctima. Actúa según las órdenes que recibe de su administrador y se propaga a través de webs legítimas que remiten al usuario a recursos maliciosos donde se ofrece la instalación del troyano haciéndolo pasar por una instalación de Adobe flash player. Algunas de sus funciones son:

Recopila información sobre el Smartphone.

Roba mensajes SMS e información sobre las llamadas.

Roba dinero desde la cuenta bancaria de la víctima.

Roba el login y contraseña del sistema de banca online.

Roba los datos de la tarjeta bancaria.

Extorsiona a los usuarios: los asusta diciendo que ha bloqueado el Smartphone.

Oculta las huellas de sus actividades.

Se protege de ser eliminado.

15

6. Como saber si un dispositivo Android está infectado

Hay algunos síntomas que permiten conocer si un dispositivo está infectado y que son útiles de conocer, para en caso de infección poder actuar y eliminar el malware del terminal. Esto síntomas son:

Anuncios no deseados o múltiples pop-ups mientras el usuario navega, es indicador de que hay algún adware instalado en el sistema.

Alta congestión en el envío de datos, que puede ser indicador de algunos virus que hacen que el dispositivo se conecte a un sitio web, haga clic en anuncios, descargue archivos de gran tamaño o envíe mensajes.

Facturas elevadas sin motivo aparente, pueden deberse a que el dispositivo esté llamando o enviando SMS a números de tarificación especial a consecuencia de alguna infección por troyano SMS o similar.

Aplicaciones no solicitadas que aparecen en el dispositivo sin que el usuario las haya descargado, pueden se indicador de algún malware, ya que existen aplicaciones maliciosas que descargan otras aplicaciones sin el consentimiento del usuario.

Aplicaciones que utilizan funciones innecesarias, como por ejemplo permisos que esa aplicación no necesita, pueden ser indicador de malware, ya que existe malware que aparenta aplicaciones legítimas.

Actividad extraña en cuentas online, ya que hay malware capaz de robar contraseñas por ejemplo del correo electrónico u otros datos personales.

Aplicaciones que exigen dinero para desbloquear el dispositivo, siempre serán maliciosas, ya que ninguna compañía legítima bloquearía un dispositivo y mucho menos cobraría por desbloquearlo.

Mala vida de la batería. Si se nota una gran caída en la duración de la batería, puede deberse a malware que se está ejecutando, generalmente cuando es adware que muestra una gran cantidad de anuncios.

Llamadas desconectadas o interrupciones. El malware puede afectar a las llamadas, si pasa con cierta frecuencia y no hay indicios de que haya problemas con el operador, puede ser síntoma de algún malware.

Bajo rendimiento en general del dispositivo, también podría ser otra alerta de infección. Aunque en este caso puede deberse a múltiples factores, el malware puede llegar a ralentizar e incluso saturar al dispositivo, bajando claramente su rendimiento.

16

7. Como mantener a salvo un dispositivo Android

Aunque es muy complicado mantener completamente seguro un dispositivo Android, ya que las amenazas están en continua evolución, siempre es bueno seguir una serie de pautas para al menos intentar minimizar mucho las probabilidades de infección. A continuación se enumerarán algunas de las pautas de precaución que es recomendable seguir:

Instalar un software antimalware.

Mantener actualizado el sistema y las aplicaciones, aunque como se comentó anteriormente, no es el punto fuerte de Android la política de actualizaciones del sistema.

Controlar lo que se descarga o recibe, y no ejecutar si no se está seguro de lo que es.

Precaución con conexiones no seguras de bluetooth o wifi y sobre todo no realizar desde ellas operaciones delicadas como puedan ser las de banca online.

Precaución al navegar, y sobre todo al pinchar en enlaces que puedan llegar a través de correos o SMS.

No eliminar las protecciones del sistema.

Cumplir con la directiva de contraseñas.

Acceder a la red empresarial (En caso de que se use el mismo dispositivo) a través de redes privadas.

Utilizar el cifrado de datos.

Establecer un protocolo de actuación en caso de pérdida o robo del dispositivo. Por ejemplo, avisar a tus contactos.

No activar el modo desarrollador en el dispositivo.

No activar la opción “Instalar aplicaciones de orígenes desconocidos “, a no ser que se esté muy seguro de lo que se quiere instalar, aun así sería bueno volver a activar la opción después de esa instalación.

Instalar solo aplicaciones de canales oficiales.

Cuando se instalan aplicaciones nuevas, revisar qué permisos se les da.

17

8. Conclusiones.

En un mundo en el que la utilización de los dispositivos móviles está en auge, los dispositivos con sistema operativo Android son los más utilizados y los que más se venden en el mundo. Esto propicia que al mismo tiempo sean los más atacados.

Aunque la propia Google diga la verdad, y no sea tan fácil superar las defensas de Android y sea difícil que el malware llegue a colarse en el dispositivo, no es menos cierto no solo que sea el sistema más atacado, si no que se está convirtiendo en el principal objetivo de los desarrolladores de malware, con los riesgos que ello conlleva.

En vista del gran número de usuarios y de las posibilidades de obtener beneficio, los desarrolladores de malware están consiguiendo que cada vez haya más malware y más sofisticado existente en Android. Este malware va evolucionando y mejorando tanto las técnicas de infección, como de propagación, siendo cada vez más dañino y efectivo.

Toda esta evolución, que se prevé que siga igual en los próximos años, ha llevado ya a la existencia de malware muy avanzado que ya ataca directamente no solo a los dispositivos, si no a las cuentas bancarias de los usuarios.

Por todo ello, es muy recomendable tomar unas medidas de seguridad a la hora de manejar estos dispositivos, que si bien no van a asegurar al 100% el que se esté libre de malware, si minimizarán enormemente la probabilidad de ser infectado.

18

9. Bibliografía

¿Qué es Android?

http://www.xatakandroid.com/sistema-operativo/que-es-android

El sistema operativo Android en Wikipedia:

http://es.wikipedia.org/wiki/Android

¿Qué es Android?: Características y aplicaciones:

http://www.configurarequipos.com/doc1107.html

Una mirada a la seguridad de los dispositivos móviles (Informe Symantec):

http://www.sadvisor.com/downloads/InformeSymantecSET.pdf

Malware en dispositivos móviles Android (PFM María Asunción Vicente Ripoll):

http://www.adminso.es/recursos/Proyectos/PFM/2010_11/PFM_MALWARE.pdf

Informe McAfee sobre amenazas cuarto trimestre 2013:

http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q4-2013.pdf

Vías de infección para dispositivos móviles: Prevención y mitigación (INTECO):

https://cert.inteco.es/cert/Notas_Actualidad/vias_infeccion_dispositivos_moviles_prevencion_mitigacion_20120523?postAction=getLatestInfo

Malware en smartphones II (INTECO):

http://www.inteco.es/studyCategory/Seguridad/Observatorio/Biblioteca/malware_smartphones_S21SEC

Amenazas para dispositivos móviles en 2013 (KasperSky labs):

http://www.viruslist.com/sp/analysis?pubid=207271246

¿Por qué Android es más vulnerable al malware? (Trend Micro):

http://blog.trendmicro.es/por_que_android_es_mas_vulnerable/

Estudio revela crecimiento de más de 600% malware Android (Juniper Networks):

http://www.viruslist.com/sp/news?id=208275179

El malware para Android se exagera… según la propia Google:

http://blog.elevenpaths.com/2013/10/el-malware-para-android-se-exagera.html

Evolución del malware en dispositivos Android:

19

http://www.securitybydefault.com/2011/02/evolucion-del-malware-en-dispositivos.html

Android malware (Fredy Cabrera, Universidad católica nuestra señora de la Asunción):

http://www.jeuazarru.com/docs/android_malware.pdf

HongTouTou: Nuevo troyano Android descubierto:

http://muyseguridad.net/2011/02/18/nuevo-troyano-android-hongtoutou-descubierto

Android se mantiene como el SO más afectado por el malware:

http://www.muycomputer.com/2014/04/30/android-afectado-por-malware

El 83% del malware para Android envía SMS a números Premium:

http://www.lavoz.com.ar/tecno/el-83-del-malware-para-android-envia-sms-numeros-premium

Android vivirá en 2014 la peor epidemia de malware de su historia:

http://www.movilzona.es/2013/12/20/android-vivira-en-2014-la-peor-epidemia-de-malware-de-su-historia/

Phishing attack replaces Android banking apps with malware:

http://blogs.mcafee.com/mcafee-labs/phishing-attack-replaces-android-banking-apps-with-malware

¿Cuál es el blanco favorito de los cibercriminales?:

http://revistamyt.com/2014/05/cual-es-el-blanco-favorito-de-los-cibercriminales/

KasperSky ha detectado hasta 10 millones de aplicaciones malware en la historia Android:

http://tabletzona.es/2014/02/15/kapersky-ha-detectado-hasta-10-millones-de-aplicaciones-malware-en-la-historia-de-android/

Como saber si un dispositivo Android está infectado:

http://seguridad.ticbeat.com/como-saber-si-dispositivo-android-esta-infectado-por-malware/

Cinco señales para saber si tu Android está infectado:

http://www.taringa.net/posts/info/16665187/Cinco-senales-para-saber-si-tu-Android-esta-infectado.html

20