Ya vimos en el vídeo publicado en el artículo Realizades del Malware en Android parte 1, que el malware para dispositivos móviles existe y lo más preocupante es que en la actualidad su crecimiento es exponencial “un 3500% de incremento en lo que va de año 2013”.
Lo pudimos comprobar viendo un malware real funcionando en Android. Recordar, subimos a Google Play una aplicación aparentemente “inofensiva”, que paso todos los controles de Google y que te permitía usar bonitos fondos de pantalla. Realmente dicha aplicación era capaz de acceder, controlar y robarnos los datos de nuestro dispositivo.
Seguro que muchos de los que habéis visto el video os habéis hecho alguna de las siguientes preguntas:
¿Qué han utilizado para crear la aplicación?
¿Por qué Google no la detecto como maliciosa y bloqueo su publicación?
¿Por qué la aplicación era capaz de robar todos los datos sin permisos aparentes?
¿Por qué Sophos Mobile Security si fue capaz de detectarla?
¿Qué han utilizado para crear la aplicación?
La respuesta es sencilla, nada que no podamos descargar de forma gratuita en Internet. Incluso como servidor de comando y control no necesitamos más que un servidor en AMAZON que podíamos levantar en segundos y borrar su rastro una vez conseguido nuestro objetivo.
La lista de ingredientes: SDK de Android, Cuenta de desarrollo en Google, ganas de jugar y acceso a Internet.
¿Por qué Google no la detecto como maliciosa y bloqueo su publicación?
Google analiza las aplicaciones que se cargan en él y descarta aquellas que tengan contenido malicioso. Realmente dicha afirmación es cierta pero es fácil saltarse sus controles: ¿qué pasa si la aplicación no contiene el malware y lo descarga en su primera ejecución? ;-)
Esto nos demuestra que es importante descargarse aplicaciones de repositorios de confianza pero prestando atención a que también hayan sido desarrollados por editores de confianza. Si vemos una aplicación de Luis Delgado ya sabemos que tenemos que pensarlo dos veces antes de instalarla ;-)
¿Por qué la aplicación era capaz de robar todos los datos sin tener permisos para ello?
Aprovechamos una vulnerabiliad de los procesadores Exynos de Samsung que permite a una aplicación acceder a la memoria y ejecutar como root sin ningún tipo de limitación.
Este fallo afecta a todos los procesadores Exynos con doble núcleo y superiores. Es decir, cualquier dispositivo posterior al Samsung Galaxy SII, este modelo incluido, pasando por SIII, Note II, Note 10.1, Nexus 10, etc….
Usamos por tanto el exploit Exynos Abuse del que podemos encontrar multitud de información en la WEB. Con él podemos realizar root de nuestro dispositivo con un solo click, pero también es muy fácil que los utilice un atacante para desarrollar una aplicación como la nuestra.
¿Por qué Sophos Mobile Security si fue capaz de detectarla?
Sophos Mobile Security analizan las aplicaciones y el comportamiento de las mismas. La clave es que al análisis lo realiza tanto en la fase de instalación inicial, como en la ejecución inicial, así como de forma periódica. Del mismo modo Sophos Labs trabaja las 24 horas del día con los mejores profesionales para incrementar los ratios de detección de nuestra aplicación, para que nuestros dispositivos y nuestros datos estén seguros.
Para dudas adicionales así como para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario