Las empresas de seguridad
informática vienen advirtiendo desde el 2010 la presencia de programas
maliciosos, también conocidos como 'malware', en los teléfonos Android. Un
informe de la firmaG
Data reveló un incremento de 6,1 por ciento en el volumen de amenazas para
Android, durante el segundo semestre de 2014. La firma detectó 4.500
piezas de código malicioso por día en su investigación.
KASPERSKY
Labs,
por su parte, presentó un informe enfocado en ciberamenazas financieras. Según
la compañía de seguridad rusa, el número de ataques financieros perpetrados con
'malware' para Android presentó un incremento de 3,25 por ciento en 2014.
Labs,
por su parte, presentó un informe enfocado en ciberamenazas financieras. Según
la compañía de seguridad rusa, el número de ataques financieros perpetrados con
'malware' para Android presentó un incremento de 3,25 por ciento en 2014.Para Google, es un asunto tan relevante que llevaron a cabo un minucioso análisis de los programas maliciosos presentes en su tienda. Los resultados los puede leer aquí
Es común que las compañías alerten sobre las amenazas, pero pocas veces enseñan cuál es exactamente su modo de operación.
Hay tres piezas de 'malware' predominantes según Camilo Gutiérrez, analista de seguridad de Eset: los troyanos SMS, que envían mensajes de texto sin autorización del usuario; los troyanos 'botnet', que permiten que el cibercriminal tome control del dispositivo de forma remota, y los 'ransomware', que bloquean el equipo y su información para, después, solicitar dinero a la víctima dueña del celular. Es una suerte de secuestro de datos.
Troyano SMS
El troyano de mensajes de texto
se oculta bajo la apariencia de una aplicación común. En el caso de la muestra
que nos proporcionó la empresa de seguridad Eset ('malware' conocido bajo el
nombre de Raden), luce como un juego buscaminas (iMine). Cabe notar que cuando
el usuario lo abre, el juego funciona con normalidad.
La
aplicación maliciosa ofrece lo que 'vende', es una buscaminas.
|
Sin embargo, dentro del código, este videojuego contiene una función que, cada vez que se inicia una nueva partida (dando clic a la carita que se ubica en la parte superior), ordena enviar mensajes de texto a un número de teléfono sin que el usuario se percate.
Estos mensajes llegan a una cuenta de mensajería 'premium', es decir, son mensajes que cuestan dinero y lo descuentan de la cuenta de la víctima.
Este 'malware' es muy difícil de detectar. El usuario puede pasar todo un mes sin percatarse de que el teléfono está siendo usado para mandar mensajes de texto con costo adicional. Solo llega a deducir una irregularidad cuando su factura muestra un cargo inusual en el apartado de SMS.
La
función SendSms enviaba mensajes de texto al número 1066185829. Ese es un
número de mensajes de texto 'premium'.
|
Troyano tipo 'botnet'
Una 'botnet' es una red de
computadores controlados a distancia por parte de un cibercriminal. A cada uno
de los dispositivos que la conforma se los llama 'zombis'.
La muestra del tipo 'botnet' que analizamos se llama ‘Zitmo’. También se oculta bajo un disfraz: parece unANTIVIRUS
.
Con esta pieza de código, el dispositivo del usuario termina siendo controlado
de forma remota por el cibercriminal. Algunos programas de esta categoría son creados para interceptar mensajes de texto; otros, para grabar a través del micrófono, y otros, para robar las imágenes almacenadas en el dispositivo. Depende del interés del atacante.
Según el especialista en seguridad informática Camilo Gutiérrez, de Eset, cuando se instala el supuesto antivirus la gente cree que está protegiendo su móvil, ello contribuye a que la treta sea efectiva, pues provee una falsa sensación seguridad.
Parece
una solución de seguridad, pero en realidad es un troyano.
|
En realidad, el atacante controla al dispositivo remotamente mediante comandos enviados vía mensaje de texto. Este tipo de virus se infecta cuando la víctima cae en la trampa de ofertas gratuitas de revisión y vacunación de su celular en sitios web u otras aplicaciones.
El objetivo del código maligno es capturar los mensajes de texto que llegan al teléfono de la víctima cuando esta usa los SMS para confirmar su identidad durante una transacción bancaria o para acceder a sus perfiles de redes sociales, etc.
En el video, el experto explica con detalle cómo opera este troyano:
Una vez más, es un programa malicioso muy difícil de detectar. No daña el celular ni impacta el rendimiento del dispositivo de forma notoria. La recomendación es que revise con detalle los permisos de la aplicación cuando la va a instalar; si solicita acceder a funciones del sistema, dude. Además, instale una solución de seguridad certificada.
Ransomware
Cuando un usuario ejecuta este
tipo de ‘malware’, que puede hacerse pasar por una aplicación inofensiva, se
empiezan a cifrar los archivos relacionados con imágenes (extensiones .jpg,
.gif, .bmp, .png y otras), documentos (.doc, .pdf, .docx, .txt) y videos y
música (.mp4, . avi, . mkv). Además, bloquea la pantalla de inicio con un
cartel de advertencia que indica que si se desea volver a tener acceso a la
información almacenada en el dispositivo, debe pagar un monto específico.
La muestra denominada Simplocker se escondía bajo la apariencia de un reproductor de vídeo. Cuando el usuario la ejecutaba, aparecía un mensaje advirtiendole que, si quería los archivos de vuelta, debía pagar un monto.
Parece
un reproductor de video, pero al ejecutarse, bloquea el equipo y lanza un
mensaje donde se pide dinero a cambio de la devolución del control del
dispositivo y sus datos. Además, toma el control de la cámara, por eso se ve
una imagen en el centro.
|
En
cuestión de un par de minutos, el programa malicioso cifraba los principales
archivos. Incluso si el usuario desinstalaba la aplicación, al ir a
revisar sus fotografías, se daba cuenta de que no podía verlas.
A veces no es suficiente con desinstalar la ‘App’ maliciosa, porque los archivos quedan cifrados. Por eso, siempre guarde copias de respaldo de sus documentos.
A veces no es suficiente con desinstalar la ‘App’ maliciosa, porque los archivos quedan cifrados. Por eso, siempre guarde copias de respaldo de sus documentos.
Para algunos tipos de 'ransomware' (que utilizan algorítmos simétricos, es decir aquellos en que la clave de descifrado se encuentra dentro del código del programa malicioso), ya existen soluciones de descifrado.
Los
archivos se encriptan (por eso su extensión cambió como se ve en la imagen).
Existen algunas soluciones para desencriptarlos, pero no funcionan con los
últimos códigos maliciosos del tipo 'ransomware'.
|
Sin embargo, las versiones más recientes (entre ellas está Cryptolocker), incluyen avances que impiden que los ficheros cifrados puedan recuperarse sin tener acceso al dispositivo móvil del atacante. Emplean algoritmos asimétricos y la clave para descifrar se encuentra en el equipo del cibercriminal.
Vea el video del laboratorio que muestra cómo opera el ransomware aquí:
0 comentarios:
Publicar un comentario