Droid Dream en Hacking Exposed

Desde hace varios años los teléfonos celulares y, en general, los dispositivos móviles ofrecen una gran variedad de funcionalidades que van desde el tradicional mensaje de texto hasta la posibilidad de tomar fotos/videos y subirlos directamente a redes sociales como Facebook y Twitter. Adicionalmente actualmente los dispositivos móviles  más avanzados, conocidos como smartphones, cuentan con todo un ecosistema que permite simplificar la distribución e instalación de aplicaciones desde la “nube” gracias al concepto de “App Store” propuesto originalmente por Apple en su producto iPhone. Sumado a lo anterior, cada vez es más clara la posición dominante del sistema operativo Android en el mercado de los smartphones lo cual se hizo más evidente desde que Nokia anunciara que dejaba de lado Symbian para asociarse con Microsoft e implementar Windows Phone en sus dispositivos. Todos estos factores en conjunto (la creciente popularidad de los smartphones, un sistema operativo cada vez más dominante e información confidencial almacenada en los dispositivos) conllevan a que los delincuentes informáticos se comiencen a interesar por tratar de vulnerar este tipo de plataformas.

El primero de marzo de este año un usuario de la red social Reddit anunció el descubrimiento de algunas aplicaciones en el Android Market oficial que no correspondian con las versiones originales. Entre los detalles que llamaron la atención fue el cambio del nombre de la aplicación en el Market (por ejemplo una versión de Guitar Solo Lite se encontró como Super Guitar Solo) y la modificación del Manifest para incluir la ejecución en segundo plano de código malicioso imitando el vector de propagación propuesto por Geinimi a finales de 2010:

Threat Propagation Vector – Official Blog – Symantec

Adicionalmente, una vez descargada la aplicación, dentro del .apk (que en realidad es un archivo comprimido que se puede abrir con WinZip, WinRar, 7-zip etc…) se evidenció un archivo llamado “rageagainstthecage” el cual corresponde a un exploit comúnmente utilizado por la comunidad de usuarios de Android para realizar escalación de privilegios y obtener permisos de root (administrador) en el dispositivo. Otro de los archivos que llamó la atención fue una supuesta base de datos (llamado sqlite.db) que en realidad era otra aplicación (DownloadProvidersManager.apk) que era posteriormente instalada por el código malicioso inicial.

A primera vista el único propósito del malware era enviar a un servidor remoto información privada que permite identificar únicamente al dispositivo (y probablemente clonarlo) como el IMEI y el IMSI, sin embargo, su objetivo real tenía un impacto mucho mayor debido a que consistía en ejecutar dos exploits para obtener permisos de root (administrador) en el sistema y con esto poder instalar una shell con la cual podría instalar una nueva aplicación (DownloadProvidersManager.apk) embebida en el paquete inicial. Dicha apk, instalada sin el consentimiento del usuario, se encargaría de descargar nuevas aplicaciones maliciosas las cuales se ejecutarían con permisos de root en el dispositivo pudiendo hacer virtualmente cualquier acción en el dispositivo móvil.

En marzo tuve la oportunidad de participar en el Hacking Exposed Live! en donde compartí una corta presentación sobre análisis de código malicioso en Android y realicé una demostración analizando Droid Dream utilizando algunas herramientas disponibles en Internet. El Webcast está disponible en http://www.hackingexposed.com en la sección Webcasts (Hacking Exposed Live – March 2011).

Droid Dream es una muestra más de la rápida y constante evolución del código malicioso para Android, un sistema operativo para smartphones cada vez más popular por lo que se espera que esta evolución continúe, al mismo ritmo con el que aumenta el uso de estos dispositivos en todo el mundo.

Categories: Botnet, Malware

1 comment

Leave a Reply

Your email address will not be published. Required fields are marked *