Android Malware: Pasado, Presente, Futuro

Ayer, 29 de noviembre de 2011, finalmente fue publicado mi artículo “Android Malware: Past, Present and Future” en el sitio Web de McAfee (el PDF puede ser descargado directamente desde este link). Era diciembre de 2010 y, a pesar de que llevaba apenas un par de meses en McAfee Labs en Santiago de Chile, estaba a la espera de una oportunidad para comenzar un nuevo proyecto de investigación (el último lo había culminado hace más de un año con el artículo “Sexy View: El inicio de las Botnets para dispositivos móviles”). Justo por esa época conocí el Mobile Security Working Group, liderado por Michael Price, que me dio la oportunidad de escribir un artículo relacionado con seguridad en dispositivos móviles, el campo en el cual me desempeño actualmente y el que definitivamente me apasiona. El propósito de este post, además de compartir el documento en su formato original, es exponer de forma clara de qué se trata el artículo y qué podemos esperar en un futuro cercano en la evolución de este tipo de amenazas en dispositivos móviles Android.

La motivación para escribir el artículo de investigación fue Geinimi, un código malicioso descubierto a finales de diciembre de 2010 en app markets no oficiales (principalmente en China) que fue catalogado por la empresa Lookout como el malware para Android más sofisticado visto hasta ese momento. Esa afirmación llamó mi atención por lo que empecé a investigar sobre malware para Android anterior a Geinimi para ver en realidad la evolución del código malicioso en esta plataforma, apenas emergente, pero con un gran potencial de crecimiento en el corto plazo.

La primera parte del artículo trata sobre la historia del malware para Android que se remota  (exceptuando los clásicos software espías que son considerados programas potencialmente no deseados) al primer troyano para Android, FakePlayer, descubierto en Agosto de 2010 el cual era una aplicación bastante simple que pretendía ser un reproductor multimedia (incluso tenía el logo de Windows Media Player) pero que en realidad tenía implementado un código para enviar mensajes de texto (SMS) a números premium los cuales generaban costos no deseados a los usuarios y a la vez producían ganancias para los delincuentes informáticos. Desde FakePlayer se produjo un gran salto en sofisticación hasta llegar a Geinimi. La gran innovación de este malware fue el método de distribución: Fue la primera vez que se detectaron aplicaciones legítimas que fueron “troyanizadas” con el código malicioso. Esto quiere decir que, a diferencia de FakePlayer, Geinimi no era una aplicación completamente maliciosa sino que en realidad obtenían una aplicación legítima (en general juegos y wallpapers), le adicionaban el código malicioso y la re-empaquetaban de nuevo para distribuirla mediante sitios no oficiales.

La limitación hasta ese momento era que este malware se encontraba en foros, páginas web y app markets no oficiales en países como China o Rusia, sin embargo, esa situación estaba a punto de cambiar. En marzo de 2011 descubrieron Droid Dream, un código malicioso presente en más de 50 aplicaciones disponibles en el Android Market oficial (el que se encuentra instalado por defecto en la mayoría de dispositivos Android). Este malware, además de llegar a más usuarios alrededor del mundo (se estima que a más de 100.000), contenía dos exploits que permitían obtener permisos de administrador en el dispositivo e instalaba una aplicación completamente maliciosa que se encargaba de descargar más código malicioso en el dispositivo.

Finalmente a comienzos de Junio fue descubierto Plakton, un spyware empaquetado en aproximadamente 10 aplicaciones disponibles en el Android Market oficial que implementaba un nuevo vector de ataque: Es el primer malware que utiliza la carga dinámica de clases Dalvik para extender su funcionalidad y evadir detección. Lo anterior significa que Plakton, mientras se está ejecutando, solicita a un servidor en Internet si hay alguna actualización disponible. En caso afirmativo un archivo jar es descargado y cargado dinámicamente sin intervención del usuario lo cual era novedoso para la época en que fue descubierto este mecanismo.

El resto del artículo expone los fundamentos de Android, las herramientas y las metodologías necesarias para analizar malware en esta plataforma para luego aplicar estos conocimientos en el análisis de FakePlayer y Plankton con el fin de ver la evolución de estos dos tipos de amenazas en un periodo corto de tiempo (aproximadamente 1 año). Al final se expone una visión propia del futuro del código malicioso en Android el cual de seguro irá en aumento a medida de que la plataforma sea cada vez más popular y desde luego que la sofisticación será también cada vez mayor a medida que las herramientas de protección como los programas antivirus sean cada vez más efectivos para detectar este tipo de amenazas.

Categories: Malware, Smartphones

1 comment

Leave a Reply

Your email address will not be published. Required fields are marked *