Carlos A. Castillo L.

Ayer, 29 de noviembre de 2011, finalmente fue publicado mi artículo “Android Malware: Past, Present and Future” en el sitio Web de McAfee (el PDF puede ser descargado directamente desde este link). Era diciembre de 2010 y, a pesar de que llevaba apenas un par de meses en McAfee Labs en Santiago de Chile, estaba a la espera de una oportunidad para comenzar un nuevo proyecto de investigación (el último lo había culminado hace más de un año con el artículo “Sexy View: El inicio de las Botnets para dispositivos móviles”). Justo por esa época conocí el Mobile Security Working Group, liderado por Michael Price, que me dio la oportunidad de escribir un artículo relacionado con seguridad en dispositivos móviles, el campo en el cual me desempeño actualmente y el que definitivamente me apasiona. El propósito de este post, además de compartir el documento en su formato original, es exponer de forma clara de qué se trata el artículo y qué podemos esperar en un futuro cercano en la evolución de este tipo de amenazas en dispositivos móviles Android.

La motivación para escribir el artículo de investigación fue Geinimi, un código malicioso descubierto a finales de diciembre de 2010 en app markets no oficiales (principalmente en China) que fue catalogado por la empresa Lookout como el malware para Android más sofisticado visto hasta ese momento. Esa afirmación llamó mi atención por lo que empecé a investigar sobre malware para Android anterior a Geinimi para ver en realidad la evolución del código malicioso en esta plataforma, apenas emergente, pero con un gran potencial de crecimiento en el corto plazo.

La primera parte del artículo trata sobre la historia del malware para Android que se remota  (exceptuando los clásicos software espías que son considerados programas potencialmente no deseados) al primer troyano para Android, FakePlayer, descubierto en Agosto de 2010 el cual era una aplicación bastante simple que pretendía ser un reproductor multimedia (incluso tenía el logo de Windows Media Player) pero que en realidad tenía implementado un código para enviar mensajes de texto (SMS) a números premium los cuales generaban costos no deseados a los usuarios y a la vez producían ganancias para los delincuentes informáticos. Desde FakePlayer se produjo un gran salto en sofisticación hasta llegar a Geinimi. La gran innovación de este malware fue el método de distribución: Fue la primera vez que se detectaron aplicaciones legítimas que fueron “troyanizadas” con el código malicioso. Esto quiere decir que, a diferencia de FakePlayer, Geinimi no era una aplicación completamente maliciosa sino que en realidad obtenían una aplicación legítima (en general juegos y wallpapers), le adicionaban el código malicioso y la re-empaquetaban de nuevo para distribuirla mediante sitios no oficiales.

La limitación hasta ese momento era que este malware se encontraba en foros, páginas web y app markets no oficiales en países como China o Rusia, sin embargo, esa situación estaba a punto de cambiar. En marzo de 2011 descubrieron Droid Dream, un código malicioso presente en más de 50 aplicaciones disponibles en el Android Market oficial (el que se encuentra instalado por defecto en la mayoría de dispositivos Android). Este malware, además de llegar a más usuarios alrededor del mundo (se estima que a más de 100.000), contenía dos exploits que permitían obtener permisos de administrador en el dispositivo e instalaba una aplicación completamente maliciosa que se encargaba de descargar más código malicioso en el dispositivo.

Finalmente a comienzos de Junio fue descubierto Plakton, un spyware empaquetado en aproximadamente 10 aplicaciones disponibles en el Android Market oficial que implementaba un nuevo vector de ataque: Es el primer malware que utiliza la carga dinámica de clases Dalvik para extender su funcionalidad y evadir detección. Lo anterior significa que Plakton, mientras se está ejecutando, solicita a un servidor en Internet si hay alguna actualización disponible. En caso afirmativo un archivo jar es descargado y cargado dinámicamente sin intervención del usuario lo cual era novedoso para la época en que fue descubierto este mecanismo.

El resto del artículo expone los fundamentos de Android, las herramientas y las metodologías necesarias para analizar malware en esta plataforma para luego aplicar estos conocimientos en el análisis de FakePlayer y Plankton con el fin de ver la evolución de estos dos tipos de amenazas en un periodo corto de tiempo (aproximadamente 1 año). Al final se expone una visión propia del futuro del código malicioso en Android el cual de seguro irá en aumento a medida de que la plataforma sea cada vez más popular y desde luego que la sofisticación será también cada vez mayor a medida que las herramientas de protección como los programas antivirus sean cada vez más efectivos para detectar este tipo de amenazas.

Desde hace varios años los teléfonos celulares y, en general, los dispositivos móviles ofrecen una gran variedad de funcionalidades que van desde el tradicional mensaje de texto hasta la posibilidad de tomar fotos/videos y subirlos directamente a redes sociales como Facebook y Twitter. Adicionalmente actualmente los dispositivos móviles  más avanzados, conocidos como smartphones, cuentan con todo un ecosistema que permite simplificar la distribución e instalación de aplicaciones desde la “nube” gracias al concepto de “App Store” propuesto originalmente por Apple en su producto iPhone. Sumado a lo anterior, cada vez es más clara la posición dominante del sistema operativo Android en el mercado de los smartphones lo cual se hizo más evidente desde que Nokia anunciara que dejaba de lado Symbian para asociarse con Microsoft e implementar Windows Phone en sus dispositivos. Todos estos factores en conjunto (la creciente popularidad de los smartphones, un sistema operativo cada vez más dominante e información confidencial almacenada en los dispositivos) conllevan a que los delincuentes informáticos se comiencen a interesar por tratar de vulnerar este tipo de plataformas.

El primero de marzo de este año un usuario de la red social Reddit anunció el descubrimiento de algunas aplicaciones en el Android Market oficial que no correspondian con las versiones originales. Entre los detalles que llamaron la atención fue el cambio del nombre de la aplicación en el Market (por ejemplo una versión de Guitar Solo Lite se encontró como Super Guitar Solo) y la modificación del Manifest para incluir la ejecución en segundo plano de código malicioso imitando el vector de propagación propuesto por Geinimi a finales de 2010:

Threat Propagation Vector – Official Blog – Symantec

Adicionalmente, una vez descargada la aplicación, dentro del .apk (que en realidad es un archivo comprimido que se puede abrir con WinZip, WinRar, 7-zip etc…) se evidenció un archivo llamado “rageagainstthecage” el cual corresponde a un exploit comúnmente utilizado por la comunidad de usuarios de Android para realizar escalación de privilegios y obtener permisos de root (administrador) en el dispositivo. Otro de los archivos que llamó la atención fue una supuesta base de datos (llamado sqlite.db) que en realidad era otra aplicación (DownloadProvidersManager.apk) que era posteriormente instalada por el código malicioso inicial.

A primera vista el único propósito del malware era enviar a un servidor remoto información privada que permite identificar únicamente al dispositivo (y probablemente clonarlo) como el IMEI y el IMSI, sin embargo, su objetivo real tenía un impacto mucho mayor debido a que consistía en ejecutar dos exploits para obtener permisos de root (administrador) en el sistema y con esto poder instalar una shell con la cual podría instalar una nueva aplicación (DownloadProvidersManager.apk) embebida en el paquete inicial. Dicha apk, instalada sin el consentimiento del usuario, se encargaría de descargar nuevas aplicaciones maliciosas las cuales se ejecutarían con permisos de root en el dispositivo pudiendo hacer virtualmente cualquier acción en el dispositivo móvil.

En marzo tuve la oportunidad de participar en el Hacking Exposed Live! en donde compartí una corta presentación sobre análisis de código malicioso en Android y realicé una demostración analizando Droid Dream utilizando algunas herramientas disponibles en Internet. El Webcast está disponible en http://www.hackingexposed.com en la sección Webcasts (Hacking Exposed Live – March 2011).

Droid Dream es una muestra más de la rápida y constante evolución del código malicioso para Android, un sistema operativo para smartphones cada vez más popular por lo que se espera que esta evolución continúe, al mismo ritmo con el que aumenta el uso de estos dispositivos en todo el mundo.

Luego de más de 2 meses de no publicar en el blog, hoy quiero compartir mi primer artículo en el blog central de McAfee: Xirtem Worm Hides in CAB/SFX Files. El objetivo del post era describir una nueva funcionalidad del código malicioso Xirtem y proporcionar varios métodos de desinfección para recuperar los archivos secuestrados por el virus. La idea entonces es describir de una forma más amigable (y en español) lo escrito en el blog de McAfee.

Xirtem es un código malicioso bastante “ruidoso”, es decir, realiza muchos cambios en el sistema de archivos y efectúa una gran variedad de conexiones de red debido a que uno de los métodos principales de difusión es el envío de correos electrónicos no deseados con un archivo adjunto malicioso. El otro método de difusión que utiliza es la creación de directorios comunes para compartir archivos  en redes P2P (Grokster, LimeWire y Morpheus) y dentro de ellos la creación de archivos maliciosos con nombres sugestivos como “PDF to Word Converter 3.0” o “Grand Theft Auto Episodes From Liberty City 2010”. Finalmente el malware utiliza el clásico método de infección mediante memorias USB o pendrives el cual en la mayoría de casos se puede prevenir deshabilitando el autorun en Windows.

Lo novedoso de Xirtem es que últimamente busca archivos ejecutables en unidades de red que se encuentren conectadas al computador que se encuentra infectado. El resultado es un archivo Win32 Cabinet Self-Extractor como “Dummy.exe” que vemos en la siguiente imagen (suponiendo que nuestro ejecutable limpio se llama también Dummy):

Adicional a que durante la ejecución otro código malicioso es instalado y ejecutado en el sistema (Hiloti), si ejecutamos el archivo Dummy.exe  se instalará el malware y se ejecutará nuestro archivo .exe. Para realizar la limpieza del sistema y recuperar nuestro ejecutable, propongo dos métodos:

1. Ejecutar el siguiente comando en una línea de commandos (cmd): archivo.exe /T:<carpeta temporal> /C /Q (por ejemplo X:\>notepad.exe /T:X:\temp /C /Q). Este comando extraerá los dos archivos (tanto el malicioso como el de nosotros) en la carpeta temp. Luego de esto, podemos ejecutar un escaneo en esta carpeta con nuestro antivirus o simplemente borrar el archivo malicioso.
2. Instalar un programa para descomprimir archivos (winrar, 7-zip) y abrirlo con este software para poder extraer los archivos y recuperar el original. Luego de esto, ejecutar un escaneo general con el software antivirus que se tenga instalado.

Es importante mencionar que para que los archivos sean comprimidos en un CAB/SFX es necesario que la unidad de red se encuentre conectada al computador infectado mediante la opción Mi PC -> Herramientas -> Conectar a Unidad de Red, sin embargo, para evitar infectarse con este tipo de virus es recomendable no descargar/abrir/ejecutar archivos adjuntos de correos no deseados, evitar descargar archivos desconocidos de redes P2P, deshabilitar la funcionalidad de Autorun en Windows y tener un software antivirus actualizado.

Fuente: S21Sec

Son aproximadamente dos meses desde mi último post en el blog. La razón de esto es que, durante este tiempo se dió una nueva oportunidad laboral: cambié mi trabajo en la Superintendencia Financiera de Colombia por el de Malware Researcher en el nuevo McAfee Labs en Santiago de Chile. Sin embargo, durante estos meses no he dejado de estar enterado del mundo de la seguridad informática revisando diariamente noticias, papers, investigaciones y nuevos descubrimientos de amenazas que pueden estar afectando a las personas que navegan todos los días en Internet. De esta forma, me enteré del post titulado “ZeuS Mitmo: Man-in-the-mobile” publicado en el blog de la empresa española S21Sec el cual anuncia el descubrimiento de la evolución del conocido troyano bancario ZeuS hacia el mundo de los dispositivos móviles.

Antes de comentar la novedad, primero voy a dar una pequeña introducción sobre ZeuS. En realidad, no se trata de un solo ejemplar de malware sino de un kit de herramientas que permite construir y administrar una botnet mediante la generación de código malicioso. El objetivo principal de ZeuS es robar información confidencial que puede ser utilizada por los delincuentes informáticos para realizar fraude electrónico o para efectuar robo de identidad. Una de las últimas novedades de ZeuS era la inclusión de la técnica Man-in-the-Browser la cual permite la captura, en tiempo real, de las credenciales de acceso (nombre de usuario y contraseña) a la banca en línea por lo que la transferencia de fondos hacia la cuenta del delincuente informático se realiza sin que el cliente se de cuenta. Esto es posible debido a que el malware cuenta con un sistema de notificación que le avisa al bot master que el cliente se ha autenticado por lo que, desde ese momento, se cuenta con todos los elementos necesarios para realizar la transferencia bancaria (incluso se puede obtener los one-time passwords que generan los Tokens físicos). Adicionalmente, según SecureWorks, ZeuS también es capaz de capturar certificados digitales (PKCS #12) que son usados por los navegadores de las víctimas para autenticarse en los sitios web transaccionales.

Abarcados estos métodos de autenticación fuerte, ZeuS va un paso más allá: ahora incluye la opción de infectar dispositivos móviles y capturar los mensajes de texto (SMS) que son enviados al teléfono como segundo método de autenticación. Esto es debido a los cada vez más populares tokens de software los cuales utilizan los mensajes cortos de texto para autenticar a los usuarios de la banca en línea.

El principal método de infección consiste en enviar un link, mediante SMS, que permite instalar una aplicación maliciosa encargada de robar el SMS adicional de autenticación. Para ello, ZeuS dispone de un sitio web que permite registrar el modelo y número de teléfono celular al cual se le envía el mensaje de texto con el link mencionado:

Fuente: S21Sec

Importante mencionar que el malware es multiplataforma: al escoger el fabricante, el código malicioso escoge si enviar el link para instalar una aplicación Symbian (.sis) o una aplicación para BlackBerry (.jad). S21Sec analizó el ejemplar para Symbian S60 evidenciando el sistema de Comando y Control implementado en el malware mediante el uso de los mensajes cortos de texto SMS:

Fuente: S21Sec

Básicamente, el código malicioso se registra con el bot master enviando un mensaje SMS con la cadena “App installed ok” y queda a la espera de recibir comandos por el mismo medio. Dichos mensajes son recibidos y enviados por un número predefinido pero puede ser cambiado mediante el comando “SET ADMIN”. ZeuS también incluye la opción de adicionar/eliminar/actualizar contactos con lo cual el envío/recepción de SMS puede ser fácilmente enmascarado.

Con esta nueva funcionalidad de ZeuS, queda demostrado que el crimeware va a la par con los avances en seguridad informática incluyendo, en esta ocasión, los dispositivos móviles los cuales son cada vez más indispensables en la vida cotidiana y, por tanto, seguirán siendo objetivo de los delincuentes informáticos.

Update: Según el blog de F-Secure, el C&C desde donde se administraba la botnet ha sido dado de baja, sin embargo, de seguro se espera que aparezcan nuevas versiones del malware con funcionalidades mejoradas.

Fuente: Microsoft

El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

• Se aprovecha de una vulnerabilidad en Windows de la que hasta ese momento no se tenía conocimiento: La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

• Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

• Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

• Orientado a sistemas SCADA: La primera muestra de malware estaba orientado a atacar sistemas de propósito específico del fabricante Siemens los cuales son usados para controlar y administrar procesos industriales críticos como por ejemplo la infraestructura de energía eléctrica.

Hasta este punto, la amenaza parecía ser muy puntual que no afectada masivamente a las personas aunque quedaba descubierta la vulnerabilidad esperando por una solución. Sin embargo, el 18 de julio la vulnerabilidad fue publicada en Internet. Lo anterior provocó que el SANS cambiara su indicador de amenaza de verde a amarillo debido a que aún no se contaba con la solución y, por el contrario, la forma de explotar la vulnerabilidad había sido publicada. Incluso, el famoso software Metasploit implementó un módulo con el exploit lo cual incrementaba las posibilidades de un despliegue de ataques aprovechando dicha vulnerabilidad.

Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality y hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Es en este punto en donde se da la respuesta al titulo de este post: Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche, fuera de ciclo, que Microsoft que publicó el día de hoy: MS10-046.

PD: En caso de haber seguido el procedimiento propuesto por Microsoft en donde se deshabilitan los iconos en Windows, en éste enlace se encuentra la herramienta para reversar la modificación realizada.

PD2: Un ejemplo del uso del módulo de Metasploit

Windows LNK vulnerability (CVE-2010-2568) in action from hardez on Vimeo.

Fuente: Fortinet

La imagen anterior corresponde a  una queja formal de un cliente de telefonía en China en la cual expresa su descontento por una serie de mensajes cortos (SMS) enviados a un número premium que generaron unos costos adicionales (31 yuans) en la factura mensual del proveedor de telefonía celular. Según el reclamo, los mensajes de texto no fueron realizados por el cliente por lo que se abre la posibilidad de que se hayan efectuado de forma automática mediante el uso de un código malicioso instalado en el teléfono celular.

El causante del anterior comportamiento es el malware SymbOS/Album.A!tr, el cual ha sido analizado por la compañía Fortinet, la misma que descubrió el código malicioso Yxes que fue objeto de análisis en el trabajo de investigación presentado en el concurso de ESET 2009 para determinar si podía ser considerada la primera Botnet Móvil.

En efecto, SymbOS/Album.A!tr comparte varias características con su hermano mayor Yxes. Una de las más importantes es que utilizan la misma técnica para obtener el certificado de firma digital que exige Symbian para que las aplicaciones puedan ser instaladas en dicho sistema operativo: Los desarrolladores se registran en el sitio web https://www.symbiansigned.com/ con una dirección de e-mail corporativa válida (no se acepta gmail, yahoo, hotmail etc…) y, previo pago de USD $20, reciben la aplicación firmada.

De otra parte, SymbOS/Album.A!tr cuenta con la funcionalidad de enviar mensajes cortos SMS de forma silenciosa (sin que lo note el usuario).  Lo más interesante de esta característica es que los mensajes de texto no quedan registrados en la bandeja de entrada (inbox) del celular por lo que son completamente invisibles para el usuario. La única forma de detectar éste comportamiento es leer el log interno del teléfono (c:\101f401d\logdbu.dat):

Fuente: Fortinet

El archivo anterior muestra que el teléfono celular intentó enviar dos mensajes de texto cortos: Uno al número 10665xxx con el texto “1*1#” y otro al número 13410252xxx enviando el IMSI. Efectivamente el primer número corresponde al reclamo del usuario chino que se comentó al comienzo del artículo por lo que se concluye que los mensajes fueron enviados automáticamente por el malware  SymbOS/Album.A!tr.

El ejemplar fue enviado a Fortinet por la compañía de seguridad informática NetQuin la cual, el 5 de julio de 2010, comentó en su blog sobre el descubrimiento de una Botnet móvil de aproximadamente 100.000 dispositivos móviles lo cual demuestra que la amenaza en dispositivos móviles sigue en aumento, por lo menos en los países asiáticos en donde Symbian es bastante popular.

Para nadie es un secreto la popularidad con la que actualmente cuenta la red social Facebook: En febrero 4 de 2010 festejaron su sexto año de existencia celebrando que contaban con aproximadamente 400 millones de usuarios. Más impresionante aún: El pasado 7 de marzo Facebook superó a Google en número de visitas entre semana (exceptuando Navidad y Año Nuevo) en Estados Unidos por primera vez en su historia :

Adicional a la popularidad, una de las características más llamativas de Facebook son las llamadas aplicaciones (o “apps”) entre las que se encuentran: Juegos de todo tipo, horóscopos, la común foto diaria, las frases de X personaje, las famosas “Galletas de la fortuna” (y todas sus variaciones conocidas) entre otras. Una de las aplicaciones que más llama la atención es “Quién visitó tu perfil ayer?”:

Lo importante para resaltar en este simple “click” es que con este procedimiento se le está proporcionando a la aplicación acceso a información confidencial del perfil de la persona como bien lo expresa en la advertencia inicial: “Esta aplicación podrá obtener información de tu perfil, fotos, información de tus amigos y otros contenidos que necesite para funcionar”. En este caso específicamente Facebook advierte que no es posible saber quién miró el perfil de determinada persona por lo que recomiendan a los usuarios a que ayuden a luchar contra estas aplicaciones falsas reportándolas siguiendo este procedimiento.

Ahora bien, la situación puede empeorar si no se tiene cuidado con estas falsas aplicaciones. Un ejemplo de ello son las seis aplicaciones maliciosas detectadas por TrendMicro el año pasado: “Stream”, “Posts”, “Your Photos”, “Birthday Invitations”, “Inbox (1)”, “Inbox (2)” las cuales estaban orientadas a robar credenciales (nombre de usuario y contraseña) mediante el envío de mensajes no deseados a los amigos de la víctima utilizando la modalidad phishing (fucabook.com):

Desde luego que estas amenazas ya fueron eliminadas de Facebook y el dominio de phishing dado de baja, sin embargo, como se nota en el mismo blog de TrendMicro, la aparición de nuevas aplicaciones maliciosas es bastante rápida cambiando básicamente el nombre y el ícono y utilizando ingeniería social para atraer cada vez más victimas. Un ejemplo de esto es lo que le faltaba a la red social: ¿Un antivirus dentro de Facebook? . En realidad este es otro ejemplo del uso de ingeniería social para engañar a las personas con el fin de que instalen este tipo de aplicaciones maliciosas. En este caso en especial (“F’acebook Antivirus” y “Antivirus in Focebook”) la aplicación apenas se instala le coloca un tag a cada uno de los amigos de la víctima en la siguiente foto:

Luego de esto, la aplicación publica la foto en el muro del perfil para que todos los contactos de la víctima se den cuenta de la “novedad” y a su vez instalen de nuevo la aplicación en sus perfiles.

Para finalizar es importante recordar que en mi opinión este tipo de amenazas van a ir en aumento debido en gran parte a la gran popularidad de Facebook, a la calidad y cantidad de información disponible en los perfiles de los usuarios y a la facilidad que existe en la red social para desarrollar y publicar nuevas aplicaciones. Es por esto que, mientras Facebook no cuente con controles más estrictos para por lo menos filtrar este tipo de aplicaciones antes de que lleguen al usuario final, las personas usuarias de este tipo de redes sociales deben tener mucho cuidado al seleccionar cuál aplicación instalar teniendo siempre presente que “Esta aplicación podrá obtener información de tu perfil, fotos, información de tus amigos y otros contenidos que necesite para funcionar”.

Hasta hace apenas aproximadamente un año, las redes de dispositivos móviles infectados con malware controlados remotamente era tan solo un mito el cual intentaba convertirse en realidad mediante el descubrimiento del gusano Yxes.A (también conocido como Sexy View) para Symbian S60 por parte de Fortinet el 18 de febrero de 2009. En resumen, el malware presentaba los siguientes síntomas en el dispositivo: Anormal aumento en el valor de las facturas de telefonía al enviar mensajes cortos SMS, rápida pérdida de batería e imposibilidad de ejecutar algunas aplicaciones del sistema operativo (AppMgr, TaskSpy, Y-Tasks, ActiveFile, TaskMan).  Adicionalmente, intentaba silenciosamente conectarse a Internet enviando un HTTP request con el modelo del teléfono, número serial, número de subscripción y la versión del gusano colocando dicha información en un servidor remoto. En esa época, Guillaume Lovet, senior manager del Fortinet’s Threat Research Team afirmó: “We’re really at the edge of a mobile botnet here” .

Unos meses después apareció iKee, la primera red de iPhones controlados de forma remota a través de una red 3G gracias a el conocimiento de una contraseña por defecto del servicio de consola remota SSH. Al parecer los delincuentes informáticos se estaban dando cuenta del incremento de la banca móvil y del creciente uso de los dispositivos móviles a nivel mundial. Con respecto a esto, un estudio reciente  afirma que el mercado de aplicaciones móviles para teléfonos inteligentes crecerá un 807% hasta el año 2013 y se espera que para esa época existan 970 millones de terminales denominados inteligentes lo cual es un mercado bastante apetecido para atacar, sobretodo si entre esas aplicaciones que se desarrollan existen las que encajan dentro de la categoría de “Banca Móvil”.

Ahora bien, luego de conocer el gran impacto que tuvo este malware en la comunidad iPhone y del gran potencial que tienen las aplicaciones móviles en el mercado, unos investigadores del TippingPoint’s Digital Vaccine Group desarrollaron una aparentemente “inofensiva” aplicación de información del clima (WheaterFirst) para dispositivos Android y iPhone. Lo que no sabían las personas que instalaron el malware es que en realidad estaban infectando sus dispositivos para hacerlos parte de una botnet de más de 8.000 dispositivos los cuales enviaban constantemente las coordenadas GPS de los usuarios a Internet. La distribución del software fue realizada a través de mercados de aplicaciones de terceros como Cydia, SlideME y Modmyi para que pudiera ser instalada en dispositivos liberados con permisos para ejecutar aplicaciones generalmente no aprobadas por iPhone y Android. Para probar el peligro de una Botnet Móvil, crearon una versión maliciosa de la aplicación llamada WeatherFistBadMonkey la cual es muy similar a la original solo que antes de efectuar su función principal (enviar coordenadas GPS a Internet para mostrar información del clima), se encarga de realizar actividades características de un dispositivo zombie (robar información confidencial y enviar spam).

Por último, como muestra fehaciente de la constante evolución de esta amenaza, el 4 de marzo de 2010 de nuevo el equipo de Fortinet descubrió una nueva variante del gusano para Symbian Yxes. Este nuevo malware contacta servidores remotos, los cuales contienen páginas JSP (Java Server Pages), y envía “atractivos” mensajes cortos SMS que incluyen una URL maliciosa para provocar la infección en los contactos que tiene el dispositivo de la victima.  La novedad más notoria de esta versión es que ahora utiliza páginas JSP para enviar la información robada de la siguiente forma:

http://XXXX/Jump.jsp?Version=2.0&PhoneType=…&PhoneImei=…&PhoneImsi=…&Source=..

El argumento Source aún no se ha podido determinar qué información lleva, sin embargo, se sospecha que sea el nombre del sitio web malicioso que fue usado para infectar el dispositivo. Lo realmente preocupante, tanto de esta versión como de las anteriores, es que cuenta con un certificado de Symbian legítimo el cual no ha sido revocado por lo que cualquier dispositivo que soporte la aplicación puede instalar Yxes debido ésta se encuentra firmada digitalmente. Con lo anterior se confirma que los delincuentes informáticos continúan trabajando en Yxes desde finales de 2008 realizando cada vez más mejoras en el código malicioso sin que exista control por parte de Symbian.

En conclusión, el mercado de la inseguridad en dispositivos móviles va en aumento y es cada vez más apetecido por los delincuentes informáticos. Si bien estoy de acuerdo con Graham Cluley de Sophos  quien afirma que no era necesario realizar el experimento de WeatherFist para probar que una aplicación maliciosa podía ser distribuida e instalada por una gran cantidad de usuarios sin que se dieran cuenta de la amenaza, si pienso que los controles que ejercen Apple, Android y Symbian (cada uno en su medida) en sus medios de distribución de aplicaciones ayudan a filtrar esas aplicaciones que pueden tener comportamiento malicioso. Esto ayuda bastante a mitigar el riesgo de infección con malware debido en gran parte a que actualmente dicha infección requiere en un gran porcentaje de las veces de la interacción del usuario. Entonces, ¿Qué falta para que este problema se masifique en los dispositivos móviles a nivel mundial? Como dice Mikko Hypponen, Chief Research Officer de F-Secure, “Tarde que temprano, veremos el primer ataque mediante exploit y, cuando eso suceda, todo cambiará”.

La imagen anterior corresponde a un mapeo de infecciones (en un periodo de 18 días) realizadas por una de las redes de computadores “zombies” que más enviaban correo no deseado (spam) a nivel mundial: Waledac. Precisamente ésta red fue el objetivo de la “Operación b49” ejecutada por Microsoft el pasado 22 de febrero del presente año. Para entender la importancia de este hecho y sus futuras implicaciones, es necesario primero revisar en qué consiste esta amenaza y su acelerada evolución en los últimos años a nivel mundial.

Una Botnet consiste básicamente en una serie de computadores infectados con malware bajo el control remoto de uno o más delincuentes informáticos. El origen de esta amenaza se remonta al año 1993 cuando Jeff Fisher creo el software Eggdrop bot para realizar mantenimiento de red. Esto demuestra que, originalmente, las Botnet no fueron pensadas para fines maliciosos, sin embargo, debido a su gran tamaño (puede llegar incluso a millones de máquinas), actualmente constituyen una de las amenazas, en términos de seguridad de la información, más importantes actualmente.

Entre los usos que le dan los delincuentes informáticos se encuentran: Ataques de denegación de servicio distribuido, envío de correo no deseado, captura de tráfico, captura de teclado, infección de otras máquinas con malware, instalación de publicidad no deseada, robo de identidad siendo el envío de spam (y por ende también de malware y phishing lo cual conlleva a fraude electrónico y espionaje industrial) uno de los usos más preocupantes.

Ahora bien, la principal pregunta que surge es: ¿Cómo reducir el nivel de impacto de esta amenaza? Desde luego que una de las primeras medidas es el uso de un antivirus que permita detectar y, si es posible, eliminar el malware permite la conexión del atacante remoto. Otro control que reduce el riesgo de ser parte de una Botnet es mantener actualizado el sistema operativo y las aplicaciones instaladas en la máquina con el fin de prevenir que gusanos de Internet se aprovechen de vulnerabilidades conocidas (como en el caso de Conficker) e infecten la máquina sin la intervención del usuario.  Hasta ahora los esfuerzos se habían concentrado en estos dos controles tecnológicos, sin embargo, aún no se había contemplado utilizar una vía que usualmente es bastante eficaz pero que en el mundo digital aún se duda de su aplicabilidad: la legal. Tras varios meses de investigación, y de la aplicación de una cuidadosamente diseñada estrategia legal, en febrero 22 Microsoft logro dar de baja 277 dominios de Internet con lo cual desactivaron en gran parte una de las 10 más grandes Botnets en Estados Unidos la cual era la encargada de enviar aproximadamente 1.5 billones de correos electrónicos no deseados al día. La efectividad de esta acción se sintió en un periodo corto de tiempo al reducir con gran rapidez el número de direcciones IP que se reportaban a los servidores de comando y control de Waledac:

Desde luego cabe aclarar que con este procedimiento lo único que se logró es cortar la comunicación entre el atacante remoto y la máquina infectada por lo que es posible que el delincuente informático pueda instalar un nuevo servidor de comando y control con lo cual podría volver a tomar control de los computadores infectados por lo que se recomienda efectuar un proceso de desinfección para mitigar este riesgo de reincidencia.

Por otro lado, y siguiendo con el mismo enfoque legal y judicial, la guardia civil Española en colaboración con el FBI y Panda Security, desmanteló la Botnet Mariposa compuesta por más de 13 millones de computadores infectados. El método utilizado: la captura de tres ciudadanos españoles pertenecientes al grupo DDPTEAM que controlaban la red obteniendo datos de acceso a cuentas de correo electrónico, servicios de banca electrónica y redes corporativas.

Con estos dos ejemplos queda demostrado que el esfuerzo no debe ser solamente tecnológico (realizando los respectivos análisis de las Botnets objetivo sino también legal y judicial invirtiendo tiempo y recursos tanto por parte de los gobiernos como de entidades privadas críticas en cuanto a la infraestructura de la red de redes: Los proveedores de Internet.

Es este enfoque en donde me parece que se encuentra una de las medidas más efectivas contra el malware y el crimeware a nivel mundial. Un ejemplo de la implementación exitosa de este control se encuentra en Japón con el funcionamiento del “Cyber Clean Center” por parte del JP-CERT en conjunto con 76 ISP’s los cuales cubren el 90% del tráfico de Internet en este país. El propósito de este organismo es analizar, en conjunto con Trendmicro, las diferentes características de una Botnet las cuales son identificadas mediante el análisis de tráfico que transita a través de los ISP. En caso de detectar un usuario infectado, se le envía un correo electrónico o incluso a veces un correo físico informándolo sobre la infección y sugieriéndole que ingrese al sitio web principal del organismo para descargar la herramienta de limpieza dispuesta por Trendmicro.

Ahora bien, complementario a esta estrategia, Scott Charney de Microsoft propuso el día de hoy en la RSA Security Conference una medida más radical: Que los ISP’s coloquen en cuarentena los computadores que detecte el ISP como infectados por malware y, por tanto, que sean parte de una Botnet. Si bien es una medida estricta que limita la libertad en Internet como es el caso de las descargas ilegales por redes P2P, si se implementa puede que reduzca en gran parte el fraude electrónico, el robo de identidad, el correo electrónico no deseado entre muchas otras amenazas que afectan Internet actualmente a nivel mundial.

En conclusión, el panorama del malware en cuanto a la forma de combatirlo está cambiando. Por un lado, los antivirus no son 100% efectivos debido a que cada día se generan miles de ejemplares sospechosos diferentes para analizar por lo cual la industria antivirus no da abasto. Si a esto le sumamos los cada vez más frecuentes ataques de 0-day, los prolongados tiempos de respuesta para los respectivos parches por parte de los fabricantes de las aplicaciones y el constante aumento de la piratería en Windows lo cual no permite la oportuna aplicación de parches críticos, vemos que en realidad los controles tecnológicos actuales no son suficientes para reducir la amenaza y es necesario complementar esta estrategia con procedimientos y métodos jurídicos y judiciales los cuales, en conjunto con los pilares de Internet, ayudarán a reducir el impacto del crimen organizado en el mundo digital.

Luego de varios días de ausencia, debido en gran parte a que cambié de trabajo y estuve bastante ocupado entregando mis funciones en un lado y recibiendo el nuevo cargo en mi nueva posición laboral, vuelvo a escribir para ustedes motivado porque el fin de semana pasado capturé un interesante, pero preocupante, mensaje de error en una máquina automática de pago de parqueadero en un concurrido centro comercial de la ciudad de Bogotá.

Lo anterior me recuerda una polémica bastante mencionada el año pasado sobre código malicioso corriendo en cajeros automáticos. Todo comenzó con el reporte de la empresa Trustwave de mayo de 2009 en donde analizan un ejemplar de código malicioso instalado en un cajero automático de Europa del Este en julio de 2005. Básicamente el malware se encarga de “capturar datos de la banda magnética y claves digitadas en el PIN pad” lo cual es suficiente para realizar cualquier acción con la cuenta robada debido a que se ha violado la autenticación de dos factores: Algo que se tiene (tarjeta) y algo que se sabe (la clave). Lo más inquietante del asunto es que el código malicioso fue encontrado en cajeros automáticos que corren el sistema operativo WINDOWS XP (es correcto, el mismo sistema operativo que se ve en la imagen superior).

Desde luego la respuesta del mayor fabricante de cajeros automáticos, Diebold, no se hizo esperar. En junio del mismo año el fabricante publicó una actualización crítica a sus sistemas y aprovechó para anunciar que la amenaza se encontraba aislada en Rusia y que el incidente requería de acceso físico al dispositivo (alguna persona de mantenimiento por ejemplo) por lo que una fuga de datos a través de la red no era posible (eso sin tener en cuenta que en el 2003 ya se había presentado un incidente relacionado con un famoso gusano Windows infectando cajeros automáticos)

Luego de revisar los últimos incidentes relacionados con la seguridad de las transacciones en cajeros automáticos, concluyo que es estrictamente necesario empezar a pensar en un cambio radical en cuanto al diseño e implementación de estos dispositivos los cuales son bastante críticos debido a que son el punto de acceso a las finanzas de millones de personas en el mundo. Lo ideal sería volver las condiciones dadas en los sesentas en donde los ATM contaban con sistemas operativos propietarios (como por ejemplo RMX) de único propósito los cuales estaban conectados mediante una línea dedicada directamente a un procesador de transacciones.

Si bien esta solución es muy posible que no sea viable (debido a factores económicos y de compatibilidad), si se deben implementar controles adicionales que refuercen la seguridad de la información en estos dispositivos como por ejemplo realizar la instalación de agentes de monitoreo en las redes de los ATM , procurar instalar Windows Embedded en vez de XP, incluir en los cajeros automáticos en la gestión de aplicación de actualizaciones para evitar infecciones de gusanos a través de la red y desde luego reforzar los controles de acceso del personal que realiza el mantenimiento a los cajeros. Finalmente, y no menos importante, se debe procurar NO INSTALAR WINDOWS XP PIRATA EN UN ATM: