Carlos A. Castillo L.

Fuente: Fortinet

La imagen anterior corresponde a  una queja formal de un cliente de telefonía en China en la cual expresa su descontento por una serie de mensajes cortos (SMS) enviados a un número premium que generaron unos costos adicionales (31 yuans) en la factura mensual del proveedor de telefonía celular. Según el reclamo, los mensajes de texto no fueron realizados por el cliente por lo que se abre la posibilidad de que se hayan efectuado de forma automática mediante el uso de un código malicioso instalado en el teléfono celular.

El causante del anterior comportamiento es el malware SymbOS/Album.A!tr, el cual ha sido analizado por la compañía Fortinet, la misma que descubrió el código malicioso Yxes que fue objeto de análisis en el trabajo de investigación presentado en el concurso de ESET 2009 para determinar si podía ser considerada la primera Botnet Móvil.

En efecto, SymbOS/Album.A!tr comparte varias características con su hermano mayor Yxes. Una de las más importantes es que utilizan la misma técnica para obtener el certificado de firma digital que exige Symbian para que las aplicaciones puedan ser instaladas en dicho sistema operativo: Los desarrolladores se registran en el sitio web https://www.symbiansigned.com/ con una dirección de e-mail corporativa válida (no se acepta gmail, yahoo, hotmail etc…) y, previo pago de USD $20, reciben la aplicación firmada.

De otra parte, SymbOS/Album.A!tr cuenta con la funcionalidad de enviar mensajes cortos SMS de forma silenciosa (sin que lo note el usuario).  Lo más interesante de esta característica es que los mensajes de texto no quedan registrados en la bandeja de entrada (inbox) del celular por lo que son completamente invisibles para el usuario. La única forma de detectar éste comportamiento es leer el log interno del teléfono (c:\101f401d\logdbu.dat):

Fuente: Fortinet

El archivo anterior muestra que el teléfono celular intentó enviar dos mensajes de texto cortos: Uno al número 10665xxx con el texto “1*1#” y otro al número 13410252xxx enviando el IMSI. Efectivamente el primer número corresponde al reclamo del usuario chino que se comentó al comienzo del artículo por lo que se concluye que los mensajes fueron enviados automáticamente por el malware  SymbOS/Album.A!tr.

El ejemplar fue enviado a Fortinet por la compañía de seguridad informática NetQuin la cual, el 5 de julio de 2010, comentó en su blog sobre el descubrimiento de una Botnet móvil de aproximadamente 100.000 dispositivos móviles lo cual demuestra que la amenaza en dispositivos móviles sigue en aumento, por lo menos en los países asiáticos en donde Symbian es bastante popular.

Hasta hace apenas aproximadamente un año, las redes de dispositivos móviles infectados con malware controlados remotamente era tan solo un mito el cual intentaba convertirse en realidad mediante el descubrimiento del gusano Yxes.A (también conocido como Sexy View) para Symbian S60 por parte de Fortinet el 18 de febrero de 2009. En resumen, el malware presentaba los siguientes síntomas en el dispositivo: Anormal aumento en el valor de las facturas de telefonía al enviar mensajes cortos SMS, rápida pérdida de batería e imposibilidad de ejecutar algunas aplicaciones del sistema operativo (AppMgr, TaskSpy, Y-Tasks, ActiveFile, TaskMan).  Adicionalmente, intentaba silenciosamente conectarse a Internet enviando un HTTP request con el modelo del teléfono, número serial, número de subscripción y la versión del gusano colocando dicha información en un servidor remoto. En esa época, Guillaume Lovet, senior manager del Fortinet’s Threat Research Team afirmó: “We’re really at the edge of a mobile botnet here” .

Unos meses después apareció iKee, la primera red de iPhones controlados de forma remota a través de una red 3G gracias a el conocimiento de una contraseña por defecto del servicio de consola remota SSH. Al parecer los delincuentes informáticos se estaban dando cuenta del incremento de la banca móvil y del creciente uso de los dispositivos móviles a nivel mundial. Con respecto a esto, un estudio reciente  afirma que el mercado de aplicaciones móviles para teléfonos inteligentes crecerá un 807% hasta el año 2013 y se espera que para esa época existan 970 millones de terminales denominados inteligentes lo cual es un mercado bastante apetecido para atacar, sobretodo si entre esas aplicaciones que se desarrollan existen las que encajan dentro de la categoría de “Banca Móvil”.

Ahora bien, luego de conocer el gran impacto que tuvo este malware en la comunidad iPhone y del gran potencial que tienen las aplicaciones móviles en el mercado, unos investigadores del TippingPoint’s Digital Vaccine Group desarrollaron una aparentemente “inofensiva” aplicación de información del clima (WheaterFirst) para dispositivos Android y iPhone. Lo que no sabían las personas que instalaron el malware es que en realidad estaban infectando sus dispositivos para hacerlos parte de una botnet de más de 8.000 dispositivos los cuales enviaban constantemente las coordenadas GPS de los usuarios a Internet. La distribución del software fue realizada a través de mercados de aplicaciones de terceros como Cydia, SlideME y Modmyi para que pudiera ser instalada en dispositivos liberados con permisos para ejecutar aplicaciones generalmente no aprobadas por iPhone y Android. Para probar el peligro de una Botnet Móvil, crearon una versión maliciosa de la aplicación llamada WeatherFistBadMonkey la cual es muy similar a la original solo que antes de efectuar su función principal (enviar coordenadas GPS a Internet para mostrar información del clima), se encarga de realizar actividades características de un dispositivo zombie (robar información confidencial y enviar spam).

Por último, como muestra fehaciente de la constante evolución de esta amenaza, el 4 de marzo de 2010 de nuevo el equipo de Fortinet descubrió una nueva variante del gusano para Symbian Yxes. Este nuevo malware contacta servidores remotos, los cuales contienen páginas JSP (Java Server Pages), y envía “atractivos” mensajes cortos SMS que incluyen una URL maliciosa para provocar la infección en los contactos que tiene el dispositivo de la victima.  La novedad más notoria de esta versión es que ahora utiliza páginas JSP para enviar la información robada de la siguiente forma:

http://XXXX/Jump.jsp?Version=2.0&PhoneType=…&PhoneImei=…&PhoneImsi=…&Source=..

El argumento Source aún no se ha podido determinar qué información lleva, sin embargo, se sospecha que sea el nombre del sitio web malicioso que fue usado para infectar el dispositivo. Lo realmente preocupante, tanto de esta versión como de las anteriores, es que cuenta con un certificado de Symbian legítimo el cual no ha sido revocado por lo que cualquier dispositivo que soporte la aplicación puede instalar Yxes debido ésta se encuentra firmada digitalmente. Con lo anterior se confirma que los delincuentes informáticos continúan trabajando en Yxes desde finales de 2008 realizando cada vez más mejoras en el código malicioso sin que exista control por parte de Symbian.

En conclusión, el mercado de la inseguridad en dispositivos móviles va en aumento y es cada vez más apetecido por los delincuentes informáticos. Si bien estoy de acuerdo con Graham Cluley de Sophos  quien afirma que no era necesario realizar el experimento de WeatherFist para probar que una aplicación maliciosa podía ser distribuida e instalada por una gran cantidad de usuarios sin que se dieran cuenta de la amenaza, si pienso que los controles que ejercen Apple, Android y Symbian (cada uno en su medida) en sus medios de distribución de aplicaciones ayudan a filtrar esas aplicaciones que pueden tener comportamiento malicioso. Esto ayuda bastante a mitigar el riesgo de infección con malware debido en gran parte a que actualmente dicha infección requiere en un gran porcentaje de las veces de la interacción del usuario. Entonces, ¿Qué falta para que este problema se masifique en los dispositivos móviles a nivel mundial? Como dice Mikko Hypponen, Chief Research Officer de F-Secure, “Tarde que temprano, veremos el primer ataque mediante exploit y, cuando eso suceda, todo cambiará”.

La imagen anterior corresponde a un mapeo de infecciones (en un periodo de 18 días) realizadas por una de las redes de computadores “zombies” que más enviaban correo no deseado (spam) a nivel mundial: Waledac. Precisamente ésta red fue el objetivo de la “Operación b49” ejecutada por Microsoft el pasado 22 de febrero del presente año. Para entender la importancia de este hecho y sus futuras implicaciones, es necesario primero revisar en qué consiste esta amenaza y su acelerada evolución en los últimos años a nivel mundial.

Una Botnet consiste básicamente en una serie de computadores infectados con malware bajo el control remoto de uno o más delincuentes informáticos. El origen de esta amenaza se remonta al año 1993 cuando Jeff Fisher creo el software Eggdrop bot para realizar mantenimiento de red. Esto demuestra que, originalmente, las Botnet no fueron pensadas para fines maliciosos, sin embargo, debido a su gran tamaño (puede llegar incluso a millones de máquinas), actualmente constituyen una de las amenazas, en términos de seguridad de la información, más importantes actualmente.

Entre los usos que le dan los delincuentes informáticos se encuentran: Ataques de denegación de servicio distribuido, envío de correo no deseado, captura de tráfico, captura de teclado, infección de otras máquinas con malware, instalación de publicidad no deseada, robo de identidad siendo el envío de spam (y por ende también de malware y phishing lo cual conlleva a fraude electrónico y espionaje industrial) uno de los usos más preocupantes.

Ahora bien, la principal pregunta que surge es: ¿Cómo reducir el nivel de impacto de esta amenaza? Desde luego que una de las primeras medidas es el uso de un antivirus que permita detectar y, si es posible, eliminar el malware permite la conexión del atacante remoto. Otro control que reduce el riesgo de ser parte de una Botnet es mantener actualizado el sistema operativo y las aplicaciones instaladas en la máquina con el fin de prevenir que gusanos de Internet se aprovechen de vulnerabilidades conocidas (como en el caso de Conficker) e infecten la máquina sin la intervención del usuario.  Hasta ahora los esfuerzos se habían concentrado en estos dos controles tecnológicos, sin embargo, aún no se había contemplado utilizar una vía que usualmente es bastante eficaz pero que en el mundo digital aún se duda de su aplicabilidad: la legal. Tras varios meses de investigación, y de la aplicación de una cuidadosamente diseñada estrategia legal, en febrero 22 Microsoft logro dar de baja 277 dominios de Internet con lo cual desactivaron en gran parte una de las 10 más grandes Botnets en Estados Unidos la cual era la encargada de enviar aproximadamente 1.5 billones de correos electrónicos no deseados al día. La efectividad de esta acción se sintió en un periodo corto de tiempo al reducir con gran rapidez el número de direcciones IP que se reportaban a los servidores de comando y control de Waledac:

Desde luego cabe aclarar que con este procedimiento lo único que se logró es cortar la comunicación entre el atacante remoto y la máquina infectada por lo que es posible que el delincuente informático pueda instalar un nuevo servidor de comando y control con lo cual podría volver a tomar control de los computadores infectados por lo que se recomienda efectuar un proceso de desinfección para mitigar este riesgo de reincidencia.

Por otro lado, y siguiendo con el mismo enfoque legal y judicial, la guardia civil Española en colaboración con el FBI y Panda Security, desmanteló la Botnet Mariposa compuesta por más de 13 millones de computadores infectados. El método utilizado: la captura de tres ciudadanos españoles pertenecientes al grupo DDPTEAM que controlaban la red obteniendo datos de acceso a cuentas de correo electrónico, servicios de banca electrónica y redes corporativas.

Con estos dos ejemplos queda demostrado que el esfuerzo no debe ser solamente tecnológico (realizando los respectivos análisis de las Botnets objetivo sino también legal y judicial invirtiendo tiempo y recursos tanto por parte de los gobiernos como de entidades privadas críticas en cuanto a la infraestructura de la red de redes: Los proveedores de Internet.

Es este enfoque en donde me parece que se encuentra una de las medidas más efectivas contra el malware y el crimeware a nivel mundial. Un ejemplo de la implementación exitosa de este control se encuentra en Japón con el funcionamiento del “Cyber Clean Center” por parte del JP-CERT en conjunto con 76 ISP’s los cuales cubren el 90% del tráfico de Internet en este país. El propósito de este organismo es analizar, en conjunto con Trendmicro, las diferentes características de una Botnet las cuales son identificadas mediante el análisis de tráfico que transita a través de los ISP. En caso de detectar un usuario infectado, se le envía un correo electrónico o incluso a veces un correo físico informándolo sobre la infección y sugieriéndole que ingrese al sitio web principal del organismo para descargar la herramienta de limpieza dispuesta por Trendmicro.

Ahora bien, complementario a esta estrategia, Scott Charney de Microsoft propuso el día de hoy en la RSA Security Conference una medida más radical: Que los ISP’s coloquen en cuarentena los computadores que detecte el ISP como infectados por malware y, por tanto, que sean parte de una Botnet. Si bien es una medida estricta que limita la libertad en Internet como es el caso de las descargas ilegales por redes P2P, si se implementa puede que reduzca en gran parte el fraude electrónico, el robo de identidad, el correo electrónico no deseado entre muchas otras amenazas que afectan Internet actualmente a nivel mundial.

En conclusión, el panorama del malware en cuanto a la forma de combatirlo está cambiando. Por un lado, los antivirus no son 100% efectivos debido a que cada día se generan miles de ejemplares sospechosos diferentes para analizar por lo cual la industria antivirus no da abasto. Si a esto le sumamos los cada vez más frecuentes ataques de 0-day, los prolongados tiempos de respuesta para los respectivos parches por parte de los fabricantes de las aplicaciones y el constante aumento de la piratería en Windows lo cual no permite la oportuna aplicación de parches críticos, vemos que en realidad los controles tecnológicos actuales no son suficientes para reducir la amenaza y es necesario complementar esta estrategia con procedimientos y métodos jurídicos y judiciales los cuales, en conjunto con los pilares de Internet, ayudarán a reducir el impacto del crimen organizado en el mundo digital.

Luego de varios días de ausencia, debido en gran parte a que cambié de trabajo y estuve bastante ocupado entregando mis funciones en un lado y recibiendo el nuevo cargo en mi nueva posición laboral, vuelvo a escribir para ustedes motivado porque el fin de semana pasado capturé un interesante, pero preocupante, mensaje de error en una máquina automática de pago de parqueadero en un concurrido centro comercial de la ciudad de Bogotá.

Lo anterior me recuerda una polémica bastante mencionada el año pasado sobre código malicioso corriendo en cajeros automáticos. Todo comenzó con el reporte de la empresa Trustwave de mayo de 2009 en donde analizan un ejemplar de código malicioso instalado en un cajero automático de Europa del Este en julio de 2005. Básicamente el malware se encarga de “capturar datos de la banda magnética y claves digitadas en el PIN pad” lo cual es suficiente para realizar cualquier acción con la cuenta robada debido a que se ha violado la autenticación de dos factores: Algo que se tiene (tarjeta) y algo que se sabe (la clave). Lo más inquietante del asunto es que el código malicioso fue encontrado en cajeros automáticos que corren el sistema operativo WINDOWS XP (es correcto, el mismo sistema operativo que se ve en la imagen superior).

Desde luego la respuesta del mayor fabricante de cajeros automáticos, Diebold, no se hizo esperar. En junio del mismo año el fabricante publicó una actualización crítica a sus sistemas y aprovechó para anunciar que la amenaza se encontraba aislada en Rusia y que el incidente requería de acceso físico al dispositivo (alguna persona de mantenimiento por ejemplo) por lo que una fuga de datos a través de la red no era posible (eso sin tener en cuenta que en el 2003 ya se había presentado un incidente relacionado con un famoso gusano Windows infectando cajeros automáticos)

Luego de revisar los últimos incidentes relacionados con la seguridad de las transacciones en cajeros automáticos, concluyo que es estrictamente necesario empezar a pensar en un cambio radical en cuanto al diseño e implementación de estos dispositivos los cuales son bastante críticos debido a que son el punto de acceso a las finanzas de millones de personas en el mundo. Lo ideal sería volver las condiciones dadas en los sesentas en donde los ATM contaban con sistemas operativos propietarios (como por ejemplo RMX) de único propósito los cuales estaban conectados mediante una línea dedicada directamente a un procesador de transacciones.

Si bien esta solución es muy posible que no sea viable (debido a factores económicos y de compatibilidad), si se deben implementar controles adicionales que refuercen la seguridad de la información en estos dispositivos como por ejemplo realizar la instalación de agentes de monitoreo en las redes de los ATM , procurar instalar Windows Embedded en vez de XP, incluir en los cajeros automáticos en la gestión de aplicación de actualizaciones para evitar infecciones de gusanos a través de la red y desde luego reforzar los controles de acceso del personal que realiza el mantenimiento a los cajeros. Finalmente, y no menos importante, se debe procurar NO INSTALAR WINDOWS XP PIRATA EN UN ATM: