El negocio de las «FakeApps» y el malware en Google Play (V): Limpieza automáticaElevenPaths 7 abril, 2014 Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué estrategias sigue Google Play para limpiar su store e intentar mitigar el problema. ¿Qué herramientas utiliza? ¿Cuánto tarda en retirar apps? ¿Cuántas retira? Los esfuerzos de limpieza: Bouncer En febrero de 2012, Google lanza Bouncer. Se trataba de una especie de filtro (sandbox) por la que pasarían las apps antes de ser publicadas. Pretendía, por un lado, detectar y eliminar las amenazas antes de subirlas al repositorio. Por otro, estudiar a los desarrolladores y denegar el acceso a posibles defraudadores. Aunque se trataba de una buena medida, parece que no ha conseguido completamente su objetivo por varias razones. ¿Han subido las cifras? El malware sigue siendo un problema en Google Play. Para algunas compañías, incluso ha empeorado. Según RiskIQ, en 2011 existían 11.000 apps en Google Play que contenían malware capaz de robar información o hacer fraude. En 2013, se eleva a 42.000. Esto suena muy escandaloso, pero el número de apps almacenadas ha subido también considerablemente, por tanto es mejor acudir a los términos relativos (que no aparecen en los titulares). Esto supone que según RiskIQ en Google Play había un 2.7% de apps maliciosas en 2011, 9.2% en 2012 y 12.7% en 2013. ¿Son estos datos precisos o se exageran porque RiskIQ vende un producto que intenta luchar precisamente contra ese problema? No podemos estar al 100% seguros. Por ejemplo, no queda claro por qué en el informe se habla de 42.000 apps maliciosas y que esto supone un 12.7% de Google Play. Si es así, hablaríamos de poco más de 332.000 aplicaciones, cuando existen muchas (muchísimas) más apps en esa Store. También puede incluso que el dato sea peor, debido a (como siempre) el problema de clasificar el malware. ¿Se le escapa malware? Depende de sus técnicas. En concreto RiskIQ parece que huye de firmas, y que analiza el comportamiento directamente en el tráfico, con un sistema que emula usuarios reales. En principio no parece una mala aproximación. También especifica qué es malware para ellos. Literalmente dicen que «RiskIQ solo cuenta apps de Android en Google Play como maliciosas si son o contienen spyware y troyanos SMS que»: Recojan coordenadas GPS, lista de contactos, emails, etc. par terceros. Envíen mensajes premium. Suscriban el teléfono a servicios premium. Graben conversaciones y las envíen a atacantes. Permitan tomar el control del teléfono infectado. Descarguen otro malware a los teléfonos infectados. Quizás el primer punto no quede claro. ¿Con solo recoger coordenadas GPS ya se considera malware? Entonces las cifras podrían estar muy distorsionadas. RiskIQ pone la guinda añadiendo que además de existir más malware, es retirado más lentamente del Store. En 2011 se retiraban un 60% de las apps maliciosas, en 2012 un 40% y en 2013 un 23%. Aunque este dato requiere conocer cuánto tiempo de margen se da a Google Play para que retire una aplicación, y eso tampoco queda claro. App retirada en Google Play Bouncer ha sido eludido en varias ocasiones Una sandbox, por simple diseño del programa, puede no detener malware. Por ejemplo, unos meses después de su lanzamiento, en junio de 2012, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron aplicaciones falsas a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión inversa a sus propios servidores cuando eran ejecutadas en Bouncer. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso implementando aplicaciones que se comporten como legítimas cuando se detecten corriendo en ese entorno virtual específico. Luis Delgado, como prueba de concepto, también fue capaz de subir una app con capacidades de control remoto a principios de 2012, disfrazada de programa que solo necesitaba acceso a la red. Bloxor, creada en 2012 como prueba de concepto. Trustwave explicó también en la conferencia de seguridad Black Hat 2012 en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte desarrollaron SMS Bloxor, una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono… pero que además robaba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso podía realizar ataques de denegación de servicio. Para conseguirlo, reprimían el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Además, idearon un puente JavaScript, una solución legítima que permitía a los desarrolladores añadir nuevas características maliciosas de forma remota a aplicaciones que ya habían sido aceptadas. Mantuvieron la app en Google Play durante semanas, cada vez añadiendo más comportamiento malicioso. Para evitar que fuese descargada, se puso a un precio desorbitado. El problema de eludir las sandbox no es nuevo ni fácil de solucionar. Las casas antivirus desde siempre se han enfrentado a elusiones de sistemas de sandbox (las que utilizan para la clasificación rápida y automática de malware) y al comportamiento de los programas como malware «en diferido», tras pasar por la sandbox como legítimos. Y aun hoy, siguen luchando contra estas técnicas que los atacantes ponen habitualmente en práctica. Muchas de estas técnicas, actualmente ya no son posibles tal y como fueron descubiertas, gracias a mejoras introducidas en el sistema, pero no por ello imposibles de conseguir. Atacantes reincidentes No es del todo cierto que a los atacantes se les deniegue el acceso y se les suspenda la cuenta cuando suben apps fraudulentas y estas son detectadas. Hemos visto cómo Google Play retiraba apps de un developer fraudulento (con infracciones graves), sin retirarle la cuenta. El último ejemplo es bastante reciente con el malware que minaba criptomonedas. En la próxima entrega incidiremos sobre cuánto tardan las apps en ser retiradas y en otros métodos de limpieza. * El negocio de las «FakeApps» y el malware en Google Play (I): Introducción * El negocio de las «FakeApps» y el malware en Google Play (II): Tipos de «fakes» * El negocio de las «FakeApps» y el malware en Google Play (III): Estrategias * El negocio de las «FakeApps» y el malware en Google Play (IV): Política y rentabilidad * El negocio de las «FakeApps» y el malware en Google Play (V): Limpieza automática * El negocio de las «FakeApps» y el malware en Google Play (VI): Limpieza «manual» * El negocio de las «FakeApps» y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las «FakeApps» y el malware en Google Play (VIII): Permisos en las apps * El negocio de las «FakeApps» y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv Curiosidades sobre el malware para Android que mina LitecoinsHow to implement Oauth protocol in Powershell (an example with Latch)
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 16 — 22 de julio Lightning Framework: nuevo malware dirigido a entornos Linux El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y...
Telefónica Tech España necesita 83.000 profesionales en ciberseguridad en los próximos dos años Universidad Loyola y Telefónica Tech han puesto en marcha el nuevo Máster en Ciberseguridad para CISO
Roberto García Esteban Cloud computing: abierto por vacaciones Llegan las vacaciones de verano y con ellas el merecido descanso para casi todos nosotros. La actividad de la mayoría de las empresas se reduce drásticamente, aunque también hay...
Diego Samuel Espitia Qué son los “Martes de parches” de seguridad para tecnología operativa (OT) En el mundo de la ciberseguridad estamos acostumbrados a la publicación de paquetes que corrigen las vulnerabilidades detectadas en software para empresas, los conocidos como actualizaciones o «parches» de...