Malware dirigido a dispositivos móviles | Parte 2
Cómo funciona el malware dirigido a
dispositivos móviles. Parte 2
Retomando el tema de nuestro último post, existen varias formas en las que un malware puede ingresar a un equipo móvil, ya sea para robar y mantener cautiva información del dispositivo, para alterar su funcionamiento o causas fallas a un sistema interno de operaciones informáticas.
Instalación de malware en móviles
Anteriormente mencionamos que los sistemas móviles están establecidos en una arquitectura segura, dentro del plan de estas, cada una de las aplicaciones posee su propio espacio privado de memoria y almacenamiento, y haciendo que cualquier interacción con servicios del sistema u otras apps, se realice a través de mecanismos IPC (Inter-Process Communication) bajo control. En cierta forma, cada aplicación se comporta como si fuesen diferentes usuarios frente al sistema operativo.
Lo anterior trae implicaciones como el daño que puede realizar un app maliciosa en el equipo donde se encuentra, en principio, todo su contenido. Además, los ciberdelincuentes conocen maniobras para ganar mayor o definitivo control sobre el equipo.
Chequeo anti-análisis
Los ejemplares de malware más sofisticados pueden incluir retorcidos dispositivos de anti-análisis para dificultar la detección de su actividad maliciosa. La anti-emulación es una metodología utilizada para explorar el entorno de ejecución y si acaso, corresponde o no a un dispositivo real mediante la identificación de atributos particulares dentro de emuladores y máquinas virtuales móviles. Puede implementarse de distintas formas, comparando alguna propiedad del entorno contra un valor conocido: atributos de la placa de red, conexión de telefonía móvil, estructura del sistema de archivos, datos del sistema, etcétera. En caso de ser detectado un emulador, el malware oculta su comportamiento malicioso.
Formas de obtener permisos
El malware puede desempeñarse como cualquier aplicación legitima en el sistema operativo del teléfono. Una de las acciones que estará accionando, es la requisición de permisos para poder interactuar con los servicios del sistema operativo mismo. ¿Qué permisos solicita el malware? Permisos de administrador (para cifrar archivos, cambiar contraseñas de bloqueo, impedir la desinstalación del malware, etcétera), para instalar paquetes desde orígenes desconocidos, para crear diálogos de alerta del sistema (disfrazando la petición de otros permisos con técnicas como el tapjacking o espiar contenido con vulnerabilidades como Cloak and Dagger), o permisos de accesibilidad (que permiten acceder y monitorear el contenido de otras apps en ejecución).
Escalamiento de privilegios
El malware requiere acceso root al sistema de archivos para poder lograr su cometido. En estos casos, muchos códigos incluyen exploits capaces de rootear el sistema. De esta forma, también se involucran métodos persuasivos que resultan persistentes. La capacidad de permanecer en el sistema el mayor tiempo posible es de vital importancia para las campañas criminales, como aquellas basadas en ciberespionaje. En un entorno móvil, esto se logra combinando las siguientes 7 mecanismos:
1.- Se hacen pasar por aplicaciones del sistema (por ejemplo, Ajustes) para no generar sospechas.
2.- Bloquean la desinstalación obteniendo los permisos de administrador.
3.- Utilizan bombas de tiempo que demoran la ejecución del payload malicioso. De esta forma impidiendo al usuario asociar el comportamiento extraño con la aplicación que acaba de instalar.
4.- Lanzan mensajes engañosos que simulan un fallo durante la instalación.
5.- Ocultan el icono del menú de aplicaciones.
6.- Superponen ventanas falsas para cubrir la actividad maliciosa.
7.- Ejecutan el payload malicioso y comunicación con C&C
Troyanos SMS, troyanos clicker, adware, ransomware, spyware, bots, troyanos bancarios y criptomineros son ejemplos de códigos maliciosos que componen la taxonomía del malware móvil, categorizados a partir de las acciones que ejecutan en el equipo afectado. Independientemente, la ejecución del payload suele conllevar una serie de etapas de comunicación con el centro de comando y control.
Notificación de nueva infección
Tras una instalación exitosa, las apps maliciosas suelen comunicar al atacante que ha logrado comprometer un nuevo equipo. En este intercambio, transfieren identificadores del teléfono, tales como modelo del dispositivo, número de SIM, país, IMEI, versión del sistema operativo, identificador único generado por el malware, listado de otras apps instaladas en el equipo, presencia de soluciones de seguridad y verificación de rooteo, por citar algunas actividades.
Canales de comunicación avanzados
Con el fin de esquivar la detección de su contacto con los servidores maliciosos, los ciber atacantes han comenzado a utilizar nuevas maneras de C&C y canales encubiertos. Hace algunos años se encontraban desde los laboratorios de ESET a Twitoor, la primera botnet móvil utilizaba cuentas fraudulentas en redes sociales (Twitter) para enviar comandos a terminales infectadas. Una técnica similar se identificó en troyanos bancarios asociados a repositorios que distribuían Buhtrap, utilizando cuentas de Twitter para distribuir las URL de los servidores maliciosos de forma dinámica. Los beneficios asociados a la red Tor para la comunicación con servidores maliciosos tampoco han pasado desapercibidos en el mundo del malware móvil.
Recepción de comandos
Un canal muy utilizado por los ciberdelincuentes para controlar las terminales infectadas, consiste en enviar mensajes SMS con órdenes que el código malicioso interpretará para luego activarse. Muchos modelos de malware manipulan los registros de mensajes para eliminar este contenido sospechoso al usuario. Sin embargo, otros pasan los controles por alto permitiendo a los usuarios leer este contenido recibido y enviado.
Envío de datos robados
Las conexiones de red del malware son principalmente utilizadas para transferir los datos sensibles que se han recolectado del equipo. Son varios los casos, donde el tráfico se transmite cifrado, mientras que en otras son requeridas etiquetas sin ningún tipo de protección.
Seguridad móvil no es solo malware
Al proteger los teléfonos móviles, se debe considerar que la superficie de ataque incluye mucho más que malware. Múltiples factores pueden comprometer al teléfono (vulnerabilidades, extravío, robo, rotura, configuraciones inseguras, Ingeniería Social), a la red (mensajes MMS maliciosos, antenas y hotspots fraudulentos, interceptación de mensajes, espionaje, redes públicas inseguras) o a los servicios en la nube (explotación, fuga de datos, recolección indiscriminada, contenido peligroso, cryptojacking, y mucho más). Sin embargo, considerando que el 60% de los usuarios no posee una solución de seguridad móvil, estos datos son un excelente punto de partida, para lanzar diversos análisis y tomar medidas al respecto.