El Malware en Android no es una broma, su predominio no había sido explorado desde el HTC Dream, el primer teléfono comercial de Android, lanzado en 2008. G Data Security identificó 1,192,035 nuevas muestras del malware Android en 2013 y 3,246,248 en 2016. Eso es alrededor de 2,7 veces más la cantidad de muestras en 2016 que tenían tres años antes. Esperan 3.500.000 nuevas muestras de malware para Android para el momento en que 2017 haya terminado.

Evidentemente la seguridad para dispositivos Android es vital, y éstos deben ejecutar un antivirus actualizado (AV) ya sea por uso personal o empresarial. Sin embargo, sabemos que los dispositivos no siempre están actualizados como deberían, y eso ha sido históricamente un problema con los dispositivos Android en particular.

El 17 de julio, CheckPoint Software publicó un informe bastante interesante. Su enfoque fue «Campañas Malvertising», pero lo que realmente llamó mi atención fueron las tres familias de malware Android a las que se refieren como sus tres principales «más buscados» de malware móvil, así que echemos un vistazo más de cerca.

Hummingbad

Hummingbad es el más grande. De acuerdo con CheckPoint, éste representa más del 72% de todas las infecciones móviles. CheckPoint lo descubrió por primera vez en febrero del 2016. A menudo aparece en los dispositivos a través de un ataque de descarga de archivos. CheckPoint identificó descargas útiles en sitios de contenido para adultos, pero otros tipos de páginas web y recursos de Internet también proporcionan descargas útiles. Un componente intenta adquirir privilegios root por sí mismo, a falta de eso, un segundo componente intenta adquirir acceso root con una falsa notificación de actualización del sistema.

Ya sea que su ataque de escalación de privilegios sea o no exitoso, Hummingbad y sus variantes intentarán descargar tantas aplicaciones maliciosas como sea posible al dispositivo de un usuario. Un componente malicioso conocido como SSP instala aplicaciones malintencionadas y muestra anuncios ilegítimos. El arranque del dispositivo, los cambios de conectividad y el encendido o apagado de la pantalla son todos los disparadores del SSP. SSP quiere saber que un usuario está presente. Al igual que ransomware, Hummingbad realmente quiere la atención de un usuario, no es un malware encubierto en absoluto. Las redes publicitarias utilizadas por Hummingbad incluyen Cheetah, Startapp, Mobvista y Apsee.

Hummingbad ofrece anuncios que tienen un botón de cierre. Por supuesto, el botón de cierre está diseñado para engañar al usuario. El malware impide que el usuario sea capaz de regresar a la página de inicio, y si el usuario toca el botón de cierre del anuncio, el botón reaccionará como un botón de cierre no malicioso, pero en realidad activará más instalaciones maliciosas de APK. ¡Ouch!

Hummingbad también se inyecta en Google Play. SSP inyecta una biblioteca maliciosa en el proceso de Google Play de un usuario. Después, el malware puede imitar clics en comprar, instalar y aceptar botones.

CheckPoint pudo rastrear Hummingbad a una empresa china, Yingmob. En julio de 2016, CheckPoint calculó que la empresa publicitaria genera unos $ 300.000 USD al mes.

>>>CONOCE EL ÚNICO ANTIVIRUS CON INTELIGENCIA ARTIFICIAL<<<

 

Hiddad

Hiddad se presenta como una serie de aplicaciones Troyanas de Android que han sido encontradas en Google Play Store. Cuando Google descubre los troyanos Hiddad, los desechan de su tienda tan pronto como sea posible, pero es un constante juego del gato y el ratón.

Las aplicaciones que han sido descubiertas como troyanos de Hiddad incluyen Music Mania, Subway Sonic Surf Jump y supuestos descargadores de contenido de YouTube, tube.mate y Snaptube. Los troyanos Hiddad probablemente tomarán muchas más formas en el futuro. Los contabilizadores de aplicaciones asociados con los componentes de visualización de anuncios de carga de Hiddad, y spoofs un complemento de sistema que requieren raíz.

 

Lotoor

Lotoor es complicado. A menudo los usuarios de Android desean tener permisos root en los dispositivos Android, y usan programas como Kinguser y Kingroot para hacer el trabajo. Yo, personalmente en mi caso, he rooteado mis propios dispositivos Android a lo largo de los años, aunque he utilizado diferentes programas para hacerlo.

Pero por razones obvias, los atacantes cibernéticos también quieren rootear los dispositivos Android de su objetivo con el fin de causar daño. Kinguser y Kingroot a menudo son identificados como Lotoor por el software de AV, al igual que los kits de explotación Lotoor utilizados para rootear sin la autorización del usuario.

 

Conclusión

En la medida de los posible, los usuarios deben configurar sus dispositivos Android para que solo acepten APKs desde Google Play Store. Me he metido en el desarrollo de Android y personalmente he necesitado habilitar APKs de fuentes externas para probar mis propias aplicaciones, pero también soy un profesional de ciberseguridad muy cauteloso. A menos que un usuario tenga más conocimiento acerca de la seguridad que un típico usuario, los dispositivos Android deben configurarse para que sólo acepten APKs de Google Play Store.

Google Play Store hace un buen trabajo con la lista negra de malware en su tienda, pero es difícil mantenerse al día con todas las nuevas aplicaciones que llegan a su mercado a diario.

Para la gestión de los dispositivos de los empleados, yo definitivamente sugeriría administrar todas las terminales de Android para aceptar sólo APKs con el fin de proteger los datos corporativos de los empleados,quienes no pueden darse cuenta que tanto peligro pueden presentar a la empresa esas “inocentes” descargas.

El componente final es la educación del usuario. Enseñe a los usuarios sobre los ataques de ingeniería social, especialmente sobre cómo los troyanos pueden aparecer en la plataforma Android. Recuerde a los usuarios que, si ven algo sospechoso, como una explosión de anuncios intrusivos, todos estos incidentes deben ser reportados.

 

Escrito por Juan Pablo Cerón, Ingeniero de Seguridad

 

Si quieres saber más de Seguridad Informática ¡Contáctanos!