Malware de Android que se entrega a través de redes publicitarias

Tenga cuidado con los ataques activos que utilizan redes de publicidad móvil para entregar malware que puede comprometer completamente los dispositivos Android.

Así lo advirtieron los investigadores del proveedor de firewall de próxima generación Palo Alto, quienes dijeron que descubrieron una serie de ataques que han estado entregando código malicioso al piratear el kit de desarrollo de software (SDK) de una red publicitaria. Los desarrolladores agregan estos SDK a sus aplicaciones de Android para vincularlos a las redes de publicidad móvil y ganar tarifas de referencia.

El malware recuperado por Palo Alto compromete las capacidades de SMS de Android, lo que permite a los atacantes enviar y recibir mensajes SMS sin el conocimiento del usuario. Los atacantes han utilizado esa funcionalidad para inscribir a personas en servicios premium de SMS que agotan las cuentas de los suscriptores y enriquecen a los operadores de servicios, generalmente los propios atacantes o sus socios comerciales. El canal de comunicaciones SMS también brinda a los atacantes una funcionalidad básica de comando y control, lo que significa que podrían usar dispositivos comprometidos como parte de una red de bots de Android más grande.

[ Google Play can be a tough neighborhood. Read Google Play: Beware Android Adware Infestation. ]

Los ataques de la red de anuncios móviles de Android son inusuales porque la mayoría de los ataques en línea actuales se dirigen a las vulnerabilidades del navegador como un trampolín para instalar malware o se basan en ataques de phishing y engañan a los usuarios para que ejecuten archivos adjuntos maliciosos. Pero al apuntar a un SDK de red publicitaria, los piratas informáticos pueden disfrutar de acceso directo al dispositivo. «Es una especie de puerta trasera integrada en la aplicación, y cuando una red de anuncios móviles comienza a mostrar contenido malo, cambia para convertirse en una red de bots que de repente ofrece contenido malicioso», explicó Wade Williamson, analista de seguridad sénior en Palo Alto. hablando por teléfono. «Pero la diferencia es que no se necesita explotar, no se necesita cebo y cambio, porque ya tiene este gancho integrado en la aplicación».

La amenaza refleja el uso de redes publicitarias para crear redes de bots basadas en navegador. Esa vulnerabilidad fue detallada a principios de este mes en la conferencia de seguridad de la información Black Hat en Las Vegas por el CTO de WhiteHat Security, Jeremiah Grossman, y Matt Johansen, quien administra el centro de investigación de amenazas de la empresa. La pareja demostró cómo un posible atacante podría crear un anuncio en línea falso con JavaScript malicioso incrustado, lo que les permitiría conectar cientos o miles de PC a la vez a un sitio web objetivo, creando así una denegación de servicio.

Pero la amenaza descubierta por Palo Alto difiere en dos aspectos importantes: en primer lugar, los atacantes no necesitan colocar un anuncio falso. En su lugar, pueden simplemente piratear una red publicitaria, y eso suponiendo que no sea una red que ellos, o sus socios comerciales, no controlen. En segundo lugar, los investigadores de Palo Alto no estaban teorizando. Hasta la fecha, han visto siete infecciones, todas en Asia, como resultado de la piratería en las redes de publicidad móvil. La compañía, que crea el software de verificación de seguridad de archivos APK de Android, dijo que ninguno de los programas maliciosos que recuperó fue reconocido como tal por Escáneres antivirus de Android.

El malware entregado por la red publicitaria recuperado por Palo Alto es sigiloso y no intenta engañar a un usuario para que lo instale de inmediato. «El malware en sí era lo suficientemente inteligente como para que una vez que se entregó a través de la red publicitaria, no apareciera y dijera: ‘Usuario, ¿quiere instalarme?’ dijo Williamson. «Simplemente se quedaría allí y se ejecutaría en la memoria actual, y podría hacer eso, porque piense en lo poco que hacemos un restablecimiento completo en nuestros teléfonos».

¿Cómo se puede detener a los atacantes que inyectan código malicioso directamente en los dispositivos Android a través de los SDK de la red publicitaria? Un enfoque sería sandbox todos los archivos de Android (APK) para que no puedan tocar otras aplicaciones o funciones del dispositivo no aprobadas. Otro remedio podría ser que Google no solo responda por la salud de una aplicación, como lo hace cuando ofreciéndolos a través de Google Playpero en su lugar, mantenga controles de salud para cualquier red publicitaria que toque la aplicación.

En otras palabras, Google podría proporcionar un sello de «ecosistema aprobado», dijo Williamson. «Creo que el desafío es que casi nadie que compra aplicaciones móviles entiende cómo esa aplicación depende de la red publicitaria para su seguridad financiera», dijo. «Por lo tanto, se requerirá cierta educación del usuario sobre por qué es importante una red publicitaria aprobada».

Desafortunadamente, no se puede confiar en todas las redes publicitarias móviles. En abril, por ejemplo, Marc Rogers, investigador principal de seguridad en Lookout Mobile Security, informó haber encontrado BadNews, que se hace pasar por una red de publicidad inocente, aunque algo agresiva, según un Blog publicó en ese momento. En total, Lookout encontró 32 aplicaciones diferentes de cuatro cuentas de desarrolladores diferentes que incluían el SDK de BadNews y estaban disponibles para descargar desde Google Play.

«Esta es una de las primeras veces que hemos visto una red de distribución maliciosa haciéndose pasar claramente por una red publicitaria», dijo Rogers en ese momento. «Debido a que es un desafío introducir código malicioso en Google Play, los autores de BadNews crearon una red de publicidad maliciosa como un frente que empujaría el malware a los dispositivos infectados en una fecha posterior para pasar el escrutinio de la aplicación».

Deja un comentario