Informes sobre malware

Evolución de los programas maliciosos para dispositivos móviles Parte 6

Introducción

La quinta parte de nuestro análisis de la evolución de los programas maliciosos para dispositivos móviles se publicó hace un año, y ha llegado el momento de revisar los acontecimientos en 2012 para ver cuán exactos fueron nuestros pronósticos. Este informe ofrece datos cualitativos y cuantitativos sobre la evolución de los programas maliciosos para dispositivos móviles y analiza las principales tendencias en programas maliciosos y en ataques maliciosos. Asimismo, este informe presenta los pronósticos de Kaspersky Lab sobre el desarrollo de programas maliciosos en 2013.

¿Cuáles fueron nuestras predicciones para 2012? En resumen, esperábamos ver un mayor número de programas maliciosos dirigidos contra Android, ya que los ciberdelincuentes se mostraban concentrados en esta plataforma. Este pronóstico resultó ser acertado, pues de hecho los ciberdelincuentes concentraron sus esfuerzos en el desarrollo y proliferación de programas maliciosos diseñados para el sistema operativo Android.

Kaspersky Lab previó que los ciberdelincuentes ampliarían su arsenal de rootkits para Android y tratarían de infectar los dispositivos móviles con el fin de acceder al sistema operativo; también pronosticamos los primeros ataques drive-by para explotar las vulnerabilidades de la plataforma Android. Esta predicción no se cumplió, quizás porque en esta etapa del desarrollo de programas maliciosos para Android, los ciberdelincuentes simplemente no necesitan lanzar este tipo de ataques. Los usuarios siguen siendo tan inconscientes como siempre sobre la seguridad de sus dispositivos móviles.

Otra previsión que no llegó a concretarse fue la aparición de los primeros gusanos masivos para Android, más específicamente, gusanos SMS.

También sugerimos que en 2012 se daría un aumento en la cantidad de detecciones de programas maliciosos en las tiendas oficiales de aplicaciones para dispositivos móviles. Por desgracia, esta predicción sí se hizo realidad. Además, Google Play fue testigo de la aparición de varias amenazas (la cantidad de víctimas varió desde varias decenas hasta decenas de miles), y por primera vez se detectaron programas maliciosos  en la tienda App Store para iOS.

También resultó acertado el pronóstico de Kaspersky Lab de que veríamos las primeras botnets para dispositivos Android. Sin embargo, hay que mencionar que las botnets que aparecieron presentaban notables variaciones dependiendo del lugar geográfico donde los dispositivos móviles se infectaban, así como la cantidad de dispositivos infectados y las funciones de los programas maliciosos.

Las predicciones mencionadas sólo afectaron a la plataforma más popular del momento: Android. En cuanto a otras plataformas para dispositivos móviles, esperábamos que los ataques dirigidos estuviesen entre las principales amenazas contra Symbian, Blackberry y otras plataformas. Los típicos ataques de este tipo suelen involucrar a ZitMo y SpitMo (ZeuS- y SpyEye-in-the-Mobile). Esta previsión también se cumplió. Además, la familia de amenazas diseñadas para robar mTANs (ZitMo y SpitMo) incorporó un nuevo miembro, el conocido troyano banquero Carberp que ahora cuenta con una versión para dispositivos móviles conocida como CitMo o Carberp-in-the-Mobile.

Otros dos pronósticos generales, pero críticamente importantes, que tendrán un rol fundamental para determinar el futuro de los ataques contra plataformas móviles también resultaron ser correctos. Primero, fuimos testigos del desarrollo de  una industria de programas maliciosos para dispositivos móviles con todas las de la ley. Segundo, el espionaje en dispositivos móviles traspasó los límites de las autoridades y agencias de detectives.

El tema de la sexta edición de este informe de Kaspersky Lab son los principales avances en los programas maliciosos para dispositivos móviles que se dieron en 2012.

Estadísticas

En esta sección trataremos las estadísticas de las amenazas contra dispositivos móviles. En esta oportunidad, además de la información sobre el aumento en la cantidad de programas maliciosos, la frecuencia con la que surgen, y su propagación por plataforma y por comportamiento, también hemos incluido datos recopilados por el servicio de nube KSN, que ahora está disponible en nuestro producto para Android.

Principales datos estadísticos de 2012

Los datos más significativos de 2012 están relacionados con el crecimiento explosivo de la cantidad de nuevos programas maliciosos para Android. En 2011, Kaspersky Lab detectó casi 5.300 programas maliciosos nuevos para todas las plataformas de dispositivos móviles; pero durante algunos meses de 2012, la cantidad de nuevas detecciones relacionadas sólo con Android excedió ese número. Mientras tanto, ¡la cantidad de archivos maliciosos únicos ha superado los 6 millones!

Este fue el número total de modificaciones y familias de programas maliciosos para dispositivos móviles en la colección de Kaspersky Lab a 1 de enero de 2013:

Plataforma Modificación Familia
Android 43600 255
J2ME 2257 64
Symbian 445 113
Windows Mobile 85 27
Otros 28 10
Total 46415 469

El índice de crecimiento de las amenazas contra plataformas para dispositivos móviles ha aumentado dramáticamente: ¡40.059 de las 46.415 modificaciones, y 138 de las 469 familias de programas maliciosos para dispositivos móviles ingresaron a nuestra base de datos en 2012!

En cuanto a la clasificación por plataforma, el siguiente gráfico ilustra muy claramente la situación:



Clasificación de amenazas contra dispositivos móviles por plataforma, 2004-2012

A fines de 2011, un 65% de las amenazas estaba dirigido contra la plataforma Android, mientras que a fines de 2012, ese porcentaje alcanzó casi el 94%.

Al mismo tiempo, el 99% de todas las detecciones de programas maliciosos para dispositivos móviles en 2012 eran amenazas contra la plataforma Android. A mediados de año, resultó claro que por lo menos en los dos siguientes años el predominio será de los programas maliciosos diseñados para Android. El hecho de que la plataforma Android sea el sistema operativo más común para los dispositivos móviles ha hecho que se convierta en el blanco predilecto de los ciberdelincuentes. La vieja fórmula sigue vigente: “el sistema operativo más popular” + “la instalación de software de cualquier origen” = “la mayor cantidad de amenazas”.

Las amenazas más populares contra Android

En la primavera de 2012, Kaspersky Lab lanzó su nuevo servicio en nube KSN para dispositivos móviles con plataforma Android, lo que nos ha permitido ofrecer protección adicional a los usuarios de estos dispositivos y recopilar datos valiosos sobre las modificaciones de los programas maliciosos más frecuentes entre los usuarios.

Las amenazas detectadas con mayor frecuencia en los dispositivos Android pueden dividirse en tres grupos: Troyanos SMS, adware y exploits para acceder a la raíz.


Programas maliciosos detectados con mayor frecuencia en los dispositivos Android

Los programas maliciosos más comunes diseñados para Android resultaron ser los troyanos SMS que principalmente apuntan contra los usuarios en Rusia. Esto no es sorprendente, ya que el envío de costosos mensajes de texto desde dispositivos infectados sin el conocimiento del usuario sigue siendo el principal método del que se valen los ciberdelincuentes para lucrar.

El segundo grupo de amenazas en el Top 10 está compuesto por los programas publicitarios Plangton y Hamob. La familia Plangton se detecta como un troyano, y por una buena razón. Plangton suele detectarse en aplicaciones gratuitas y de hecho muestra avisos. Sin embargo, también posee otra función que cambia la página de inicio del navegador sin notificarle al usuario y sin esperar su consentimiento, lo que se considera como comportamiento malicioso. En cuanto a AdWare.AndroidOS.Hamob, es el tipo de aplicación que aparece como útil, pero en realidad sólo sirve para mostrar avisos.

El tercer y último grupo consta de varias modificaciones de Lotoor, que son modificaciones para acceder a la raíz de los smartphones, y que se ejecutan en diferentes versiones de Android.

Amenazas contra el usuario

El aumento significativo en la cantidad de incidentes relacionados con programas maliciosos para Android en 2012, no significó que los ciberdelincuentes no se ocuparan de otras plataformas para dispositivos móviles. A continuación detallamos los incidentes más notables relacionados con otras plataformas.

Botnets para dispositivos móviles

Técnicamente, al primera botnet para dispositivos móviles apareció en el otoño de 2009; se había detectado el segundo programa malicioso más propagado contra dispositivos decodificados (jailbreak) iOS. Era capaz de aceptar y ejecutar comandos desde un servicio remoto. En ese momento, era una señal de que se estaban desarrollando botnets con todas las de la ley para dispositivos móviles.

La aparición de botnets para dispositivos móviles Android en 2012 no fue una sorpresa. La primera preocupación surgió en enero, con la detección de un bot IRC para Android que funcionaba con un troyano SMS. A ambas amenazas se las nombró Foncy.


El icono MADDEN NFL 12 de Foncy tras su instalación

Además del troyano SMS y del bot IRC, el dropper ARK también contenía un exploit para acceder a la raíz. La ejecución del exploit en un sistema infectado aumenta los privilegios hasta el nivel raíz, después se ejecuta el bot IRC que a su vez instala y ejecuta el troyano SMS. El troyano SMS, una vez que cumple su función, deja de ejecutarse, mientras que el bot IRC sigue ejecutándose, en espera de comandos. Como resultado, el bot IRC era capaz de controlar el Smartphone después de la infección. De hecho, todos los smartphones infectados con el bot IRC Foncy formaban una red zombi con todas las de la ley, que pudo haberse usado para ejecutar cualquier tipo de acciones que el propietario de la red deseara.

La policía francesa logró localizar y arrestar a dos sospechosos de estar implicados en la creación y propagación de esta amenaza. Según el informe de la policía, los ciberdelincuentes infectaron más de 2.000 dispositivos y generaron más de 100.000 euros con este esquema. Esta fue la primera vez en que se hacía un arresto bajo la acusación de propagar programas maliciosos dirigidos contra dispositivos móviles.

En febrero se detectó una red zombi de dispositivos móviles con 10.000 a 30.000 dispositivos infectados en cualquier momento. La cantidad total de teléfonos infectados rondaba los cientos de miles. Esta red zombi fue obra de ciberdelincuentes chinos, y estaba basada en el troyano puerta trasera RootSmart que cuenta con una variedad de funciones para el control remoto de dispositivos Android.

Los ciberdelincuentes se valían de una táctica probada y efectiva para propagar RootSmart: lo combinaban con programas legítimos en un archivo comprimido que subían a tiendas no oficiales de aplicaciones que son muy populares en China para descargar aplicaciones para Android. Entonces, los usuarios que descargaban aplicaciones supuestamente diseñadas para personalizar sus teléfonos, en realidad estaban descargando un troyano puerta trasera que capturaba su dispositivo para una red zombi.

La magnitud de la infección ocasionada por RootSmart les permitió a los ciberdelincuentes monetizar eficientemente su red de teléfonos infectados. El método que usaron es el más común entre los ciberpiratas dedicados a los dispositivos móviles: enviar mensajes de texto a números cortos, y para evitar que sus víctimas se dieran cuenta, seleccionaron los números menos caros. Los ciberdelincuentes lograron el control completo de los dispositivos móviles, lo que les permitió ocultar en ellos programas maliciosos por mucho tiempo, y seguir drenando los fondos las cuentas de sus víctimas.

En 2012, descubrimos troyanos puerta trasera que, por suerte, eran incapaces de infectar una gran cantidad de dispositivos. Sin embargo, estas amenazas y sus características específicas revisten mucho interés.

Una amenaza contra Android, conocida como Cawitt resulta muy curiosa porque, ante todo, presenta un mecanismo que permite, a través de Twitter, obtener el nombre de dominio del centro de comando. El cuerpo del programa malicioso contiene cadenas desde las cuales, bit-por-bit, genera seudónimos de usuarios en la red social. Tras generar nombres imaginarios de usuarios, el troyano puerta trasera envía peticiones al servidor de Twitter pata recibir los tweets que contienen los nombres de dominio del centro  de comando.


Ejemplos de tweets del centro de comando

Para comenzar a recibir comandos desde un centro de control, Cawitt hace una petición POST al nombre de dominio recibido por Twitter, y después añade “/carbontetraiodide” al final de la misma. El bot recibe un comando en respuesta a dicha petición.

Otra interesante amenaza detectada en 2012 es SpamSold, un bot spam dirigido contra los dispositivos Android. Este es el primer programa malicioso para dispositivos móviles que está diseñado para enviar mensajes SMS spam desde los dispositivos infectados.

Este troyano puerta trasera oculta su presencia en el dispositivo eliminando su icono y descargando la versión gratuita de un juego, que usa como camuflaje. Entonces, SpamSold responde al servidor de comando con peticiones GET como la siguiente:


Una petición GET de SpamSold

Como respuesta recibe un mensaje de texto para enviar y los primeros 100 números a los que se enviará el mensaje.


Respuesta del servidor

Tras recibir la respuesta, el bot procede a enviar el mensaje de texto incluido en el comando a los números especificados, y después, cuando agota los números, SpamSold envía al servidor una petición para una nueva lista de números y un nuevo mensaje de texto. Mientras tanto, el programa oculta los mensajes de texto que envía, permitiendo así que su presencia y sus operaciones permanezcan desapercibidas.

Afortunadamente, los ciberdelincuentes aún no han logrado implementar una red zombi de gran escala. Pero el hecho de que ahora se estén usando programas maliciosos para dispositivos móviles para enviar mensajes de texto, sugiere que en 2012 veremos más de uno de estos programas con funciones similares.

A la caza de mTans

En 2012 se usaron varias nuevas amenazas en ataques dirigidos, como los que usaban ZitMo y SpitMo (ZeuS- y SpyEye-in-the-Mobile). Estas amenazas están diseñadas para interceptar mensajes de texto desde servicios de banca online que contienen números de autorización de transacciones, conocidos como mTANs.

Nuevas versiones de ZitMo y SpitMo aparecen con cierta frecuencia, tanto para Android como para otras plataformas. Para ocultar sus amenazas, los ciberdelincuentes siguen recurriendo a los mismos métodos que usaron hace dos años. Las alternativas varían entre un camuflaje de “certificado de seguridad” y un programa de seguridad para smartphones. El usuario termina descargando un programa malicioso en su dispositivo en lugar de la aplicación antivirus que supone que es.


ZitMo camuflado como una aplicación antivirus

El hecho de que Android sea el sistema operativo más popular, no significa que no se usen otras plataformas.  Por ejemplo, aparentemente los ciberdelincuentes pasaron por alto los rumores de la inminente baja de la plataforma BlackBerry. En 2012, aparecieron nuevas versiones de ZitMo para BlackBerry; en un particular ataques, los ciberdelincuentes usaron amenazas contra las dos plataformas: BlackBerry y Android, y los números del servidor de control y comando eran los mismos, en ambos casos.

Varias nuevas modificaciones de ZitMo para Android han empezado a parecerse a sus “hermanos” diseñados para otras plataformas. Antes, ZitMo para Android sólo poseía funciones relativamente primitivas (especialmente la habilidad de renviar mensajes de texto entrantes con mTANs). Sin embargo, las últimas versiones de este troyano han incluido una lista ampliada de comandos que sirven para controlar y manejar las operaciones de la amenaza.


Ejemplo de algunos comandos en ZitMo para Android

Antes de 2012, los ataques lanzados para robar mTANs se habían detectado en apenas un puñado de países europeos: España, Italia, Alemania, Polonia y algunos más. Estos ataques involucraban a usuarios de una variedad de plataformas para dispositivos móviles: Android, BlackBerry, Symbian, y Windows Mobile.  A fines de 2012, Rusia se convirtió en uno de los blancos, debido a la popularización de la banca online, un hecho que no pasó desapercibido para los ciberdelincuentes. El popular troyano Carberp, que opera de forma similar a ZeuS, cuenta con su propia versión para dispositivos móviles: Trojan-Spy.AndroidOS.Citmo.

Al igual que ZeuS ZitMo, el troyano CitMoes es capaz de ocultar mensajes entrantes de texto con mTANs, y renviarlos a los ciberdelincuentes. Varias versiones de CitMo renvían los mensajes de texto interceptados a los números de los ciberdelincuentes y a sus servidores remotos.

Una versión de Carberp cambió la página de inicio de un banco ruso con banca online. A los usuarios se les solicitaba descargar e instalar un programa supuestamente necesario para ingresar al sistema. Los usuarios podían optar por recibir un enlace al programa mediante un mensaje de texto, ya sea proporcionando su número de teléfono, o escaneando un código QR.


Los códigos QR son una forma de descargar programas maliciosos

(Traducción:
Autorización de teléfono celular
Su PIN de activación es:
10749

Estimados clientes: Para entrar al sistema es necesario instalar el programa SberSafe en su teléfono. Para obtener el enlace a este programa, puede escanear el código QR con su teléfono o recibir el enlace.
Para recibir el enlace, escriba su número en la casilla de abajo y pulse OK.)

El enlace que aparece en este ejemplo conducía a la aplicación AberSafe, que en realidad era Trojan-Spy.AndroidOS.Citmo, y estuvo en la tienda de aplicaciones Google Play por dos semanas.

Tras ejecutarse este programa malicioso, se solicitaba a las víctimas potenciales que ingresaran sus números telefónicos,  que se registraban en un archivo auth.txt enviado a un servidor remoto controlado por los ciberdelincuentes. Después de un rato, los usuarios recibían un mensaje de texto con un código de cinco dígitos que debían ingresar en la aplicación. Este código estaba escrito en un archivo authcode.txt y usaba el número de teléfono como dato ID que el programa malicioso enviaba al servidor remoto.

Durante el ataque y robo de mTANs, el troyano necesitaba ocultar los mensajes entrantes de texto desde el sistema de banca online. De otra manera, cuando los ciberdelincuentes intentaran transferir los fondos desde la cuenta capturada, los mensajes podrían despertar sospechas.

CitMo descargaba desde el servidor  de los ciberdelincuentes información sobre los números asociados con los mensajes entrantes de texto que tenía que esconder. Renviaba esos datos al servidor remoto (escrito en el archivo hide.txt), así como los datos sobre los números asociados con textos entrantes que no tenían que ocultarse (escritos en el archivo view.txt). Cuando recibía un mensaje de texto entrante, CitMo verificaba el remitente. Si los datos del remitente se encontraban en la lista a ocultar, el texto se ocultaba y se escribía en el archivo messages.txt, que se enviaba al servidor remoto del ciberdelincuente.

Troyanos SMS

Los métodos más comunes entre los ciberdelincuentes para monetizar las amenazas siguen evolucionando. En 2011, una de las tendencias más interesantes era la aparición de troyanos SMS dirigidos a usuarios en Europa y Norteamérica. En 2012, Kaspersky Lab detectó programas afiliados con todas las de la ley que se usaban para propagar troyanos SMS entre los usuarios en dichas regiones. Los programas afiliados, como se sabe, son una de las herramientas más efectivas para crear, propagar y monetizar los programas maliciosos.

En 2012 se detectó la familia Vidro de troyanos SMS para Android, que estaban dirigidos principalmente a los usuarios en Polonia. Este troyano SMS no parecía tener nada en especial, pero había un pequeño detalle que lo diferenciaba de los demás: se propagaba a través de sitios para adultos asociados con programas afiliados para dispositivos móviles cuyo objetivo era monetizar el tráfico de contenidos para adultos.

Se descargaba desde el dominio malicioso vid4droid.com. Este dominio estaba controlado por dos servidores de nombre con la dirección carmunity.de, y el servidor de correo vid4droid.com, en tecmedia.eu. Existen varios hosts (sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com, entre otros) en los que los servidores de nombre y de correo son los mismos que en vid4droid.com. Cuando la víctima potencial visita uno de estos hosts, se la desvía a sexgoesmobile.com. Este sitio es el sitio web de un programa afiliado para monetizar el tráfico de contenidos adultos en dispositivos móviles.


Página inicial del programa afiliado SexGoesMobile.com

Muchos programas afiliados para dispositivos móviles (al menos los rusos) ofrecen a sus participantes acceso completo a las herramientas de promoción, y SexGoesMobile no es la excepción. Cada afiliado que participa en SexGoesMobile tiene su propia ID. Un afiliado puede crear un sitio para dispositivos móviles con una plantilla existente (cada plantilla tiene su propio nombre de dominio) y generar una URL única con su propia ID que después conduce a vid4droid.com, y posteriormente coloca esta URL en su sitio web.

Cuando la víctima potencial activa uno de estos sitios web estándar, se la conduce a vid4droid.com. Al mismo tiempo, se genera una cadena única de letras y números en el servidor remoto en base a la información del referrer (URL e ID afiliada únicas). Entonces, el sitio web invita a los usuarios a descargar una aplicación con supuesto contenido para adultos (vid4droid.apk), que en realidad se trata del troyano Vidro.

Una vez que se encuentra en el dispositivo móvil, el troyano envía un mensaje de texto a un número pago en Polonia (72908) con el texto “PAY {sequencia única de letras y números}”, la misma cadena única de letras y números que se generaba al usar la URL e ID del afiliado. Como resultado, cada afiliado robaba el dinero del usuario mediante su “propio” troyano SMS, que enviaba mensajes de texto con una cadena única.

La aparición de programas afiliados similares fuera de Rusia y Ucrania apunta a la existencia de una industria de programas para dispositivos móviles completamente funcional, no sólo en Rusia, sino también en otros países.

Incidentes relacionados con tiendas oficiales de aplicaciones

A pesar de que Google introdujo su nuevo módulo antivirus llamado Google Bouncer, que automáticamente analiza todas las nuevas aplicaciones en Google Play (antes conocido como Android Market), no ha habido cambios significativos en la cantidad promedio de incidentes.

La atención del público suele posarse en la mayor cantidad de infecciones, como fue el caso del incidente Dougalek que infectó a decenas de miles de usuarios (especialmente en Japón). Esto llevó a una de las mayores fugas de información personal ocasionada por la infección de dispositivos móviles. Poco después de este incidente, la policía de Tokio arrestó a cinco sospechosos de crear y propagar la amenaza, constituyéndose en el segundo incidente con programas maliciosos para dispositivos móviles que terminó en arrestos en 2012.

En 2012 se produjo otro importante incidente: se detectó el primer programa maliciosos para iOS en la tienda App Store de Apple. A principios de julio se detectó, una sospechosa aplicación llamada “Find and Call”. Se encontraron copias en App Store y en Android Market.


Find and Call instalado en un teléfono iOS

Una vez que esta aplicación se descargaba y se ejecutaba, se le mostraba al usuario una petición para registrar el programa, que requería el ingreso de una dirección de correo electrónico y un número de teléfono. Si, después de ingresarlos, el usuario intentaba encontrar a alguien en su lista de contactos usando esta aplicación, entonces toda su lista de contactos se enviaba a un servidor remoto, sin que el usuario se enterase de ello, en el siguiente formato:

Cada número robado de la lista de contactos recibía un mensaje SMS spam con un enlace sugiriéndole al destinatario que descargue la aplicación Find and Call.

Después de que se hiciera pública la información sobre este incidente, Kaspersky Lab comenzó a recibir consultas sobre por qué razón se calificaba como maliciosa esta aplicación. Se considera un programa malicioso porque oculta el hecho de que envía la información de los contactos del usuario a un servidor remoto para posteriormente enviarles mensajes de texto.

Afortunadamente, este incidente es hasta ahora la única detección confirmada de un programa malicioso en la tienda App Store de iOS.

Ciberespionaje

Durante 2012, esperábamos ver más casos de robo de información desde teléfonos móviles y casos de personas rastreadas mediante sus teléfonos y servicios GPS. Por desgracia, fue así como sucedió. La cantidad de programas maliciosos que mostraban un comportamiento propio de troyanos espías o puerta trasera se ha multiplicado cientos de veces. También es cierto que hay un creciente número de aplicaciones comerciales de monitoreo, y que puede ser difícil diferenciarlas de los programas maliciosos.

Se han dado varios episodios notables en la historia del espionaje en dispositivos móviles. Podemos citar un incidente en 2009, en el que uno de los mayores operadores en los Emiratos Árabes Unidos envió un mensaje de texto con un enlace a un spyware con el pretexto de una actualización de seguridad para BlackBerry.

Otro aspecto crítico es el interés gubernamental en acceder a comunicaciones seguras utilizadas en teléfonos BlackBerry.

Los incidentes más notables y escandalosos de espionaje en dispositivos móviles en 2012 fueron:

  • la detección de una versión móvil del módulo spyware FinSpy, desarrollada por la firma británica Gamma International;
  • el descubrimiento de los detalles técnicos de las operación de ciberinteligencia, conocida como Red October, que consistía en el robo de datos e información secreta no sólo desde los ordenadores y redes de las organizaciones atacadas (entes diplomáticos y gubernamentales), sino también desde los dispositivos móviles de sus empleados.

Estos dos incidentes merecen un análisis detallado.

FinSpy

Las versiones para dispositivos móviles de FinSpy son parte del portafolio de Gamma International. Los datos sobre la existencia de este paquete de herramientas de monitoreo remoto apareció en el primer semestre de 2011. Ese mismo año, se publicó más información relacionada con las versiones para dispositivos móviles de FinSpy. Después, en 2012, The Citizen Lab logró capturar y analizar las versiones para dispositivos móviles de FinSpy para Android, iOS, Windows Mobile, Symbian y BlackBerry.

Las modificaciones de FinSpy para varias plataformas tienen muchas características en común:

  • registro de llamadas entrantes y salientes;
  • llamadas ocultas para escuchar en secreto el entorno de la víctima;
  • robo de información desde smartphones (registros de llamadas, mensajes de texto y multimedia, contactos, etc.);
  • rastreo coordinado;
  • comunicación por Internet y mensajes de texto con el centro de comando.

Pero cada versión de la plataforma tenía también sus propias características. Por ejemplo, FinSpy para Symbian es capaz de realizar capturas de pantalla; FinSpy para BlackBerry también puede monitorear la comunicación mediante BlackBerry Messenger; la versión para Android puede activar y desactivar el Modo avión, y FinSpy para iOS puede instalarse con una limitada y personalizada selección de dispositivos y específicas UDIDs, mientras que la versión para Windows Mobile usa aprovisionamientos XML de archivos de configuración para cambiar las políticas de seguridad.

Un aspecto que llama la atención en todas las versiones de FinSpy para dispositivos móviles, es la creación del archivo de configuración 84c.dat. Los mecanismos usados para generarlo difieren según el sistema operativo, pero al final, contiene los datos necesarios para que pueda operar el módulo spyware (la dirección del centro de control, el número móvil del centro de control, los puertos usados, y otros datos).


Una parte del archivo de configuración 84c.dat para Android, codificado con base64

La principal función de todos los módulos de FinSpy no es nada nuevo ni único. Un conjunto de funciones similares ya se han visto muchas veces en el spyware comercial como FlexiSpy o MobileSpy. Lo que hace que FinSpy sea diferente es su desarrollador: una compañía que está registrada oficialmente en Gran Bretaña y, en base a la información en el sitio web oficial de la compañía, desarrolla herramientas de monitoreo remoto para organizaciones gubernamentales.

Actualmente no se cuenta con información sobre quién ordenó los ataques de FinSpy y las víctimas específicas, y cualquier interrogante, al parecer, quedará sin respuesta por mucho tiempo. Sin embargo, incluso prescindiendo de esa información, la aparición de FinSpy ha abierto un nuevo capítulo en la historia de los programas maliciosos para dispositivos móviles.

Red October

A finales de 2012, si alguien tenía dudas persistentes sobre la relevancia del spyware para dispositivos móviles, estas se disiparon claramente después de publicarse la información sobre las operaciones Red October: los dispositivos móviles se encuentran en la mira de los ataques dirigidos y de espionaje, lo mismo que los ordenadores convencionales.

Contamos con evidencias de que los desconocidos personajes detrás de esta operación están interesados en recopilar datos guardados en dispositivos móviles. Pueden acceder a ellos no sólo mediante los programas maliciosos para dispositivos móviles, sino también mediante módulos para Windows que se activan cuando los dispositivos se conectan con un ordenador infectado. En esta sección resumiremos la información que tenemos sobre los módulos de Red October para dispositivos móviles, así como otra información relacionada.

Uno de los módulos de Red October (RegConn) es el responsable de recopilar datos del sistema e información sobre el software instalado y utilizado en el ordenador infectado. Esta información se recopila leyendo ciertas llaves de registro (el mismo módulo contiene una lista de llaves). Entre las llaves, sobresalen:


Registro de llaves en el módulo RegConn

De una u otra manera, estas llaves de registro están asociadas con programas que funcionan con dispositivos móviles (iTunes, Nokia PC Suite, etc.) y que pueden instalarse en un ordenador infectado.

Otro componente de Red October se creó para iPhone. Este módulo está diseñado para recopilar información desde un Smartphone cuando se conecta a un ordenador que ha sido infectado con el módulo. Usa el archivo de directorio de iTunes CoreFoundation.dll. Vale la pena mencionar que el módulo puede ejecutar uno de dos servicios diferentes: uno para teléfonos que están decodificados (jailbreak), y otro para teléfonos no decodificados. En cualquier caso, el módulo intenta recopilar lo siguiente:

  • información sobre el dispositivo, comenzando con su EMEI y terminando con la versión de su firmware;
  • archivos con las siguiente sextensiones:  .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg;
  • los contenidos de archivos con datos sobre mensajes de texto SMS, contactos, registros de llamadas, calendario, correo de voz, historial de navegación de Safari, y correo.

El módulo para Nokia tiene una función similar y también recopila datos sobre el dispositivo, mensajes de texto y multimedia, calendario, contactos, y aplicaciones instaladas. También busca localizar y recopilar archivos con las siguientes extensiones: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Usa ConnAPI.dll desde PC Connectivity Solution para interactuar con los servicios móviles conectados al ordenador infectado.

También vale la pena mencionar los componentes de Red October que se ejecutan en Windows Mobile. Estos módulos pueden dividirse en dos grupos:

  1. los módulos que se ejecutan en ordenadores Windows infectados (usados para infectar/actualizar los dispositivos Windows Mobile conectados a un ordenador infectado);
  2. los módulos instalados en smartphones Windows Mobile conectados con un componente Windows.

Con el primer grupo, el objetivo no es recopilar información desde el dispositivo Windows Mobile conectado. En lugar de ello, el principal objetivo es instalar un troyano puerta trasera en el smartphone (o actualizar el que ya se encuentra instalado). Un componente puerta trasera que instala un módulo en la primera categoría en un smartphone, en algunos círculos recibe el nombre de “zakladka” obookmark”.

Además de los troyanos puerta trasera, el componente para Windows también descarga otros archivos ejecutables en los dispositivos. Estos archivos .exe se usan para cambiar la configuración del dispositivo, y ejecutar, actualizar y eliminar troyanos puerta trasera. También pueden copiar un archivo especial de configuración (winupdate.cfg) desde un ordenador al smartphone.

Este archivo está inicialmente codificado. El archivo decodificado luce así:


winupdate.cfg decodificado

Este archivo contiene datos sobre los códigos MCC/MNC (MCC = código móvil del país; MNC = código de la red móvil — en otras palabras, el código de país y el código del proveedor móvil). Hemos rastreado un total de 129 países únicos y más de 350 proveedores móviles en esos países.

El componente puerta trasera zakladka determina el MCC/MNC de un smartphone y después compara los datos que ha recopilado con los datos del archivo winupdate.cfg, y escribe todo en un archivo de registro.

En sus operaciones con el centro de comando, el módulo zakladka procede a enviar una petición POST a la dirección del centro de comando especificada en el módulo (win-check-update.com o, si el dominio no se encuentra disponible, mobile-update.com)

Como respuesta, el módulo recibe un archivo desde el servidor remoto que después se guarda en Windows%u.exe y se ejecuta.

Respecto a los dominios de los centros de comando, además de win-check-update.com y mobile-update.com, Kaspersky Lab ha detectado los siguientes nombres de centros de comando sospechosos:

  • cydiasoft.com
  • htc-mobile-update.com
  • mobile-update.com
  • playgoogle-market.com
  • security-mobile.com
  • world-mobile-congress.com

En resumen, se pueden sacar las siguientes conclusiones:

En primer lugar, sabemos que varios módulos de Red October están diseñados para robar información desde distintos tipos de dispositivos móviles.

Segundo, existen señales indirectas (listas de llaves de registro, nombres de dominio) de que existen otros módulos de Red October que están diseñados para trabajar con otros dispositivos móviles, Android y BlackBerry. Sin embargo, hasta la fecha de esta publicación, no hemos detectado ningún módulo para esas plataformas.

Conclusiones

Desde la aparición de los programas maliciosos para dispositivos móviles, hemos sido testigos de acontecimientos e incidentes que se dieron cada año que marcan el paso para la siguiente etapa en la evolución de estos programas, y 2012 puede considerarse uno de los más notables. ¿Por qué?

Para comenzar, la cantidad de amenazas contra dispositivos móviles se disparó en 2012.

Después, hemos visto cómo Android se ha convertido en el Blanco Número Uno para los ciberdelincuentes.

Tercero, las amenazas contra los dispositivos móviles se han internacionalizado. Hoy en día, los ciberdelincuentes ya no se concentran en los usuarios de dispositivos móviles en Rusia y China. Serios incidentes con significativas consecuencias se produjeron en varios países.

Por último, tenemos evidencia de que los dispositivos móviles y los datos que almacenan son blanco no sólo de ciberdelincuentes comunes y corrientes, sino también de una variedad de organizaciones que están detrás de operaciones como Red October.

Evolución de los programas maliciosos para dispositivos móviles Parte 6

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada