El sistema operativo Android ofrece un servicio interesante llamado Google Cloud Messaging, o GCM. Este servicio permite enviar mensajes pequeños (de hasta 4KB) mediante el servidor de Google desde los teléfonos móviles en formato JSON. Los correos pueden contener datos estructurados, como enlaces, información publicitaria o comandos.
Para usar el servicio, un desarrollador debe recibir una identificación única para sus aplicaciones, que utilizará para registrarlas con GCM. Después, puede enviar los datos a todos o algunos de los dispositivos que tengan instaladas las aplicaciones registradas.
El servicio se utiliza para determinar las coordenadas de los teléfonos robados, cambiar la configuración del teléfono a distancia, enviar mensajes sobre el lanzamiento de nuevos niveles de juegos, anunciar nuevos productos, etc.
Nos sorprendería, por supuesto, que los escritores de virus no traten de aprovechar las oportunidades que les presenta este servicio. Hemos detectado varios programas maliciosos que usan GCM como un centro de comando y control.
Trojan-SMS.AndroidOS.FakeInst.a
Esta es la amenaza más expandida que afecta a Android. Kaspersky Lab detectó más de 4.800.000 instaladores para este troyano y, sólo el año pasado, Kaspersky Mobile Security (KMS) bloqueó más de 160.000 intentos de instalar este programa.
El troyano puede enviar mensajes de texto a números Premium, eliminar los mensajes de texto entrantes, generar atajos para sitios maliciosos y mostrar notificaciones publicitando otros programas nocivos que se propagan haciéndose pasar por aplicaciones útiles o juegos.
El troyano está registrado en el sistema GCM:
El troyano puede enviar mensajes de texto de pago cuando recibe las órdenes pertinentes:
El troyano Fakelnst.a se detectó en más de 130 países. Sus blancos principales son Rusia, Ucrania, Kazajistán y Uzbekistán.
Trojan-SMS.AndroidOS.Agent.ao
Este troyano se hace pasar por una aplicación pornográfica, pero en realidad tiene sólo dos imágenes. Su objetivo principal es enviar mensajes de texto Premium. Kaspersky Lab ha detectado más de 300 instaladores para este troyano.
El programa utiliza GCM para recibir actualizaciones:
GCM también se utiliza para ordenar a los teléfonos que envíen mensajes de texto y crear notificaciones con información o contenido publicitario en la zona de notificaciones:
En total, KMS bloqueó más de 6.000 intentos de instalación de Trojan-SMS.AndroidOS.Agent.ao. Este troyano tiene como principales objetivos los teléfonos móviles del Reino Unido, donde se detectó el 90% de las infecciones. También se ha detectado esta amenaza en Suiza, Irán, Kenia y Sudáfrica.
Trojan-SMS.AndroidOS.OpFake.a
Esta amenaza es un ejemplo clásico de un troyano de SMS. Prolifera en el APK, haciéndose pasar por juegos, aplicaciones, etc. Kaspersky Lab ha detectado más de 1.000.000 de instaladores diferentes para este troyano.
Cuando logra infiltrarse en un equipo móvil, lo primero que hace es ponerse en contacto con su centro de comando y control.
Después se registra con GCM:
GCM y el centro de comando y control del troyano tienen el mismo rango en el envío de comandos.
El troyano tiene una gama de funciones relativamente amplia:
- envía mensajes de texto a un número específico
- envía mensajes de texto (que suelen tener un enlace a sí mismos o a alguna otra amenaza) a un número específico, por lo general a contacto del usuario
- se actualiza a sí mismo
- roba mensajes de texto
- elimina los mensajes de texto entrantes que selecciona el centro de comando y control
- roba contactos
- reemplaza los números del centro de comando y control o del GCM
- detiene o reinicia sus operaciones
Es notable que, durante la instalación de algunas variantes de este troyano, Android 4.2 advierte al usuario que esta es una aplicación maliciosa. Por desgracia, no ocurre lo mismo con todas las modificaciones.
Kaspersky Lab ha detectado este troyano en 97 países. Los que sufren sus ataques con mayor frecuencia son Rusia, Ucrania, Kazajistán, Azerbaiyán, Bielorrusia y Uzbekistán. KMS bloqueó más de 60.000 intentos de instalación de OpFake.a en estos países.
Se bloquearon más de 1.000 intentos de instalación en Italia y Alemania.
Backdoor.AndroidOS.Maxit.a
Kaspersky Lab detectó esta puerta trasera por primera vez a finales de 2011, y han aparecido nuevas modificaciones desde entonces. En la actualidad hay más de 40 variantes de esta amenaza. Todas estas modificaciones son muy similares entre sí; la aplicación abre sitios web con juegos, mientras que las operaciones maliciosas se ejecutan en un segundo plano.
Lo primero que la puerta trasera trata de hacer es conseguir información sobre el teléfono y la tarjeta SIM, incluyendo el número de teléfono y su servidor. Después sube toda esta información al centro de comando y control androidproject.imaxter.net. Este es el servidor que administra todas las funciones primarias del troyano.
Después, la amenaza se registra con GCM, que sirve como una fuente adicional de comandos:
Las funciones de la puerta trasera se concentran en manipular en secreto las características de los mensajes de texto, como el envío, borrado y redirección de los mensajes entrantes. La amenaza también puede instalar atajos sin que el usuario se dé cuenta y abrir páginas web de forma independiente. Por si esto fuera poco, es capaz de iniciar llamadas telefónicas, pero para esto se necesita una confirmación del usuario.
La amenaza se propaga mediante el sitio http://www.momozaap.com/..
A lo largo del año pasado, KMS bloqueó alrededor de 500 intentos de instalación de esta puerta trasera. Este programa malicioso se detecta con más frecuencia en Malasia, pero también se ha encontrado en Tailandia, Filipinas y Burma.
Es más, el código de esta amenaza incluye un número de teléfono de Malasia.
Este número no se ha usado en ningún lugar, pero es posible que los usuarios maliciosos planeen usarlo como una fuente de comandos adicional.
Trojan-SMS.AndroidOS.Agent.az
Kaspersky Lab tiene en la mira Trojan-SMS.AndroidOS.Agent.az desde mayo de 2012. Es una aplicación para un sitio web pornográfico vietnamita que, además, envía mensajes de texto a un número Premium. Hasta ahora se han detectado más de 1.000 modificaciones de estas aplicaciones, y el año pasado KMS bloqueó más de 1.500 intentos de instalación.
El troyano se registra con GCM después de su ejecución:
después abre un sitio web con videos pornográficos:
A continuación, envía mensajes de texto a un número Premium.
El troyano utiliza GCM para recibir algunos mensajes y agregarlos a la sección de notificaciones del teléfono:
Como es obvio que el troyano ataca a los usuarios de Vietnam (todo el texto que se muestra al usuario está en vietnamita), nuestro teléfono de pruebas con un número ruso nunca recibió ninguno de los mensajes. Pero, por experiencia, creemos que tarde o temprano, otros programas maliciosos disfrazados de aplicaciones útiles o juegos enviarán este tipo de publicidad.
Este troyano se ha detectado principalmente en Vietnam, aunque Kaspersky Lab también bloqueó ejemplares en Rusia, Italia, Indonesia y Malasia.
Conclusión
Aunque la cantidad de programas maliciosos que usan GCM sigue siendo relativamente baja, algunos están muy expandidos. Estos programas prevalecen en algunos países de Europa occidental, la CEI y Asia.
Sin duda, GCM es un servicio muy práctico para los desarrolladores de programas legítimos. Pero los escritores de virus utilizan Google Cloud Messaging como un centro de comando y control para sus troyanos. Es más, el sistema GCM lleva a cabo la ejecución de los comandos que se reciben de GCM y es imposible bloquearlos directamente en un dispositivo infectado. La única forma de evitar que los atacantes sigan explotando este servicio es cerrar las cuentas de los desarrolladores que registraron los programas maliciosos.
Kaspersky Lab ya ha pasado a Google una lista de las identificaciones de los usuarios de GCM asociados con los programas maliciosos.
GCM en anexos maliciosos