News

Malware en el Android Market, parte 3

En una nueva entrada en su blog, Google promete que comenzará a trabajar para controlar los daños del programa malicioso conocido como “DroidDream”, que cobró vida en el Android Market la semana pasada:

Malware in the Android Market, parte 1

Malware in the Android Market, parte 2

En su blog, Google afirma que iniciará el proceso de eliminación a distancia del programa. Para ello, instalará una nueva aplicación llamada “Android Market Security Tool March 2011” en los dispositivos afectados. Hemos visto esta aplicación y notamos que no soluciona la vulnerabilidad, sólo elimina las aplicaciones maliciosas. Google también promete que hará cambios en el Market para evitar este tipo de problemas y dice que está “trabajando con nuestros socios para arreglar los problemas de seguridad relacionados”.

Esta parte suena bien, con la excepción de algunas cuestiones evidentes:

El blog de Google es confuso. En el blog, Google dice que “la actualización va a revertir el exploit de forma automática”. Pero esto no elimina la vulnerabilidad del sistema operativo. Las primeras veces que lo leí pensé que esto significaba que los teléfonos vulnerables ahora estaban protegidos contra los exploits que se utilizaron en el programa malicioso DroidDream. Pero no es así.

La solución de Google es muy curiosa; Google instala una aplicación en los teléfonos de sus usuarios sin pedir su aprobación, la aplicación se ejecuta sin el consentimiento de los usuarios (esto también se conoce como ejecución remota de código), después la aplicación obtiene privilegios de raíz, elimina otras aplicaciones y se elimina a sí misma. Cualquiera de estos pasos sería aceptable si el usuario tuviese la oportunidad de opinar sobre los cambios que se están haciendo a su teléfono.

No se pueden instalar parches de seguridad de forma local. La naturaleza de Android en su estado actual hace que sea muy difícil y caro crear actualizaciones de seguridad como se haría con un sistema operativo de ordenadores como Linux o Windows. A diferencia del iPhone, que instala parches por iTunes, o Windows Mobile que utiliza ActiveSync, Android trabaja casi por completo mediante comunicaciones en el aire (“Over the Air” o “OTA”). Esto pone todo el peso en los proveedores de servicios móviles, que deben enviar actualizaciones de datos a todos sus clientes mediante sus redes de datos de móviles. Esto es muy caro. Si Android pudiese instalar parches más detallados y los clientes pudiesen instalarlos mediante un modelo de ordenador, aunque fueran opcionales, sería un gran incentivo para que los proveedores de servicios, fabricantes y clientes tuvieran la habilidad y la iniciativa de instalar actualizaciones de seguridad con más frecuencia.

Otro problema es que los fabricantes de smarphones no mantienen o actualizan sus plataformas con regularidad. Si leen cualquier foro de teléfonos móviles, verán que hay muchos usuarios que piden actualizaciones para sus aparatos. Las estadísticas del mismo Google indican que más del 40% de los usuarios de Android están utilizando una versión del sistema operativo anterior a Android 2.2. Incluso algunos de los clientes que utilizan 2.2 son vulnerables, porque el exploit afecta a los usuarios de sistemas operativos anteriores a 2.2.1. Por desgracia, Google no detalla sus estadísticas para que podamos ver con exactitud a cuántos usuarios afecta esta amenaza. Con la pequeña excepción de los clientes que recibirán las actualizaciones del Android Market Security Tool, cualquier persona que utilice el sistema operativo 2.2.1 o cualquier versión anterior está en peligro. Esto significa que podrían ser víctimas de este ataque en este mismo momento.

Google promete que hará cambios en el Android Market, eso está por verse. Sólo esperamos que se propongan una meta más amplia, la de mantener a todos sus clientes al día en sus actualizaciones, que no tarden en publicar los parches y que ofrezcan varias formas de descargarlos. Google y sus socios tienen una gran oportunidad y una importante responsabilidad de hacerlo, esperamos que cumplan con ellas y les saquen provecho.

Malware en el Android Market, parte 3

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada