- Introducción
- Familias y modificaciones. Estadística y cambios
- Lo nuevo
- Amenazas móviles fuera del laboratorio
- ¿Y qué después?
Introducción
Desde la publicación del artículo “Virología móvil III” han ocurrido varios acontecimientos muy serios.
En primer lugar, han cambiado las proporciones entre los diferentes sistemas operativos para dispositivos móviles. El sistema operativo Android está ganando popularidad y en este momento ha dejado atrás a Windows Mobile. Los sistemas operativos iOS y Blackberry también han aumentado su presencia en el mercado. Por el contrario, Symbian sigue perdiendo posiciones, a pesar de que sigue siendo el líder mundial.
En segundo lugar, se ha alargado la lista de plataformas para las cuales existen casos comprobados de programas maliciosos. Ahora también es parte de la lista iOS (sistema operativo para iPhone/iPod/iPad) y Android. Como suponíamos, han aparecido programas maliciosos para iOS, capaces de infectar sólo los smarphones “liberados” (jailbroken).
En tercer lugar, los programas maliciosos y los ataques en general se han vuelto más complejos.
Por último, la aplastante mayoría de los programas maliciosos detectados por nuestra compañía el último año estaban, de una forma u otra, destinados a robar dinero a los usuarios.
Como de costumbre, empezamos nuestro análisis con la estadística.
Familias y modificaciones. Estadística y cambios
La popularidad de los smartphones y el crecimiento del número de los nuevos servicios traen consigo el crecimiento de los programas maliciosos usados por los delincuentes para tratar de lucrar con los usuarios de dispositivos móviles.
Hacia mediados de agosto de 2009 registramos 106 familias y 514 modificaciones de programas maliciosos para dispositivos móviles. Para finales de 2010 las cifras cambiaron de la siguiente manera: 153 familias y más de 1000 modificaciones. Es decir, en 2010 detectamos un 65,12% más programas maliciosos para dispositivos móviles que en 2009 y casi el doble que 17 meses antes.
Según la estadística de 2010 la situación era esta:
Plataforma | Cantidad de familias | Cantidad de modificaciones |
J2ME | 45 | 613 |
Symbian | 74 | 311 |
Python | 5 | 60 |
Windows Mobile | 16 | 54 |
AndroidOS | 7 | 15 |
Sgold | 3 | 4 |
MSIL | 2 | 4 |
IphoneOS | 1 | 2 |
Cantidad de familias y modificaciones según plataformas
Estos datos se pueden representar en forma de diagrama:
Distribución de las modificaciones de los objetos detectados según plataforma
Cabe destacar que los escritores de virus empezaron a producir troyanos J2ME en cantidades industriales: por la cantidad de modificaciones los programas maliciosos para J2ME dejaron atrás a los programas para Symbian. Recordamos que las aplicaciones maliciosas escritas en Java representan peligro no solo para los usuarios de smartphones, sino para casi todos los usuarios de teléfonos celulares comunes y corrientes. En su mayoría, estos programas maliciosos tratan de enviar mensajes SMS a un número corto.
Crecimiento de las modificaciones conocidas (2004-2010)
Dinámica mensual de aparición de nuevas modificaciones (2004-2010)
Programas maliciosos para dispositivos móviles aparecidos desde agosto de 2009 hasta diciembre de 2010 (por familias):
Familia | Fecha de detección | Plataforma |
Trojan-SMS.Kipla | agosto 09 | J2ME |
Trojan-SMS.Jifake | agosto 09 | J2ME |
Trojan-SMS.Vkofk | septiembre 09 | J2ME |
Trojan-SMS.Cyppy | septiembre 09 | WinCE |
Trojan-SMS.Lopsoy | octubre 09 | Symbian |
Trojan-SMS.BadAssist | noviembre 09 | Symbian |
Net-Worm.Ike | noviembre 09 | IphoneOS |
Trojan-SMS.VScreener | noviembre 09 | J2ME |
Trojan-SMS.Levar | noviembre 09 | WinCE |
Trojan-SMS.Druleg | diciembre 09 | J2ME |
not-a-virus:Monitor.Flesp | diciembre 09 | Symbian |
not-a-virus:Monitor.Dadsey | diciembre 09 | Symbian |
Trojan-SMS.Sejweek | diciembre 09 | WinCE |
Trojan-SMS.Luanch | febrero 09 | WinCE |
Trojan-Spy.Cripper | febrero 09 | WinCE |
Trojan-SMS.Picong | marzo 09 | J2ME |
Worm.Megoro | marzo 10 | Symbian |
Trojan.Terdial | marzo 10 | WinCE |
not-a-virus:Montior.Mobspy | abril 10 | WinCE |
Trojan-SMS.Smmer | abril 10 | J2ME |
Trojan-Spy.Mijispy | abril 10 | J2ME |
Trojan-PSW.Vkonpass | mayo 10 | J2ME |
Trojan-SMS.Slishow | mayo 10 | J2ME |
not-a-virus:Monitor.Bond006 | junio 10 | WinCE |
not-a-virus:Monitor.Bond006 | junio 10 | Symbian |
Trojan-PSW.Facekob | junio 10 | Python |
not-a-virus:Monitor.RedGoldEye | junio 10 | WinCE |
SMS-Flooder.Spammo | junio 10 | J2ME |
Trojan-SMS.Zonagal | junio 10 | J2ME |
Trojan-PSW.Liamgpass | junio 10 | Python |
Worm.Sagasi | junio 10 | Symbian |
Trojan-Spy.Reples | junio 10 | Symbian |
Trojan-SMS.FakePlayer | agosto 10 | AndroidOS |
not-a-virus:Monitor.Tapsnake | agosto 10 | AndroidOS |
Trojan-SMS.Abcmag | agosto 10 | WinCE |
Trojan-Spy.Zbot | septiembre 10 | Symbian |
Worm.Nmplug | noviembre 10 | Symbian |
Trojan-Spy.GPSpy | noviembre 10 | AndroidOS |
Trojan-Spy.Fakeview | noviembre 10 | AndroidOS |
Trojan-SMS.Pocha | noviembre 10 | WinCE |
Trojan-PSW.FakeLogin | diciembre 10 | J2ME |
Trojan-Downloader.Minplay | diciembre 10 | Symbian |
not-a-virus:Monitor.Replicator | diciembre 10 | AndroidOS |
Total: 46 nuevas familias
Número de nuevas modificaciones y nuevas familias de programas maliciosos para diferentes plataformas detectadas en el periodo que va desde agosto de 2009 hasta diciembre de 2010 inclusive:
Plataforma | Cantidad de nuevas familias |
Cantidad de nuevas modificaciones |
J2ME | 13 | 431 |
Symbian | 12 | 58 |
Python | 2 | 15 |
Windows Mobile | 11 | 28 |
AndroidOS | 7 | 15 |
IphoneOS | 1 | 2 |
Total: | 46 | 549 |
Lo nuevo
Formas de convertir los programas maliciosos móviles en dinero en efectivo
En el mundo del malware móvil siguen predominando los programas que envían mensajes de texto a números premium cortos. Para los delincuentes, el uso de troyanos SMS sigue siendo la forma más fácil y efectiva de ganar dinero. El motivo es bastante simple: cualquier dispositivo móvil, ya sea un Smartphone o un teléfono celular común y corriente, está directamente relacionado con el dinero real del usuario, es decir, su cuenta móvil. Y es justo esta “relación directa” la que explotan los delincuentes.
Incluso los dueños de sitios pornográficos están aprovechando uno de estos troyanos SMS: desde los smartphones infectados por Trojan-SMS.AndroidOS.FakePlayer se enviaba al mismo tiempo cuatro mensajes SMS a un número usado para pagar por el acceso a materiales pornográficos.
Sin embargo, desde 2010 el envío de SMS de pago ha dejado de ser el único método que los escritores de virus para plataformas móviles usan para lucrar ilegalmente.
En 2010, por primera vez en los 6 años de la historia del malware móvil, se detectó un troyano (Trojan.WinCE.Terdial.a) que hace llamadas a números de pago en el extranjero.
Por su parte, los delincuentes usaban un gusano para iPhone (Net-Worm.IphoneOS.Ike.b) durante un ataque que tuvo como blanco a los usuarios de un banco holandés. Al tratar de entrar al sitio web del banco desde un Smartphone infectado por el gusano, el usuario iba a parar a un sitio phishing.
Hizo su aparición un programa malicioso (Trojan-Spy.SymbOS.Zbot.a) con cuya ayuda los delincuentes aprendieron a burlar la autentificación SMS de los usuarios de la banca online. Este troyano móvil fue usado en un complejo ataque junto con un programa malicioso tan peligroso como Zbot (ZeuS).
Más adelante puede leer más información sobre estos y otros programas maliciosos.
Tecnologías
Desde la publicación del anterior informe, no han aparecido programas maliciosos con nuevas tecnologías. Sin embargo los nuevos programas maliciosos usan las tecnologías conocidas en las más peligrosas y desagradables combinaciones.
Por ejemplo, los programas maliciosos están, con cada vez más frecuencia, interactuando con los servidores de los delincuentes. Ahora los delincuentes pueden:
- recibir de inmediato los datos robados a los usuarios,
- actualizar los parámetros de funcionamiento del software malicioso,
- reunir los dispositivos móviles infectados para organizar botnets.
Esto significa que los ataques de los programas maliciosos móviles están alcanzando un nuevo nivel.
Amenazas móviles fuera del laboratorio
A continuación haremos un análisis de los programas maliciosos más importantes para diferentes plataformas, descubiertos entre agosto de 2009 y diciembre de 2010.
Symbian
A principios de la segunda mitad de 2009 se detectó una nueva variante (la cuarta) del gusano Worm.SymbOS.Yxe.
Recordamos que Yxe, aparecido a principios de 2009 fue el primer programa malicioso para smartphones con Symbian S60 3rd edition. Este programa malicioso, además de propagarse a sí mismo mediante mensajes de texto y recopilar cierta información sobre el teléfono y su dueño, tenía otra peculiaridad: todas sus modificaciones contaban con la firma digital de Symbian y podían funcionar en casi todos los dispositivos con Symbian S60 3rd edition.
La cuarta modificación del gusano, Yxe.d, no sólo enviaba mensajes SMS, sino que modificaba las plantillas SMS cuando se conectaba al servidor. Yxe.d demostró que los programas maliciosos móviles son capaces de funcionar con los servidores remotos de los delincuentes, recibir de ellos actualizaciones e instrucciones, por desgracia, con gran efectividad. ¿Qué nos dice todo esto? ¡Que existe la posibilidad de crear botnes móviles!
El primer programa malicioso para dispositivos móviles que recibía instrucciones de los delincuentes (Backdoor.WinCE.Brador) apareció en agosto de 2004. Sin embargo, en ese momento no era una amenaza seria, ya que los smartphones no podían estar conectados a Internet todo el tiempo. En cambio hoy, cuando las tecnologías inalámbricas están ampliamente difundidas y el Internet móvil ha bajado considerablemente de precio, la probabilidad de aparición de programas maliciosos que de una forma u otra interactúan con el servidor remoto del delincuente es mucho mayor.
Después de la aparición de la versión .d hubo un periodo de inactividad. A principios de 2010 los escritores de virus chinos responsables de la creación de Worm.SymbOS.Yxe actualizaron una vez más su programa malicioso. Los cambios de sus funciones, en comparación con las anteriores modificaciones del gusano, fueron las siguientes:
– el gusano trataba de conectarse con el sitio de una red social china,
– el gusano tenía la capacidad de descargar ficheros.
El mensaje SMS que el gusano enviaba para propagarse contenía la propuesta de averiguar los detalles de la vida privada de la popular actriz china Zhang Ziyi. Si el usuario seguía el enlace usando su conexión móvil a Internet, se le proponía descargar e instalar el fichero LanPackage.sisx. Pero si se usaba un navegador instalado en un ordenador, el enlace llevaba a una página con el mensaje “error 404”.
En otras palabras, el servidor remoto analizaba el campo User-Agent (que contiene información sobre la aplicación, sistema operativo e idioma) y si se usaba Internet “no móvil”, mostraba el mensaje de error.
En el momento en que se descubrió el gusano, la función de descarga del fichero funcionaba bien, pero en el servidor remoto no había ficheros para descargar.
Al llegar el otoño de 2009, Worm.SymbOS.Yxe seguía siendo el único programa malicioso con firma digital para dispositivos con Symbian S60 3rd edition. En octubre de 2009 nuestra compañía descubrió un nuevo troyano SMS para smartphones con Symbian S60 3rd edition, Trojan-SMS.SymbOS.Lopsoy. Y también tenía la firma digital de Symbian.
Información de la firma digital del troyano
El troyano estaba ubicado en diferentes sitios de hosting de ficheros, disfrazado de diferentes aplicaciones y juegos móviles, entre ellos de contenido erótico. Al irrumpir en el smartphone del usuario, el programa malicioso:
- usaba la ejecución automática,
- se camuflaba en la lista de procesos,
- buscaba puntos de acceso a Internet para conectarse con el servidor remoto del delincuente,
- al conectarse al servidor recibía un número Premium, al que después enviaba un mensaje SMS y el texto del mensaje.
URL del servidor remoto en el cuerpo del troyano
A diferencia de los troyanos SMS primitivos para J2ME, Lopsoy le brinda muchas más posibilidades al delincuente. El teléfono, una vez infectado por este programa malicioso, se conecta todo el tiempo al servidor remoto y el delincuente, por su parte, puede cambiar en cualquier momento el texto del mensaje SMS y el número al que se lo envía.
Como resultado, tenemos otro programa malicioso más con firma digital para Symbian S60 3rd edition, capaz de conectarse con un servidor remoto y recibir sus parámetros de funcionamiento.
A finales de septiembre de 2010 los especialistas de la compañía S21Sec descubrieron un programa malicioso que podía enviar mensajes SMS a determinado número. Nada fuera de lo común, para ser sinceros. Sin embargo, quedó claro que este programa malicioso, en primer lugar, tiene relación con el famoso Zbot (ZeuS) y en segundo lugar, a los delincuentes no les interesaban todos los mensajes SMS, sino sólo aquellos que contenían códigos de autentificación de operaciones bancarias online. Nuestro antivirus detectaba este programa malicioso como Trojan-Spy.SymbOS.Zbot.a.
El esquema del ataque es el siguiente:
- Desde el equipo infectado, Zbot roba los datos de acceso al banco online.
- Una vez que averigua el número de teléfono de la víctima, el delincuente envía un mensaje SMS al programa malicioso para smartphone.
- Si el usuario sigue el enlace malicioso, se le propone instalar una aplicación. Él puede instalarla (es decir, ejecutar el troyano) o puede negarse a hacerlo.
- El delincuente trata de hacer una operación online en el banco que requiere enviar una confirmación por SMS.
- El banco envía un mensaje SMS con el código de autentificación al número de teléfono de la víctima.
- El programa malicioso envía un mensaje al número de teléfono del delincuente.
- El delincuente recibe el código de autentificación y completa la operación online en el banco.
Este programa malicioso también tenía una firma digital legal.
La complejidad del ataque confirma que los intereses de los delincuentes están en constante expansión. Hasta el descubrimiento de este programa malicioso, la autentificación por SMS era uno de los métodos más seguros de protección de las operaciones bancarias online. Ahora los delincuentes han aprendido a burlar este nivel de defensa.
Windows Mobile
El sistema operativo Windows Mobile está perdiendo su posición en el mercado por varias razones:
- Microsoft va a lanzar un nuevo sistema operativo para smartphones, Windows Phone y está dejando de lado a Windows Mobile,
- la cantidad de nuevos modelos de smartphones con Windows Mobile preinstalado se está reduciendo,
- este sistema operativo no se actualiza desde hace tiempo.
Sin embargo, la disminución de la popularidad de este sistema operativo no ha influido en las actividades de los escritores de virus.
A finales de 2009 apareció un nuevo troyano SMS para Windows Mobile, Trojan-SMS.WinCE.Sejweek. En muchos aspectos era parecido a Lopsoy, descrito más arriba, pero hay diferencias.
En primer lugar, como Lospoy, Sejweek trata de comunicarse con un servidor remoto. Si el intento tiene éxito, el troyano descarga un fichero XML:
Fichero XML descargado por Sejweek
Es evidente que la información de algunas etiquetas está cifrada. En el código del troyano hay una tabla usada para descifrarla:
Tabla usada para descifrar la información
Si se descifra la información en las etiquetas
Fichero XML descifrado
Como podemos ver en el contenido de las etiquetas
Pero en el sistema operativo que estamos analizando este no es el único ejemplo de “monetización” del malware.
En 2010 por primera vez se descubrió un troyano que hace llamadas a teléfonos de pago. A finales de marzo, en diferentes sitios internacionales dedicados al software gratuito para smartphones con Windows Mobile, apareció un nuevo juego llamado “3D Antiterrorist”. Dentro de un archivo de 1,5 MB, además del juego, hay un fichero reg.exe, que en realidad es el programa troyano Trojan.WinCE.Terdial.a que hace llamadas a números de pago.
Después de ejecutar el fichero de instalación antiterrorist3d.cab, se instalaba el programa del juego en el directorio Program Files y se copiaba el fichero malicioso reg.exe (de 5632 bytes) en el directorio del sistema bajo el nombre smart32.exe.
Un análisis más detallado del código del programa malicioso mostró que:
- el programa malicioso fue creado por un escritor de virus de habla rusa,
- el programa malicioso usaba la función CeRunAppAtTime para lanzarse,
- después del primer lanzamiento, el troyano hacía llamadas a 6 diferentes números Premium al mes.
Lista de números a los cuales se hacen las llamadas
+882******7 – International Networks
+1767******1 – República Dominicana
+882******7 – International Networks
+252*******1 – Somalia
+239******1 – Santo Tomé y Príncipe
+881********3 – Global Mobile Satellite System
El escritor de virus que creó este troyano, para propagarlo usaba un software legal bastante popular (el juego Antiterrorist 3D, desarrollado por la compañía china Huike). No es ningún secreto que muchos usuarios instalan software gratuito o hackeado desde diferentes páginas web. Es justo en estos recursos que los delincuentes ponen su software malicioso disfrazado de legal. Esto fue lo que pasó en este caso. Y me temo que lo mismo pasará en muchos otros casos en el futuro.
iPhone
En el final de nuestro artículo “Virología móvil, parte III” suponíamos que la infección de iPhone sería posible sólo si los usuarios habían hackeado (jailbroken) sus dispositivos e instalado en el mismo aplicaciones de fuentes no oficiales. Nuestro pronóstico no se confirmó.
A principios de noviembre de 2010 se detectó el primer gusano para iPhone, que recibió el nombre de Net-Worm.IphoneOS.Ike.a. La amenaza afectó a los usuarios que habían “liberado” su iPhone o iPod Touch sin cambiar la contraseña preconfigurada de SSH. El gusano se reproduce usando esta peculiaridad del smartphone. Pero no causaba daños serios a los usuarios: lke cambiaba la imagen de fondo por otra de Rick Astley (un cantante de los años 80). El gusano no hacía nada más.
Pero al cabo de un par de semanas apareció un nuevo gusano para iPhone (Net-Worm.IphoneOS.Ike.b) que robaba los datos del usuario y permitía a los delincuentes controlar a distancia el smartphone robado. Esta modificación también atacaba a los usuarios de los iPhone y iPod Touch que no habían cambiado la contraseña predeterminada de SSH.
La “vulnerabilidad” usada en Ike.b
Resultaron afectados los usuarios del banco holandés ING Direct. Al tratar de entrar al sitio web del banco desde un smartphone infectado por el gusano, el usuario iba a parar a un sitio phishing. Si el usuario ingresaba en la página phishing sus datos, en realidad se las enviaba a los delincuentes.
De esta manera, Ike es un programa malicioso para iPhone y iPod Touch que de verdad puede generar ganancias.
Android
La plataforma Android, que ya ha alcanzado a ocupar una buena tajada del mercado, por un tiempo fue ignorada por los escritores de virus. Pero todo cambió en agosto de 2010, cuando se descubrió el primer programa malicioso para este sistema operativo. Desde entonces no solo han aparecido nuevas modificaciones del primer programa malicioso, sino también otros para Android, que en la actualidad están agrupados en siete familias.
Trojan-SMS.AndroidOS.FakePlayer
Como ya hemos mencionado, el primer programa malicioso para smartphones con Android que se podía encontrar en el mundo real, Trojan-SMS.AndroidOS.FakePlayer, fue detectada en agosto de 2010.
Desgraciadamente, no tenemos nada en concreto que decir sobre los métodos de propagación de la primera modificación del troyano. Lo único que podemos afirmar es que FakePlayer no se distribuía desde la tienda oficial de aplicaciones de Android.
Si el smartphone del usuario se contagiaba con el programa malicioso, inmediatamente después de ejecutarse el troyano enviaba tres mensajes SMS a dos números cortos ubicados en Rusia.
La segunda modificación de Trojan-SMS.AndroidOS.FakePlayer apareció a principios de septiembre de 2010, es decir, cerca de un mes después de la primera. Las principales funcionalidades del programa malicioso no sufrieron grandes cambios. La detección de la segunda versión de FakePlayer arrojó luz sobre algunos aspectos de su forma de propagación. Es sabido que los delincuentes explotan el interés de ciertos usuarios por la pornografía para propagar programas maliciosos. En el caso de FakePlayer la pornografía también jugó un importante papel.
Hoy en día, en el segmento ruso de Internet los dueños de sitios pornográficos de pago ofrecen a sus usuarios la posibilidad de adquirir con rapidez acceso al contenido de sus páginas: el usuario envía un mensaje SMS con un texto determinado a un número Premium y después de cierto tiempo recibe el código de acceso para ingresar a la página principal del sitio web.
Trojan-SMS.AndroidOS.FakePlayer envía precisamente este tipo de mensajes de acceso a sitios pornográficos. Pero envía no uno, sino cuatro mensajes al mismo tiempo. Pero ¿de qué manera llega el troyano a los teléfonos móviles de los usuarios?
Es evidente que muchos usuarios llegan a los sitios pornográficos por medio de los sistemas de búsqueda. Los dueños de sitios pornográficos con Trojan-SMS.AndroidOS.FakePlayer, con la ayuda de métodos de optimización de la búsqueda (SEO) hacen que los enlaces a sus sitios ocupen los lugares más altos en la lista resultante de las búsquedas relacionadas con pornografía.
Si el usuario se encuentra frente a su equipo personal, los acontecimientos se desarrollan más o menos de la siguiente forma:
usuario -> sistema de búsqueda -> solicitud “pornográfica” -> sitio pornográfico -> envío de SMS -> obtención del código de acceso -> entrada al sitio.
Pero ¿qué sucede si el usuario está usando un dispositivo móvil, por ejemplo un smartphone con el sistema operativo Android?
Los primeros tres eslabones de la cadena no cambian. Lo interesante empieza más adelante. Después de seguir uno de los enlaces pornográficos, se envía al servidor remoto de los delincuentes una solicitud http que incluye, entre otras cosas, el renglón User-Agent (que contiene información sobre la aplicación, sistema operativo e idioma).
El servidor remoto, a su vez, verifica la información del User-Agent. En el caso de que el usuario haya llegado al sitio con la ayuda de un navegador instalado en un ordenador de escritorio, verá un sitio pornográfico común y corriente. Pero si el usuario llegó al sitio con la ayuda de un navegador móvil instalado en el sistema operativo Android, de inmediato se le ofrecerá descargar el fichero pornoplayer.apk. En otras palabras, Trojan-SMS.AndroidOS.FakePlayer.
La secuencia es la siguiente:
usuario -> sistema de búsqueda -> solicitud pornográfica -> sitio pornográfico -> propuesta de descargar pornoplayer.apk -> instalación de la aplicación maliciosa -> lanzamiento del troyano -> el troyano envía cuatro mensajes SMS a números cortos de pago -> el delincuente recibe parte del dinero generado por el envío de SMS.
De esta manera, el usuario del sitio pornográfico obtiene un lucro adicional. Pero este lucro es ilegal.
Al analizar los sitios que propagan FakePlayer descubrimos un detalle interesante: los delincuentes usan el geotargetting,que les permite filtrar a los usuarios y enviar el fichero pornoplayer.apk sólo en el caso de que el usuario haya llegado desde una dirección IP rusa.
J2ME
Desde el momento en que escribimos “Virología móvil, parte III”, la plataforma J2ME ha venido ganando gran popularidad entre los escritores de virus. La aplastante mayoría de los programas maliciosos para la plataforma J2ME son troyanos SMS, pero no hay cambios sustanciales ni en sus funcionalidades, ni en sus métodos de propagación. Por esta razón, en este artículo no nos detendremos en los troyanos, sino que analizaremos un ejemplo de programa para J2ME destinado al robo de logins y contraseñas de una popular red social rusa.
En mayo de 2010 apareció un programa malicioso que trataba de robar el login y contraseña de VKontakte, una popular red social en Rusia. El programa malicioso estaba diseñado para la plataforma J2ME. Antes de la aparición de este troyano, nos habíamos topado sobre todo con troyanos SMS, pero nunca con programas que trataran de robar el login y contraseña de una red social.
Nuestro antivirus detectaba el programa como Trojan-PSW.J2ME.Vkonpass.a, que se hacía pasar como un programa de acceso a la red social VKontakte. Al ejecutarse, el troyano mostraba en la pantalla del dispositivo móvil una ventana en la que el usuario debía introducir su login y contraseña para, supuestamente, entrar a su página en la red social
Si el usuario ingresaba su login y contraseña, el programa malicioso trataba de enviar los datos al correo del delincuente mediante el protocolo SMTP. Si el intento fracasaba, en la pantalla aparecía el mensaje “Error de conexión”, pero en caso de tener éxito, mostraba “Error 401”.
¿Y qué después?
En el año que empieza las amenazas móviles seguirán las siguientes tendencias:
- Troyanos SMS. Actualmente, por desgracia, no existen premisas para que baje la cantidad de troyanos SMS. La legislación de algunos países sigue teniendo muchas lagunas y los delincuentes tienen la posibilidad de usar los números cortos desde el más absoluto anonimato.
- Crecimiento de la cantidad de amenazas para Android. Esta plataforma está adquiriendo cada vez más popularidad, lo que se refleja en el dinamismo con que los delincuentes se dedican a sus actividades.
- La cantidad de las vulnerabilidades descubiertas en diferentes plataformas móviles crecerá, y también es posible que lo hagan los ataques que las aprovechen. Hasta hoy no se ha registrado ni un solo ataque de grandes dimensiones que use alguna vulnerabilidad crítica. Una de estas vulnerabilidades es la descubierta en iOS el 4 de agosto (el parche correspondiente se publicó el 11 de agosto) y que podía conducir a la ejecución de cualquier código en el sistema. Si el usuario trataba de abrir un PDF elaborado de una forma específica, esto podía causar el rebalsamiento del stack, permitiendo la ejecución, con los más altos privilegios, de cualquier código en el sistema. ¿Se usó esta vulnerabilidad para lanzar ataques contra los smartphones? No tenemos información sobre ningún hecho de este tipo. Solo sabemos a ciencia cierta que la vulnerabilidad fue usada para hacer mucho más sencillo el uso de jailbreak en el smartphone.
- Crecimiento de la cantidad del software espía. Este tipo de software se puede usar para monitorizar las actividades de terceras personas, para hacer espionaje industrial y para recibir información secreta (por ejemplo, correspondencia).
Tampoco hay que olvidar las tablets. Son precisamente estos dispositivos los que predominarán en 2011. En 2010 Apple lanzó al mercado iPad, que funcionaba con el mismo sistema operativo que iPhone. Existen planes de producción de tablets con Android (varios fabricantes ya lo han anunciado). La compañía RIM pronto empezará a vender un dispositivo similar, pero con Blackberry.
Estos dispositivos brindan a sus usuarios muchas más prestaciones que los smartphones: edición de documentos, navegación web cómoda, visualización de películas, juegos, etc. Por lo tanto, serán muy populares entre los usuarios.
Pero desde el punto de vista de los sistemas operativos, todo seguirá como antes. En esencia, tendremos que vérnoslas con los sistemas operativos iOS, AndroidOS, BlackberryOS y otros optimizados para pantallas grandes. Por lo tanto, para el funcionamiento del software malicioso no habrá ninguna diferencia si lo hace en un smartphone o en una tablet.
Hay otro “pero”: el smartphone y una tablet no son intercambiables por una sencilla razón: la tablet no tiene la función de teléfono. Por esto, es más que probable que si un usuario tiene una tablet, también tenga un smartphone. Por consiguiente, la cantidad de blancos potenciales de los delincuentes crecerá, lo que provocará que aumente el número de programas maliciosos correspondientes.
Virología móvil, IV parte