Informes sobre malware

Virología móvil, IV parte

Introducción

Desde la publicación del artículo “Virología móvil III” han ocurrido varios acontecimientos muy serios.

En primer lugar, han cambiado las proporciones entre los diferentes sistemas operativos para dispositivos móviles. El sistema operativo Android está ganando popularidad y en este momento ha dejado atrás a Windows Mobile. Los sistemas operativos iOS y Blackberry también han aumentado su presencia en el mercado. Por el contrario, Symbian sigue perdiendo posiciones, a pesar de que sigue siendo el líder mundial.

En segundo lugar, se ha alargado la lista de plataformas para las cuales existen casos comprobados de programas maliciosos. Ahora también es parte de la lista iOS (sistema operativo para iPhone/iPod/iPad) y Android. Como suponíamos, han aparecido programas maliciosos para iOS, capaces de infectar sólo los smarphones “liberados” (jailbroken).

En tercer lugar, los programas maliciosos y los ataques en general se han vuelto más complejos.

Por último, la aplastante mayoría de los programas maliciosos detectados por nuestra compañía el último año estaban, de una forma u otra, destinados a robar dinero a los usuarios.

Como de costumbre, empezamos nuestro análisis con la estadística.

Familias y modificaciones. Estadística y cambios

La popularidad de los smartphones y el crecimiento del número de los nuevos servicios traen consigo el crecimiento de los programas maliciosos usados por los delincuentes para tratar de lucrar con los usuarios de dispositivos móviles.

Hacia mediados de agosto de 2009 registramos 106 familias y 514 modificaciones de programas maliciosos para dispositivos móviles. Para finales de 2010 las cifras cambiaron de la siguiente manera: 153 familias y más de 1000 modificaciones. Es decir, en 2010 detectamos un 65,12% más programas maliciosos para dispositivos móviles que en 2009 y casi el doble que 17 meses antes.

Según la estadística de 2010 la situación era esta:

Plataforma Cantidad de familias Cantidad de modificaciones
J2ME 45 613
Symbian 74 311
Python 5 60
Windows Mobile 16 54
AndroidOS 7 15
Sgold 3 4
MSIL 2 4
IphoneOS 1 2

Cantidad de familias y modificaciones según plataformas

Estos datos se pueden representar en forma de diagrama:

 
Distribución de las modificaciones de los objetos detectados según plataforma

Cabe destacar que los escritores de virus empezaron a producir troyanos J2ME en cantidades industriales: por la cantidad de modificaciones los programas maliciosos para J2ME dejaron atrás a los programas para Symbian. Recordamos que las aplicaciones maliciosas escritas en Java representan peligro no solo para los usuarios de smartphones, sino para casi todos los usuarios de teléfonos celulares comunes y corrientes. En su mayoría, estos programas maliciosos tratan de enviar mensajes SMS a un número corto.

 
Crecimiento de las modificaciones conocidas (2004-2010)

 
Dinámica mensual de aparición de nuevas modificaciones (2004-2010)

Programas maliciosos para dispositivos móviles aparecidos desde agosto de 2009 hasta diciembre de 2010 (por familias):

Familia Fecha de detección Plataforma
Trojan-SMS.Kipla agosto 09 J2ME
Trojan-SMS.Jifake agosto 09 J2ME
Trojan-SMS.Vkofk septiembre 09 J2ME
Trojan-SMS.Cyppy septiembre 09 WinCE
Trojan-SMS.Lopsoy octubre 09 Symbian
Trojan-SMS.BadAssist noviembre 09 Symbian
Net-Worm.Ike noviembre 09 IphoneOS
Trojan-SMS.VScreener noviembre 09 J2ME
Trojan-SMS.Levar noviembre 09 WinCE
Trojan-SMS.Druleg diciembre 09 J2ME
not-a-virus:Monitor.Flesp diciembre 09 Symbian
not-a-virus:Monitor.Dadsey diciembre 09 Symbian
Trojan-SMS.Sejweek diciembre 09 WinCE
Trojan-SMS.Luanch febrero 09 WinCE
Trojan-Spy.Cripper febrero 09 WinCE
Trojan-SMS.Picong marzo 09 J2ME
Worm.Megoro marzo 10 Symbian
Trojan.Terdial marzo 10 WinCE
not-a-virus:Montior.Mobspy abril 10 WinCE
Trojan-SMS.Smmer abril 10 J2ME
Trojan-Spy.Mijispy abril 10 J2ME
Trojan-PSW.Vkonpass mayo 10 J2ME
Trojan-SMS.Slishow mayo 10 J2ME
not-a-virus:Monitor.Bond006 junio 10 WinCE
not-a-virus:Monitor.Bond006 junio 10 Symbian
Trojan-PSW.Facekob junio 10 Python
not-a-virus:Monitor.RedGoldEye junio 10 WinCE
SMS-Flooder.Spammo junio 10 J2ME
Trojan-SMS.Zonagal junio 10 J2ME
Trojan-PSW.Liamgpass junio 10 Python
Worm.Sagasi junio 10 Symbian
Trojan-Spy.Reples junio 10 Symbian
Trojan-SMS.FakePlayer agosto 10 AndroidOS
not-a-virus:Monitor.Tapsnake agosto 10 AndroidOS
Trojan-SMS.Abcmag agosto 10 WinCE
Trojan-Spy.Zbot septiembre 10 Symbian
Worm.Nmplug noviembre 10 Symbian
Trojan-Spy.GPSpy noviembre 10 AndroidOS
Trojan-Spy.Fakeview noviembre 10 AndroidOS
Trojan-SMS.Pocha noviembre 10 WinCE
Trojan-PSW.FakeLogin diciembre 10 J2ME
Trojan-Downloader.Minplay diciembre 10 Symbian
not-a-virus:Monitor.Replicator diciembre 10 AndroidOS

Total: 46 nuevas familias

Número de nuevas modificaciones y nuevas familias de programas maliciosos para diferentes plataformas detectadas en el periodo que va desde agosto de 2009 hasta diciembre de 2010 inclusive:

Plataforma Cantidad de nuevas
familias
Cantidad de nuevas
modificaciones
J2ME 13 431
Symbian 12 58
Python 2 15
Windows Mobile 11 28
AndroidOS 7 15
IphoneOS 1 2
Total: 46 549

Lo nuevo

Formas de convertir los programas maliciosos móviles en dinero en efectivo

En el mundo del malware móvil siguen predominando los programas que envían mensajes de texto a números premium cortos. Para los delincuentes, el uso de troyanos SMS sigue siendo la forma más fácil y efectiva de ganar dinero. El motivo es bastante simple: cualquier dispositivo móvil, ya sea un Smartphone o un teléfono celular común y corriente, está directamente relacionado con el dinero real del usuario, es decir, su cuenta móvil. Y es justo esta “relación directa” la que explotan los delincuentes.

Incluso los dueños de sitios pornográficos están aprovechando uno de estos troyanos SMS: desde los smartphones infectados por Trojan-SMS.AndroidOS.FakePlayer se enviaba al mismo tiempo cuatro mensajes SMS a un número usado para pagar por el acceso a materiales pornográficos.

Sin embargo, desde 2010 el envío de SMS de pago ha dejado de ser el único método que los escritores de virus para plataformas móviles usan para lucrar ilegalmente.

En 2010, por primera vez en los 6 años de la historia del malware móvil, se detectó un troyano (Trojan.WinCE.Terdial.a) que hace llamadas a números de pago en el extranjero.

Por su parte, los delincuentes usaban un gusano para iPhone (Net-Worm.IphoneOS.Ike.b) durante un ataque que tuvo como blanco a los usuarios de un banco holandés. Al tratar de entrar al sitio web del banco desde un Smartphone infectado por el gusano, el usuario iba a parar a un sitio phishing.

Hizo su aparición un programa malicioso (Trojan-Spy.SymbOS.Zbot.a) con cuya ayuda los delincuentes aprendieron a burlar la autentificación SMS de los usuarios de la banca online. Este troyano móvil fue usado en un complejo ataque junto con un programa malicioso tan peligroso como Zbot (ZeuS).

Más adelante puede leer más información sobre estos y otros programas maliciosos.

Tecnologías

Desde la publicación del anterior informe, no han aparecido programas maliciosos con nuevas tecnologías. Sin embargo los nuevos programas maliciosos usan las tecnologías conocidas en las más peligrosas y desagradables combinaciones.

Por ejemplo, los programas maliciosos están, con cada vez más frecuencia, interactuando con los servidores de los delincuentes. Ahora los delincuentes pueden:

  • recibir de inmediato los datos robados a los usuarios,
  • actualizar los parámetros de funcionamiento del software malicioso,
  • reunir los dispositivos móviles infectados para organizar botnets.

Esto significa que los ataques de los programas maliciosos móviles están alcanzando un nuevo nivel.

Amenazas móviles fuera del laboratorio

A continuación haremos un análisis de los programas maliciosos más importantes para diferentes plataformas, descubiertos entre agosto de 2009 y diciembre de 2010.

Symbian

Worm.SymbOS.Yxe

A principios de la segunda mitad de 2009 se detectó una nueva variante (la cuarta) del gusano Worm.SymbOS.Yxe.

Recordamos que Yxe, aparecido a principios de 2009 fue el primer programa malicioso para smartphones con Symbian S60 3rd edition. Este programa malicioso, además de propagarse a sí mismo mediante mensajes de texto y recopilar cierta información sobre el teléfono y su dueño, tenía otra peculiaridad: todas sus modificaciones contaban con la firma digital de Symbian y podían funcionar en casi todos los dispositivos con Symbian S60 3rd edition.

La cuarta modificación del gusano, Yxe.d, no sólo enviaba mensajes SMS, sino que modificaba las plantillas SMS cuando se conectaba al servidor. Yxe.d demostró que los programas maliciosos móviles son capaces de funcionar con los servidores remotos de los delincuentes, recibir de ellos actualizaciones e instrucciones, por desgracia, con gran efectividad. ¿Qué nos dice todo esto? ¡Que existe la posibilidad de crear botnes móviles!

El primer programa malicioso para dispositivos móviles que recibía instrucciones de los delincuentes (Backdoor.WinCE.Brador) apareció en agosto de 2004. Sin embargo, en ese momento no era una amenaza seria, ya que los smartphones no podían estar conectados a Internet todo el tiempo. En cambio hoy, cuando las tecnologías inalámbricas están ampliamente difundidas y el Internet móvil ha bajado considerablemente de precio, la probabilidad de aparición de programas maliciosos que de una forma u otra interactúan con el servidor remoto del delincuente es mucho mayor.

Después de la aparición de la versión .d hubo un periodo de inactividad. A principios de 2010 los escritores de virus chinos responsables de la creación de Worm.SymbOS.Yxe actualizaron una vez más su programa malicioso. Los cambios de sus funciones, en comparación con las anteriores modificaciones del gusano, fueron las siguientes:

– el gusano trataba de conectarse con el sitio de una red social china,
– el gusano tenía la capacidad de descargar ficheros.

El mensaje SMS que el gusano enviaba para propagarse contenía la propuesta de averiguar los detalles de la vida privada de la popular actriz china Zhang Ziyi. Si el usuario seguía el enlace usando su conexión móvil a Internet, se le proponía descargar e instalar el fichero LanPackage.sisx. Pero si se usaba un navegador instalado en un ordenador, el enlace llevaba a una página con el mensaje “error 404”.


En otras palabras, el servidor remoto analizaba el campo User-Agent (que contiene información sobre la aplicación, sistema operativo e idioma) y si se usaba Internet “no móvil”, mostraba el mensaje de error.

En el momento en que se descubrió el gusano, la función de descarga del fichero funcionaba bien, pero en el servidor remoto no había ficheros para descargar.

Trojan-SMS.SymbOS.Lopsoy

Al llegar el otoño de 2009, Worm.SymbOS.Yxe seguía siendo el único programa malicioso con firma digital para dispositivos con Symbian S60 3rd edition. En octubre de 2009 nuestra compañía descubrió un nuevo troyano SMS para smartphones con Symbian S60 3rd edition, Trojan-SMS.SymbOS.Lopsoy. Y también tenía la firma digital de Symbian.


Información de la firma digital del troyano

El troyano estaba ubicado en diferentes sitios de hosting de ficheros, disfrazado de diferentes aplicaciones y juegos móviles, entre ellos de contenido erótico. Al irrumpir en el smartphone del usuario, el programa malicioso:

  1. usaba la ejecución automática,
  2. se camuflaba en la lista de procesos,
  3. buscaba puntos de acceso a Internet para conectarse con el servidor remoto del delincuente,
  4. al conectarse al servidor recibía un número Premium, al que después enviaba un mensaje SMS y el texto del mensaje.


URL del servidor remoto en el cuerpo del troyano

A diferencia de los troyanos SMS primitivos para J2ME, Lopsoy le brinda muchas más posibilidades al delincuente. El teléfono, una vez infectado por este programa malicioso, se conecta todo el tiempo al servidor remoto y el delincuente, por su parte, puede cambiar en cualquier momento el texto del mensaje SMS y el número al que se lo envía.

Como resultado, tenemos otro programa malicioso más con firma digital para Symbian S60 3rd edition, capaz de conectarse con un servidor remoto y recibir sus parámetros de funcionamiento.

Trojan-Spy.SymbOS.Zbot

A finales de septiembre de 2010 los especialistas de la compañía S21Sec descubrieron un programa malicioso que podía enviar mensajes SMS a determinado número. Nada fuera de lo común, para ser sinceros. Sin embargo, quedó claro que este programa malicioso, en primer lugar, tiene relación con el famoso Zbot (ZeuS) y en segundo lugar, a los delincuentes no les interesaban todos los mensajes SMS, sino sólo aquellos que contenían códigos de autentificación de operaciones bancarias online. Nuestro antivirus detectaba este programa malicioso como Trojan-Spy.SymbOS.Zbot.a.

El esquema del ataque es el siguiente:

  1. Desde el equipo infectado, Zbot roba los datos de acceso al banco online.
  2. Una vez que averigua el número de teléfono de la víctima, el delincuente envía un mensaje SMS al programa malicioso para smartphone.
  3. Si el usuario sigue el enlace malicioso, se le propone instalar una aplicación. Él puede instalarla (es decir, ejecutar el troyano) o puede negarse a hacerlo.
  4. El delincuente trata de hacer una operación online en el banco que requiere enviar una confirmación por SMS.
  5. El banco envía un mensaje SMS con el código de autentificación al número de teléfono de la víctima.
  6. El programa malicioso envía un mensaje al número de teléfono del delincuente.
  7. El delincuente recibe el código de autentificación y completa la operación online en el banco.

Este programa malicioso también tenía una firma digital legal.

La complejidad del ataque confirma que los intereses de los delincuentes están en constante expansión. Hasta el descubrimiento de este programa malicioso, la autentificación por SMS era uno de los métodos más seguros de protección de las operaciones bancarias online. Ahora los delincuentes han aprendido a burlar este nivel de defensa.

Windows Mobile

El sistema operativo Windows Mobile está perdiendo su posición en el mercado por varias razones:

  1. Microsoft va a lanzar un nuevo sistema operativo para smartphones, Windows Phone y está dejando de lado a Windows Mobile,
  2. la cantidad de nuevos modelos de smartphones con Windows Mobile preinstalado se está reduciendo,
  3. este sistema operativo no se actualiza desde hace tiempo.

Sin embargo, la disminución de la popularidad de este sistema operativo no ha influido en las actividades de los escritores de virus.

Trojan-SMS.WinCE.Sejweek

A finales de 2009 apareció un nuevo troyano SMS para Windows Mobile, Trojan-SMS.WinCE.Sejweek. En muchos aspectos era parecido a Lopsoy, descrito más arriba, pero hay diferencias.

En primer lugar, como Lospoy, Sejweek trata de comunicarse con un servidor remoto. Si el intento tiene éxito, el troyano descarga un fichero XML:


Fichero XML descargado por Sejweek

Es evidente que la información de algunas etiquetas está cifrada. En el código del troyano hay una tabla usada para descifrarla:


Tabla usada para descifrar la información

Si se descifra la información en las etiquetas e , tenemos lo siguiente:


Fichero XML descifrado

Como podemos ver en el contenido de las etiquetas e , el programa malicioso envía desde el teléfono infectado mensajes SMS de pago al número 1151 cada 11 minutos. Si tomamos en consideración que el troyano actualiza regularmente el fichero XML, es decir, descarga nuevos datos para enviar mensajes SMS, es fácil entender que puede consumir rápidamente el balance del teléfono móvil infectado.

Pero en el sistema operativo que estamos analizando este no es el único ejemplo de “monetización” del malware.

Trojan.WinCE.Terdial

En 2010 por primera vez se descubrió un troyano que hace llamadas a teléfonos de pago. A finales de marzo, en diferentes sitios internacionales dedicados al software gratuito para smartphones con Windows Mobile, apareció un nuevo juego llamado “3D Antiterrorist”. Dentro de un archivo de 1,5 MB, además del juego, hay un fichero reg.exe, que en realidad es el programa troyano Trojan.WinCE.Terdial.a que hace llamadas a números de pago.

Después de ejecutar el fichero de instalación antiterrorist3d.cab, se instalaba el programa del juego en el directorio Program Files y se copiaba el fichero malicioso reg.exe (de 5632 bytes) en el directorio del sistema bajo el nombre smart32.exe.

Un análisis más detallado del código del programa malicioso mostró que:

  • el programa malicioso fue creado por un escritor de virus de habla rusa,
  • el programa malicioso usaba la función CeRunAppAtTime para lanzarse,
  • después del primer lanzamiento, el troyano hacía llamadas a 6 diferentes números Premium al mes.


Lista de números a los cuales se hacen las llamadas

+882******7 – International Networks
+1767******1 – República Dominicana
+882******7 – International Networks
+252*******1 – Somalia
+239******1 – Santo Tomé y Príncipe
+881********3 – Global Mobile Satellite System

El escritor de virus que creó este troyano, para propagarlo usaba un software legal bastante popular (el juego Antiterrorist 3D, desarrollado por la compañía china Huike). No es ningún secreto que muchos usuarios instalan software gratuito o hackeado desde diferentes páginas web. Es justo en estos recursos que los delincuentes ponen su software malicioso disfrazado de legal. Esto fue lo que pasó en este caso. Y me temo que lo mismo pasará en muchos otros casos en el futuro.

iPhone

En el final de nuestro artículo “Virología móvil, parte III” suponíamos que la infección de iPhone sería posible sólo si los usuarios habían hackeado (jailbroken) sus dispositivos e instalado en el mismo aplicaciones de fuentes no oficiales. Nuestro pronóstico no se confirmó.

Net-Worm.IphoneOS.Ike

A principios de noviembre de 2010 se detectó el primer gusano para iPhone, que recibió el nombre de Net-Worm.IphoneOS.Ike.a. La amenaza afectó a los usuarios que habían “liberado” su iPhone o iPod Touch sin cambiar la contraseña preconfigurada de SSH. El gusano se reproduce usando esta peculiaridad del smartphone. Pero no causaba daños serios a los usuarios: lke cambiaba la imagen de fondo por otra de Rick Astley (un cantante de los años 80). El gusano no hacía nada más.

Pero al cabo de un par de semanas apareció un nuevo gusano para iPhone (Net-Worm.IphoneOS.Ike.b) que robaba los datos del usuario y permitía a los delincuentes controlar a distancia el smartphone robado. Esta modificación también atacaba a los usuarios de los iPhone y iPod Touch que no habían cambiado la contraseña predeterminada de SSH.


La “vulnerabilidad” usada en Ike.b

Resultaron afectados los usuarios del banco holandés ING Direct. Al tratar de entrar al sitio web del banco desde un smartphone infectado por el gusano, el usuario iba a parar a un sitio phishing. Si el usuario ingresaba en la página phishing sus datos, en realidad se las enviaba a los delincuentes.

De esta manera, Ike es un programa malicioso para iPhone y iPod Touch que de verdad puede generar ganancias.

Android

La plataforma Android, que ya ha alcanzado a ocupar una buena tajada del mercado, por un tiempo fue ignorada por los escritores de virus. Pero todo cambió en agosto de 2010, cuando se descubrió el primer programa malicioso para este sistema operativo. Desde entonces no solo han aparecido nuevas modificaciones del primer programa malicioso, sino también otros para Android, que en la actualidad están agrupados en siete familias.

Trojan-SMS.AndroidOS.FakePlayer

Como ya hemos mencionado, el primer programa malicioso para smartphones con Android que se podía encontrar en el mundo real, Trojan-SMS.AndroidOS.FakePlayer, fue detectada en agosto de 2010.

Desgraciadamente, no tenemos nada en concreto que decir sobre los métodos de propagación de la primera modificación del troyano. Lo único que podemos afirmar es que FakePlayer no se distribuía desde la tienda oficial de aplicaciones de Android.

Si el smartphone del usuario se contagiaba con el programa malicioso, inmediatamente después de ejecutarse el troyano enviaba tres mensajes SMS a dos números cortos ubicados en Rusia.

La segunda modificación de Trojan-SMS.AndroidOS.FakePlayer apareció a principios de septiembre de 2010, es decir, cerca de un mes después de la primera. Las principales funcionalidades del programa malicioso no sufrieron grandes cambios. La detección de la segunda versión de FakePlayer arrojó luz sobre algunos aspectos de su forma de propagación. Es sabido que los delincuentes explotan el interés de ciertos usuarios por la pornografía para propagar programas maliciosos. En el caso de FakePlayer la pornografía también jugó un importante papel.

Hoy en día, en el segmento ruso de Internet los dueños de sitios pornográficos de pago ofrecen a sus usuarios la posibilidad de adquirir con rapidez acceso al contenido de sus páginas: el usuario envía un mensaje SMS con un texto determinado a un número Premium y después de cierto tiempo recibe el código de acceso para ingresar a la página principal del sitio web.

Trojan-SMS.AndroidOS.FakePlayer envía precisamente este tipo de mensajes de acceso a sitios pornográficos. Pero envía no uno, sino cuatro mensajes al mismo tiempo. Pero ¿de qué manera llega el troyano a los teléfonos móviles de los usuarios?

Es evidente que muchos usuarios llegan a los sitios pornográficos por medio de los sistemas de búsqueda. Los dueños de sitios pornográficos con Trojan-SMS.AndroidOS.FakePlayer, con la ayuda de métodos de optimización de la búsqueda (SEO) hacen que los enlaces a sus sitios ocupen los lugares más altos en la lista resultante de las búsquedas relacionadas con pornografía.

Si el usuario se encuentra frente a su equipo personal, los acontecimientos se desarrollan más o menos de la siguiente forma:

usuario -> sistema de búsqueda -> solicitud “pornográfica” -> sitio pornográfico -> envío de SMS -> obtención del código de acceso -> entrada al sitio.

Pero ¿qué sucede si el usuario está usando un dispositivo móvil, por ejemplo un smartphone con el sistema operativo Android?

Los primeros tres eslabones de la cadena no cambian. Lo interesante empieza más adelante. Después de seguir uno de los enlaces pornográficos, se envía al servidor remoto de los delincuentes una solicitud http que incluye, entre otras cosas, el renglón User-Agent (que contiene información sobre la aplicación, sistema operativo e idioma).

El servidor remoto, a su vez, verifica la información del User-Agent. En el caso de que el usuario haya llegado al sitio con la ayuda de un navegador instalado en un ordenador de escritorio, verá un sitio pornográfico común y corriente. Pero si el usuario llegó al sitio con la ayuda de un navegador móvil instalado en el sistema operativo Android, de inmediato se le ofrecerá descargar el fichero pornoplayer.apk. En otras palabras, Trojan-SMS.AndroidOS.FakePlayer.

La secuencia es la siguiente:

usuario -> sistema de búsqueda -> solicitud pornográfica -> sitio pornográfico -> propuesta de descargar pornoplayer.apk -> instalación de la aplicación maliciosa -> lanzamiento del troyano -> el troyano envía cuatro mensajes SMS a números cortos de pago -> el delincuente recibe parte del dinero generado por el envío de SMS.

De esta manera, el usuario del sitio pornográfico obtiene un lucro adicional. Pero este lucro es ilegal.

Al analizar los sitios que propagan FakePlayer descubrimos un detalle interesante: los delincuentes usan el geotargetting,que les permite filtrar a los usuarios y enviar el fichero pornoplayer.apk sólo en el caso de que el usuario haya llegado desde una dirección IP rusa.

J2ME

Desde el momento en que escribimos “Virología móvil, parte III”, la plataforma J2ME ha venido ganando gran popularidad entre los escritores de virus. La aplastante mayoría de los programas maliciosos para la plataforma J2ME son troyanos SMS, pero no hay cambios sustanciales ni en sus funcionalidades, ni en sus métodos de propagación. Por esta razón, en este artículo no nos detendremos en los troyanos, sino que analizaremos un ejemplo de programa para J2ME destinado al robo de logins y contraseñas de una popular red social rusa.

Trojan-PSW.J2ME.Vkonpass.a

En mayo de 2010 apareció un programa malicioso que trataba de robar el login y contraseña de VKontakte, una popular red social en Rusia. El programa malicioso estaba diseñado para la plataforma J2ME. Antes de la aparición de este troyano, nos habíamos topado sobre todo con troyanos SMS, pero nunca con programas que trataran de robar el login y contraseña de una red social.

Nuestro antivirus detectaba el programa como Trojan-PSW.J2ME.Vkonpass.a, que se hacía pasar como un programa de acceso a la red social VKontakte. Al ejecutarse, el troyano mostraba en la pantalla del dispositivo móvil una ventana en la que el usuario debía introducir su login y contraseña para, supuestamente, entrar a su página en la red social


Si el usuario ingresaba su login y contraseña, el programa malicioso trataba de enviar los datos al correo del delincuente mediante el protocolo SMTP. Si el intento fracasaba, en la pantalla aparecía el mensaje “Error de conexión”, pero en caso de tener éxito, mostraba “Error 401”.

¿Y qué después?

En el año que empieza las amenazas móviles seguirán las siguientes tendencias:

  1. Troyanos SMS. Actualmente, por desgracia, no existen premisas para que baje la cantidad de troyanos SMS. La legislación de algunos países sigue teniendo muchas lagunas y los delincuentes tienen la posibilidad de usar los números cortos desde el más absoluto anonimato.
  2. Crecimiento de la cantidad de amenazas para Android. Esta plataforma está adquiriendo cada vez más popularidad, lo que se refleja en el dinamismo con que los delincuentes se dedican a sus actividades.
  3. La cantidad de las vulnerabilidades descubiertas en diferentes plataformas móviles crecerá, y también es posible que lo hagan los ataques que las aprovechen. Hasta hoy no se ha registrado ni un solo ataque de grandes dimensiones que use alguna vulnerabilidad crítica. Una de estas vulnerabilidades es la descubierta en iOS el 4 de agosto (el parche correspondiente se publicó el 11 de agosto) y que podía conducir a la ejecución de cualquier código en el sistema. Si el usuario trataba de abrir un PDF elaborado de una forma específica, esto podía causar el rebalsamiento del stack, permitiendo la ejecución, con los más altos privilegios, de cualquier código en el sistema. ¿Se usó esta vulnerabilidad para lanzar ataques contra los smartphones? No tenemos información sobre ningún hecho de este tipo. Solo sabemos a ciencia cierta que la vulnerabilidad fue usada para hacer mucho más sencillo el uso de jailbreak en el smartphone.
  4. Crecimiento de la cantidad del software espía. Este tipo de software se puede usar para monitorizar las actividades de terceras personas, para hacer espionaje industrial y para recibir información secreta (por ejemplo, correspondencia).

Tampoco hay que olvidar las tablets. Son precisamente estos dispositivos los que predominarán en 2011. En 2010 Apple lanzó al mercado iPad, que funcionaba con el mismo sistema operativo que iPhone. Existen planes de producción de tablets con Android (varios fabricantes ya lo han anunciado). La compañía RIM pronto empezará a vender un dispositivo similar, pero con Blackberry.

Estos dispositivos brindan a sus usuarios muchas más prestaciones que los smartphones: edición de documentos, navegación web cómoda, visualización de películas, juegos, etc. Por lo tanto, serán muy populares entre los usuarios.

Pero desde el punto de vista de los sistemas operativos, todo seguirá como antes. En esencia, tendremos que vérnoslas con los sistemas operativos iOS, AndroidOS, BlackberryOS y otros optimizados para pantallas grandes. Por lo tanto, para el funcionamiento del software malicioso no habrá ninguna diferencia si lo hace en un smartphone o en una tablet.

Hay otro “pero”: el smartphone y una tablet no son intercambiables por una sencilla razón: la tablet no tiene la función de teléfono. Por esto, es más que probable que si un usuario tiene una tablet, también tenga un smartphone. Por consiguiente, la cantidad de blancos potenciales de los delincuentes crecerá, lo que provocará que aumente el número de programas maliciosos correspondientes.

Virología móvil, IV parte

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada