Autores
Introducción
Han pasado casi tres años desde la publicación de los dos primeros artículos del ciclo “Virología móvil’. Un lapso de tiempo tan considerable entre las publicaciones se debe a la casi completa interrupción de la evolución en el mundo de las amenazas móviles.
Durante los primeros dos años de su existencia (en los años 2004-2006), las amenazas móviles crecieron muy rápido, lo que causó la aparición de toda una gama de amenazas para los teléfonos móviles, casi idénticas a las de los ordenadores: virus, gusanos, troyanos, y entre ellos, espías, backdoors y programas publicitarios.
La base tecnológica para el ataque masivo a los usuarios de smartphones existía, pero no se dio un ataque de este tipo debido al rápido cambio de la situación en el mercado de los dispositivos móviles. Hace dos años la situación era la siguiente: había un líder absoluto, la plataforma Symbian, y luego estaban todos los demás. Si la cosa hubiera continuado igual hasta hoy, tendríamos que enfrentarnos a un montón de programas nocivos para los smartphones basados en Symbian. Pero todo cambió. Los fabricantes de teléfonos y otros sistemas operativos pudieron desplazar a Symbian (y a Nokia) de su puesto de líder. Hoy en día Nokia tiene cerca del 45% del mercado de smartphones.
La primera contribución a esta lucha se debe a Microsoft y su plataforma móvil – Windows Mobile. Todo empezó con una versión muy acertada de Windows Mobile 5, soportada por muchos fabricantes importantes de teléfonos. Luego apareció la sexta versión y la publicación de códigos iniciales del SO. Como consecuencia, a día de hoy Windows Mobile tiene cerca del 15% del mercado mundial de smartphones, y es líder en algunos países del mundo. Microsoft firmó licencias con cuatro de los fabricantes de teléfonos móviles más importantes (excepto el líder, que es Nokia), y actualmente el volumen de ventas de dispositivos de este tipo puede superar los 20 millones de móviles al año.
La posición de la empresa RIM, fabricante de los dispositivos BlackBerry, también mejoró considerablemente. Les recordamos que, hasta la fecha, no se ha localizado ningún programa nocivo para esta plataforma, excepto el backdoor conceptual BBproxy, creado por investigadores de vulnerabilidades.
Pero el suceso más destacado y notable de los últimos años ha sido el lanzamiento al mercado del dispositivo iPhone de la empresa Apple. Basado en la versión móvil de Mac OS X, de diseño propio, el teléfono se convirtió enseguida en uno de los más vendidos en el mundo, cumpliendo su objetivo de vender 10 millones de dispositivos a finales de 2008. Hasta hoy, se han vendido ya más de 21 millones de iPhone de todos los modelos, y si lo sumamos al iPod Touch (“iPhone” sin teléfono), la cantidad total de los dispositivos vendidos asciende a 37 millones.
Si a esto sumamos el lanzamiento del primer teléfono para la plataforma Android, diseñado por Google, con un montón de posibilidades para la creación de aplicaciones y para el uso de los servicios de Google, tendremos una situación de plena incertidumbre en cuanto a qué plataforma vamos a considerar como plataforma “base”.
El panorama es completamente diferente si hablamos de los ordenadores personales, donde claramente domina Windows. Y es que el éxito del sistema operativo es el factor más importante para los creadores de virus a la hora de seleccionar el objeto del ataque.
Al afrontar el problema de la ausencia de líder en el mercado de los sistemas operativos móviles, y, como consecuencia, al ser imposible el ataque simultáneo a la mayoría de usuarios, los creadores tuvieron que, primero, reducir el desarrollo a una plataforma determinada, y, segundo, intentar resolver el problema de “multiplataforma” en sus creaciones. Más abajo hablaremos de su fracaso.
Familias y modificaciones. Estadísticas y cambios.
El catálogo de programas maliciosos para los teléfonos móviles en la primera parte de “Virología móvil” de 2006 contenía 5 plataformas sujetas al contagio. Durante los últimos tres años se ha añadido tan solo una plataforma al número de plataformas atacadas por los virus móviles. Es la plataforma S/EGOLD (SGold, según la clasificación del Kaspersky Lab), en la que funcionan los teléfonos Siemens. La plataforma es abierta, lo que permite a los usuarios instalar sus propias aplicaciones en el teléfono.
| Plataforma | Número de familias |
Número de modificaciones |
| Symbian | 62 | 253 |
| J2ME | 31 | 182 |
| WinCE | 5 | 26 |
| Python | 3 | 45 |
| SGold | 3 | 4 |
| MSIL | 2 | 4 |
Podemos presentar estos datos en el diagrama:
Distribución de modificaciones de objetos detectables por plataformas
Tenemos que reconocer que los creadores de virus han podido resolver el problema de selección de la plataforma final, de la que hemos hablado más arriba. Eso sucedió mientras intentaban conseguir la “multiplataforma”. Al haber rechazado la creación de aplicaciones para una plataforma determinada, prestaron atención a Java 2 Micro Edition.
Casi todos los teléfonos modernos, sobretodo los smartphones, soportan Java y permiten ejecutar las aplicaciones Java que pueden ser descargadas desde Internet. Al aprender cómo diseñar aplicaciones Java nocivas, los creadores de virus no solamente han salido de la limitación de una sola plataforma, sino que también han podido aumentar considerablemente el campo de actuación – y es que la amenaza afecta tanto a smartphones como a teléfonos móviles normales.
A finales de agosto de 2006 había 31 familias y 170 modificaciones. A mediados de agosto de este año hemos detectado 106 familias y 514 modificaciones de objetos detectables para dispositivos móviles. De este modo, en tres años el número de objetos detectables para los dispositivos móviles aumentó un 202%. Del mismo modo, el número de familias aumentó un 235%.
Crecimiento del número de modificaciones conocidas (2004-2009)
Dinámicas de aparición de nuevas modificaciones por meses (2004-2009
Objetos detectables para dispositivos móviles, que aparecieron en el período de septiembre de 2006 a agosto de 2009, por familias:
| Familia | Fecha detección |
Plataforma | Descripción breve de la funcionalidad |
Número modificaciones |
| Wesber | sept.06 | J2ME | Envío de SMS | 1 |
| Acallno | sept.06 | Symbian | Robo de información | 2 |
| Flerprox | oct.06 | Symbian | Sustitución de cargadores del sistema | 2 |
| Hidmenu | oct.06 | Symbian | Ocultación del menú | 1 |
| Unlock.a | oct.06 | Symbian | Desbloqueo del teléfono | 1 |
| Smarm | ene.07 | J2ME | Envío de SMS | 10 |
| Mead | feb.07 | Sgold | Infección de archivos | 2 |
| Mrex | mar.07 | Symbian | Sustitución de esquemas de color | 1 |
| Viver | mayo.07 | Symbian | Envío de SMS | 2 |
| Feak | mayo.07 | Symbian | Envío de SMS con enlace a sí mismo en el archivo zip | 1 |
| SHT | ago.07 | Symbian | Utilidad de hackers | 1 |
| Konopla | ago.07 | Sgold | Errores de configuraciones, sustitución de temas e imágenes | 1 |
| Reboot | ago.07 | Symbian | Reinicio del dispositivo | 2 |
| Delcon | ago.07 | Symbian | Eliminación de contactos | 1 |
| SMSFree | oct.07 | J2ME | Envío de SMS | 10 |
| Flocker | oct.07 | Python | Envío de SMS | 44 |
| Deladdr | nov.07 | Sgold | Eliminación de archivos del teléfono (libro de direcciones, aplicaciones , SMS, perfiles de wap) | 1 |
| HatiHati | dec.07 | Symbian | Propagación de MMC a través de tarjetas de memoria, envió de SMS | 1 |
| Fonzi | ene.08 | Symbian | Eliminación de archivos | 1 |
| Killav | ene.08 | Symbian | Eliminación de antivirus | 3 |
| Beselo | ene.08 | Symbian | Propagación a través de Bluetooth y MMS | 2 |
| Swapi | feb.08 | J2ME | Envío de SMS | 44 |
| SrvSender | mar.08 | Symbian | Respuesta a todos los mensajes y llamadas con un SMS aleatorio, elimina los mensajes | 1 |
| Kiazh | mar.08 | Symbian | Extorsión de dinero, eliminación de todos los SMS de entrada y salida | 1 |
| InfoJack | mar.08 | WinCE | Copia a los discos intercambiables, robo de información, descarga de software sin notificación al usuario, deshabilitación de la protección | 3 |
| Gpiares | апр.08 | Symbian | Envío de SMS | 2 |
| Kuku | mayo.08 | Symbian | Envío de SMS | 1 |
| SmsSpy | mayo.08 | Symbian | Envío de mensajes de usuario al número indicado en el archivo cfg | 1 |
| Forvir | mayo.08 | Symbian | Muestra de mensajes falsos sobre los errores del sistema y en el teléfono, instalación del virus | 1 |
| Hoaxer | mayo.08 | J2ME | Envío de SMS | 6 |
| KillPhone | mayo.08 | Symbian | Imposibilidad de arranque del teléfono después del reinicio del mismo | 3 |
| Xanel | mayo.08 | J2ME | Envío de SMS | 4 |
| SMSi | mayo.08 | J2ME | Envío de SMS | 15 |
| Konov | mayo.08 | J2ME | Envío de SMS | 14 |
| Kros | jun.08 | Symbian | Sustitución de archivos ejecutables | 1 |
| Blocker | jun.08 | Symbian | Bloqueo de algunas funciones del SO del teléfono | 1 |
| Boxer | sept.08 | J2ME | Envío de SMS | 15 |
| Redoc | sept.08 | WinCE | Envío de SMS | 19 |
| Espaw | sept.08 | J2ME | Envío de SMS | 7 |
| KaspAV | ago.08 | J2ME | Antivirus falso | 3 |
| PMCryptic | oct.08 | WinCE | Virus compañero polimórfico, gusano (tarjeta de memoria) | 1 |
| MultiNum | oct.08 | Symbian | Envío de SMS | 1 |
| Razan | oct.08 | J2ME | Muestra de un mensaje falso sobre la infección del teléfono | 1 |
| Onro | oct.08 | J2ME | Envío de SMS | 3 |
| DoctorW | nov.08 | J2ME | Antivirus falso | 1 |
| SMSSender | nov.08 | J2ME | Envío de SMS | 1 |
| Sspy | dec.08 | Python | programa-espía | 1 |
| Tagsa | dec.08 | Symbian | Envío de SMS | 1 |
| Small | dec.08 | J2ME | Envío de SMS | 7 |
| Noti | ene.09 | J2ME | Contenido móvil por SMS | 1 |
| Okpon | ene.09 | J2ME | Envío de SMS | 1 |
| Yxe | ene.09 | Symbian | Propagación a través de SMS, recaba información | 4 |
| CoS | ene.09 | Symbian | Utilidad de hackers para el envío de los SMS creados a propósito | 2 |
| Kinap | ene.09 | Symbian | Sustitución del tipo de letra, iconos, logos. | 7 |
| Vers | feb.09 | Symbian | Envío de SMS | 1 |
| Yakki | feb.09 | Symbian | Eliminación de tipos de letra | 1 |
| Disabler | feb.09 | Symbian | Bloqueo de SMS, MMS, llamadas | 1 |
| Getas | feb.09 | J2ME | Imitación de un virus | 1 |
| Xef | feb.09 | J2ME | Envío de SMS | 2 |
| GameSat | feb.09 | J2ME | Envío de SMS | 1 |
| Rebrew | feb.09 | J2ME | SMS-Flooder | 1 |
| Mexasa | mar.09 | J2ME | Envío de SMS | 4 |
| Xavava | mar.09 | J2ME | Envío de SMS | 3 |
| Kblock | mar.09 | Symbian | Bloqueo del teléfono | 1 |
| Garlag | mar.09 | J2ME | Envío de SMS | 2 |
| Redrob | mar.09 | J2ME | Envío de SMS | 4 |
| Fnusob | mar.09 | J2ME | Envío de SMS | 1 |
| Pornidal | апр.09 | Symbian | Llamadas a números de pago | 2 |
| SMSRtap | апр.09 | Symbian | Control de SMS, llamadas, etc. | 3 |
| Trojan-SMS.Agent | mayo.09 | J2ME | Envío de SMS | 4 |
| Caneo | jun.09 | Symbian | Control de SMS, llamadas, etc. | 2 |
| Crymss | jun.09 | J2ME | Envío de SMS | 1 |
| Smypa | jun.09 | Python | SMS-Flooder | 1 |
| Enoriv | июл.09 | Symbian | Envío de SMS | 1 |
| Smofree | ago.09 | J2ME | Llamadas a un número de pago | 1 |
En total: 75 nuevas familias
Desde el año 2006 hasta el año 2009 el número de programas para dispositivos móviles se triplicó. Esto significa que el ritmo de crecimiento indicado en el período de la primera fase del estudio (2004-2006) sigue siendo el mismo.
¿Qué hay de nuevo?
La lista de lo que sabían hacer los programas nocivos creados hace 3 años era así:
- Difusión a través de Bluetooth, MMS
- Envío de SMS
- Infección de archivos
- Posibilidad de gestionar el smartphone a distancia
- Sustitución o cambio de iconos, aplicaciones del sistema
- Instalación de tipos de letra y aplicaciones “falsos” o incorrectos
- Lucha contra los antivirus
- Bloqueo del funcionamiento de tarjetas de memoria
- Robo de información
En los últimos tres años han aparecido nuevas tecnologías y métodos en el software nocivo móvil:
- Propagación en los dispositivos intercambiables (tarjetas flash)
- Deterioro de los datos del usuario
- Inhabilitación de los sistemas de protección incorporados en el sistema operativo
- Descarga de otros archivos de Internet
- Llamadas a números de pago
- Polimorfismo
Tecnologías y métodos
Hay bastantes programas nocivos para los PC que utilizan la tecnología de autocopia a CDs o a dispositivos flash. Este modo primitivo de reproducción de virus, desgraciadamente, ha resultado ser bastante eficaz.
Los creadores de virus móviles han decidido no quedarse atrás y seguir las últimas tendencias, por lo que han empezado a usar este método en sus programas maliciosos. Un ejemplo de un programa nocivo de este tipo es Worm.WinCE.InfoJack. Este gusano se copia a sí mismo en el disco E. En smartphones equipados con el sistema operativo Windows Mobile esta letra alude a la tarjeta de memoria de un dispositivo móvil.
Además del modo de reproducción, el gusano InfoJack tiene algunas particularidades más. Primero: el programa nocivo se propaga en el instalador que, además de la copia del gusano, contiene varias aplicaciones y juegos legales. Es obvio que esto se hace para ocultar la actividad del programa nocivo. Segundo: InfoJack deshabilita el análisis de firmas de aplicaciones (un método de seguridad del SO Windows Mobile). Eso quiere decir que si un usuario intenta instalar una aplicación sin firma (que puede resultar nociva), el sistema operativo no notificará sobre la ausencia de firma del archivo ejecutable. Tercero: cuando el smartphone se conecta a Internet, el gusano intenta descargar de la red los módulos complementarios para su trabajo. De esta forma, InfoJack contiene la funcionalidad de descarga. Y, por último, se efectúa el envío de los datos personales del smartphone al creador del programa nocivo.
¿Qué es lo que tenemos al final? Un programa nocivo con funcionalidad de reproducción, descarga de archivos exteriores de la red, inhabilitación del sistema de protección y espionaje del usuario. Junto con un disfraz bastante eficaz.
El gusano Worm.WinCE.PMCryptic.a también puede servir de ejemplo del uso la función de copia a la tarjeta de memoria. Pero su excepcionalidad consiste en otra cosa: es el primer gusano polimórfico y virus acompañante para smartphones. Por fortuna, este gusano chino no ha sido localizado en “el mundo real” y es solamente una “prueba de concepto”. Pero el mismo hecho de la posibilidad de creación de programas polimórficos nocivos para smartphones no lleva a nada bueno.
Varias falsificaciones de troyanos primitivas que deterioran o eliminan los datos del usuario de smartphones también han causado problemas. Un ejemplo es Trojan.SymbOS.Delcon.a. Es un troyano para smartphones con SO Symbian de sólo 676 bytes. Después del inicio del archivo sis, el archivo contacts.pdb, donde se almacenan todos los contactos del usuario, se cambia por un archivo con el mismo nombre proveniente del archivo malicioso. El contacts.pdb nocivo contiene las siguientes palabras:
Series60 is only for professionals…(c)
by KoS. 2006 ))””Si Vd. ha instalado este programa, es realmente tonto 😀
Series 60 – solo para profesionales… (c)
KoS. 2006 ))”
Antes de la aparición de not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, que hace llamadas a números de pago internacionales, los programas de este tipo tan solo eran una realidad informática.
El programa not-a-virus:Porn-Dialer.SymbOS.Pornidal.a funciona del siguiente modo: cuando un usuario ejecuta el archivo sis aparece el texto del acuerdo de licencia, donde se dice que la aplicación va a hacer llamadas a números de pago internacionales para obtener acceso completo al sitio que contiene materiales pornográficos. Los números a los que se hacen las llamadas están en varios países (4 países en Europa, 4 en África y 1 en Oceanía).
El peligro de programas de este tipo consiste en que, primero, el software de este tipo puede ser modificado por los malhechores de tal modo que será nocivo y usado para obtener ganancias ilegales. Por ejemplo, se puede quitar de la aplicación la notificación de que las llamadas se hacen a números de pago. Segundo, la mayoría de los usuarios leen el acuerdo de licencia sin prestarle atención, y pulsan “Sí” casi automáticamente. Como resultado, no saben cuál es la función de la aplicación (en este caso, las llamadas a números de pago).
Troyano-SMS: la amenaza principal
Si comparamos el comportamiento de los programas nocivos de los últimos dos años con el de sus antecesores, podemos notar que en sus funciones prevalece el envío de SMS a los números Premium de pago sin que los usuarios lo sepan. Si hace tres años solamente dos familias de programas nocivos tenían esta función, hoy día ya pueden jactarse de ella 32 familias. Cerca del 35% de todas las variantes detectadas de programas nocivos para dispositivos móviles envían SMS. Lo que quiere decir que los Troyanos-SMS son malware líder en el mundo móvil de hoy. Las causas de esta situación se describen en el informe analítico sobre el desarrollo de amenazas en el primer semestre del año.
Funciones
La plataforma base para la existencia de Troyanos-SMS es Java 2 Micro Edition. Los Troyanos-SMS creados para J2ME tienen el siguiente peligro: son programas multiplataforma. Si el teléfono (que no tiene que ser obligatoriamente smartphone) incorpora Java, Trojan-SMS.J2ME podrá funcionar en este dispositivo sin ningún problema.
La mayoría absoluta de los troyanos de J2ME tienen la siguiente estructura: carpeta jar que contiene varios archivos class, uno de los cuales es el que realiza el envío del SMS de pago a un número. Los demás archivos class sirven solamente para ocultarlo. La carpeta puede contener varias imágenes (en la mayoría de los casos su contenido es erótico), y también el archivo manifest, que en algunos casos también se usa por el programa nocivo para el envío de los mensajes.
Una vez ejecutado, Trojan-SMS.J2ME intenta mandar un SMS con un texto determinado un número de pago. En este caso la máquina de Java notifica al usuario sobre el intento de envío de un SMS por la aplicación. Esto puede causar sospechas al usuario, que podría no permitir el envío del mensaje. Algunos creadores de virus, al comprenderlo, han empezado a ocultar las acciones nocivas de sus creaciones con más cuidado, algunas veces de un modo bastante singular.
Así, cuando el usuario ejecuta el Trojan-SMS.J2ME.Swapi.g, en la pantalla del teléfono aparece el saludo que ofrece ver una imagen de contenido pornográfico. Para hacerlo, hay que pulsar el botón “SÍ” mientras está sonando una señal de música corta. (En la carpeta jar del programa se guarda tanto el archivo de imagen png como la melodía midi.) Intentando pulsar el botón a tiempo, el usuario no se da cuenta de que cada clic (no importa si es a tiempo o no) causa el envío de un mensaje SMS al número de pago y una suma determinada desaparece de su cuenta.
Aquí tenemos un texto de uno de los sitios web donde los malhechores ofrecen sus servicios de creación de programas nocivos de este tipo (y, por supuesto, no gratis): “Es un programa muy beneficioso, a modo de álbum de fotos. Al ejecutarlo, aparece una imagen bonita que luego desaparece, y aparece el texto “Para continuar la consulta Vd. debe tener más de 18 años. ¿Tiene Vd. 18 años?” Si el usuario pulsa “Sí”, enviará un SMS al número de pago…”.
Los programas de la familia Trojan-SMS.Python.Flocker, creados para otra plataforma (Python), por su estructura y sus tareas son casi iguales a los troyanos J2ME. En el archivo sis hay un script principal escrito en el lenguaje Python, que realiza el envío de los SMS a un número Premium corto, así como los archivos complementarios que sirven para ocultar la acción fundamental del programa nocivo.
No se ha detectado casi ninguna diferencia entre las modificaciones de Flocker (principalmente se distinguían solamente por el número corto al cual se enviaban los mensajes SMS). Esto quiere decir que los textos iniciales del script que se usan en esta familia de programas nocivos, posiblemente, tienen un acceso común. En el acceso común de un foro se publicó el texto del script en lenguaje Python, y sus fragmentos eran idénticos a los scripts de programas nocivos ya conocidos por nosotros. También es interesante el hecho de que el script que puede descargarse puede infectar a otros scripts que se guardan en el teléfono creados en el lenguaje Python.
Difusión
En Rusia, los creadores de virus han convertido el uso de varios Troyanos-SMS en una cadena de producción. El modo más popular de difusión de programas nocivos es a través de los portales WAP, donde al usuario se le ofrece la descarga de varias melodías, imágenes, juegos y aplicaciones para el teléfono móvil. La mayoría absoluta de los troyanos se disfrazan bien como aplicaciones que pueden enviar SMS gratis o posibilitar el uso del contenido móvil gratis, o bien de aplicaciones eróticas o pornográficas.
Surge la pregunta: ¿por qué precisamente los sitios WAP? Porque Rusia es uno de los cuatro países donde los servicios de Internet móvil se usan más activamente. Y muchos usuarios visitan los sitios de intercambio WAP para descargar contenido móvil de varios tipos al teléfono.
La mayoría de los sitios web donde se han encontrado programas nocivos ofrecen a los usuarios la posibilidad de publicar sus archivos. Un procedimiento de registro sencillo o la ausencia del mismo, así como el acceso gratis a los recursos de este tipo en la mayoría de los casos permiten a los malhechores difundir sus creaciones primitivas sin ninguna dificultad. El creador de virus necesita solamente dar al archivo un nombre muy llamativo para las víctimas potenciales (free_gprs, sms_gratis, super_porno etc.), escribir un comentario atractivo y esperar hasta que algún usuario decida “mandar un SMS gratis” o “ver las imágenes eróticas”.
Una vez publicado el software nocivo, el malhechor tiene que hacer una buena publicidad. Aquí pueden ayudar los envíos masivos en ICQ o spam en diversos foros. ¿Por qué precisamente ICQ? Recordamos que este servicio de intercambio instantáneo de mensajes tiene mucho éxito en Rusia y en otros países. Muchos usuarios que quieren tener una posibilidad de comunicación permanente, usan los clientes móviles de ICQ. Para el malhechor son víctimas potenciales.
Esquema financiero
Los SMS eran prácticamente el único modo de ganancias ilegales para los creadores de virus para móviles. Ya a mediados del año 2007, investigando el caso de la aparición del primer Troyano-SMS para Symbian – Viver – ya vimos con detalle el sistema financiero que tiene que ver con él. En general, este sistema sigue siendo utilizado por todos los Troyanos-SMS.
Par obtener ganancias ilegales, un delincuente tiene que alquilar un prefijo en cualquier número corto. Muchos creadores de virus en vez de alquilar un prefijo de un número corto por sí mismos, toman parte en los llamados programas afiliados. Al registrarse en la red afiliada, el malhechor no obtiene el prefijo entero para su uso, sino la combinación “prefijo + ID del socio”. En este caso el dinero que desaparece de las cuentas de los titulares de dispositivos móviles infectados, se reparte entre los participantes del programa afiliado.
Estafas de SMS
Los programas nocivos móviles no son la única fuente de amenazas. Desgraciadamente, las estafas de SMS son cada vez más populares entre los ciberdelincuentes. Y es que esta amenaza adquirió un carácter internacional hace ya tiempo.
Así, en el año 2007 se publicó un mensaje del departamento de telecomunicaciones de la India en el que se advertía sobre el fomento de SMS phishing en el país y sobre el estudio del problema de prohibición de tratamiento de los SMS enviados desde el extranjero a través de las pasarelas web para los operadores. En los mensajes de estafa difundidos en India se necesitaba llamar a un número determinado y “confirmar” algunos detalles imprescindibles de las transacciones. Al hacer la llamada, el usuario se conectaba con el contestador automático que solicitaba los requisitos y otra información confidencial. Por supuesto, el contestador automático pertenecía a los estafadores.
Este tipo de esquemas son populares no solamente en la India, sino también en muchos otros países. Cabe destacar un hecho bastante importante: los operadores de comunicación móvil prestan atención a este problema. Informan a los usuarios activamente, publicando la información sobre los ataques de este tipo, ejemplos de mensajes de phiishing, así como consejos sobre cómo hay que actuar en caso de recibirlos.
En Rusia los malhechores usan otros esquemas. Vamos a verlos con más detalle.
Versión 1:
El malhechor crea un mensaje SMS de semejante contenido: “Hola. Tengo problemas, no puedo contártelo todo. Ingresa el dinero en este número o en el número +79xx-xxx-xx-xx, el dinero te lo devolveré dentro de poco”. Observamos que los mensajes de este tipo no tienen saludos ni firmas, y cada receptor puede creer que le han sido enviados personalmente.
Es evidente que al llamar a ambos números el usuario oirá algo como “El teléfono marcado está apagado o fuera de cobertura”. Luego el usuario puede pensar: “¿Es posible le haya pasado algo a alguno de mis compañeros/amigos/parientes?” y transferir dinero al teléfono móvil del malhechor.
Versión 2:
En otro esquema se usan los SMS de pago a números cortos. Los textos de los mensajes de estafa pueden ser diferentes. Por ejemplo: “Hola. Manda un SMS con el texto *** al número 3649, ¡recibirás un bono de 150 euros en tu cuenta! Este SMS es gratis, lo he comprobado y me funciona” O: “Hola. Su número ha ganado. Para recibir el premio, mande un SMS con el texto *** al número 1171. El precio del SMS: 3 euros”.
Las características básicas ataques de este tipo son las siguientes :
- Los malhechores usan los números cortos más caros.
- La mayoría de los mensajes ofrecen a los usuarios cualquier “bono” instantáneo o “premio”.
- Los mensajes no tienen fórmulas de saludo ni firmas.
Cabe destacar también un hecho importante, que los mensajes de este tipo se envían no solamente a los usuarios de teléfonos móviles, sino también a los usuarios de ICQ; además, los textos de este tipo son habituales en el correo electrónico y en los mensajes que se difunden en las redes sociales.
Vulnerabilidades
A principios del año 2009 se detectó una nueva vulnerabilidad en los smartphones con las siguientes versiones del sistema operativo Symbian:
- S60 2nd edition, Feature Pack 2;
- S60 2nd edition, Feature Pack 3;
- S60 3rd edition;
- S60 3rd edition, Feature Pack 1.
¿Qué tipo de vulnerabilidad es y cómo se explota? Si mandamos un mensaje SMS creado a propósito a un teléfono con uno de los sistemas mencionados más arriba, el teléfono atacado dejará tanto de recibir los SMS/MMS entrantes como de mandarlos. Cabe destacar el hecho de que un mensaje nocivo de este tipo no aparecerá en la lista de los entrantes. Tampoco hay ninguna huella del exploit. Por eso se llamó “Curse of Silence” (“Maldición del silencio”).
El servicio de algunos mensajes cortos deja de funcionar, pero, por lo demás, el teléfono sigue funcionando bien, y solo pasado algún tiempo el usuario se dará cuenta de que algo no va bien en su smartphone. Por desgracia, ni la eliminación de mensajes previos de entrada y salida, ni el reinicio del teléfono podrá resolver el problema de no poder recibir ni enviar mensajes cortos. Sólo un reseteado del smartphone puede ayudar.
Amenazas móviles en el aire
En las primeras partes del informe Virología Móvil se publicaron las estadísticas de difusión de gusanos de Bluetooth- y MMS en varios países del mundo. Cabir y ComWar eran las amenazas móviles más difundidas, cada una de las cuales había sido detectada en más de 30 países del mundo. El incidente más relevante fue la infección de más de 115.000 usuarios por una variedad de Comwar en España en la primavera de 2007.
Pero la mayor atención de los operadores móviles a los gusanos que aparecían y la implantación de herramientas de control antivirus en el tráfico MMS permitieron detener la difusión de estos gusanos. Otras causas de la desaparición de epidemias locales han sido la aparición y la difusión de productos antivirales para los teléfonos, incluida su preinstalación antes de la venta, nuevos instrumentos de protección realizados en los sistemas operativos (inicio solamente de las aplicaciones firmadas) y la desaparición paulatina de modelos de teléfonos en los cuales podían funcionar Cabir y ComWar.
En los últimos tres años ha aparecido por lo menos otro gusano móvil que ha logrado difundirse en varios países europeos.
Worm.SymbOS.Beselo
A finales de diciembre de 2007 un clon habitual ComWar – variación .y. – penetró en las bases antivirales. Su aparición en enero de 2008 en el tráfico móvil de un operador europeo importante hizo estudiar el nuevo espécimen con más detenimiento.
El análisis hecho por la empresa finlandesa F-Secure demostró que es una familia absolutamente nueva que no tiene nada en común con el ComWar creado hace tres años en Rusia.
El modo de funcionamiento del gusano clasificado como Worm.SymbOS.Beselo.a (más tarde apareció otra variedad más – Beselo.b) tiene mucho en común con ComWar y es clásico en gusanos de este tipo. La difusión se realiza a través del envío de los archivos SIS infectados mediante MMS y Bluetooth. Una vez iniciado en el dispositivo atacado, el gusano empieza a enviarse a sí mismo a los contactos del libro de direcciones del smartphone, así como a todos los dispositivos accesibles en el área de funcionamiento de Bluetooth.
Por fortuna, la difusión de Beselo pudo ser detenida con bastante rapidez, y desde aquel entonces los gusanos móviles no han vuelto a ser detectados en Europa.
Pero entonces Asia empezó a actuar, encabezada por la patria de la mayoría de los virus informáticos modernos – China.
Worm.WinCE.InfoJack
A principios del mismo año 2008 empezó a difundirse información sobre la infección de los usuarios por un programa desconocido que funcionaba en Windows Mobile. Este programa resultó ser Trojan InfoJack.a, del que ya hemos hablado más arriba.
La difusión del programa nocivo se realizaba desde un sitio chino que publica software de varios tipos (legal). El troyano se añadió al contenido de distribuidores de productos móviles, tales como el cliente para Google Maps y juegos. El titular del sitio desde el cual se realizaba la difusión del troyano declaró que no tenía ningún objetivo criminal, sino que recababa información sobre sus usuarios solamente con el fin de mejorar sus servicios y analizar el mercado de las aplicaciones móviles.
Unos días más tarde el sitio web dejó de funcionar, probablemente, después de la investigación hecha por la policía china.
Hasta hoy el blanco principal de los hackers chinos eran los usuarios que jugaban a juegos on-line en sus PCs. Pero el incidente con InfoJack demostró que en China existe la posibilidad de organizar epidemias masivas y virus móviles.
China fue el primer país víctima de un troyano para Windows Mobile. Es posible que el autor de InfoJack de verdad no tuviera ningún objetivo criminal, pero ya se había dado el primer paso…
Worm.SymbOS.Yxe
Un año más tarde, en enero de 2009, detectamos otro programa nocivo para teléfonos móviles bajo la gestión del SO Symbian. Parecía que no iba a ser nada nuevo o interesante. Pero este gusano resultó bastante curioso.
Worm.SymbOS.Yxe se convirtió en la primera familia de gusanos Symbian. Su diferencia con los anteriores era el modo de difusión. No mediante Bluetooth ni MMS, sino a través de mensajes SMS.
Worm.SymbOS.Yxe mandaba mensajes SMS (de un contenido bastante frívolo) con un enlace a sí mismo http://www*****.com/game a toda la lista de contactos del teléfono infectado. El enlace llevaba a un instalador habitual de Symbian que contenía dos archivos: un archivo exe ejecutable y un archivo rsc complementario. Si el usuario confirmaba la instalación de la aplicación, el gusano empezaba a enviar los mensajes SMS a los usuarios de la lista de contactos del teléfono infectado, generando de este modo un tráfico SMS nocivo.
Por lo visto, el mismo gusano Worm.SymbOS.Yxe era la causa de un montón de publicaciones en los MIM chinos, y de muchas discusiones en los foros chinos, quejas sobre unos SMS raros, etc. En las publicaciones se trataba de los mensajes SMS de contenido pornográfico que contenían un enlace raro, el envío no aprobado de mensajes cortos por la lista de contactos y la pérdida del dinero al enviar los SMS de este tipo…
Pero este gusano logró sobresalir de otro modo. Había sido creado para los smartphones con SO Symbian S60 3rd edition y firmado con un certificado legal. Quiere decir que el gusano puede instalarse casi en cualquier smartphone con SO Symbian S60 3rd edition sin ningún problema.
Datos del certificado:
Es curioso que, según la firma, el certificado había sido expedido para 10 años. Conseguimos averiguar que el software nocivo había pasado el procedimiento de firma automática.
Trojan-SMS.Python.Flocker
Enero de 2009 fue muy rico en el segmento del software móvil nocivo. Además del gusano Yxe mencionado más arriba, y del expliot Curse of Silence para smartphones bajo gestión del SO Symbian, se detectaron otras versiones más de Trojan-SMS.Python.Flocker (ab-af).
Una modificación de Trojan-SMS.Python.Flocker
¿Qué hay de particular en las seis nuevas modificaciones de esta familia? Hasta su aparición todos los programas nocivos con comportamiento de Troyano-SMS detectados por nosotros habían sido diseñados en el territorio postsoviético, y los mensajes cortos se mandaban a números que pertenecían a operadores móviles rusos.
Todas las nuevas modificaciones de Flocker mandaban los SMS al número corto 151 que no está registrado en Rusia. Además, nunca antes habíamos visto números cortos de tres cifras. El texto del mensaje también tenía sus particularidades: TP <12 cifras> <4 o 5 cifras>. Nos encontramos con varios programas nocivos que mandan los mensajes SMS al mismo número corto con textos bastante semejantes. Surge la pregunta de siempre: ¿dónde está el dinero?
Mucho antes de haber detectado nuevas versiones de Flocker se publicó un comunicado de prensa de un operador móvil de Indonesia, donde se trataba de que los titulares de determinadas tarjetas SIM tuvieran la posibilidad de transferir dinero de su cuenta móvil a una cuenta de algún pariente/amigo/compañero con la misma tarjeta SIM. Para realizarlo, es necesario mandar un mensaje SMS al número 151 con el siguiente texto: TP <número del teléfono del abonado> .
Los malhechores se aprovecharon de esa posibilidad y el troyano procedente de Rusia fue sido modificado por alguien para trabajar con operadores móviles de Indonesia y difundido entre los usuarios en Indonesia.
Todos los casos indicados más arriba demuestran que las amenazas móviles siguen difundiéndose por el mundo, pero con un cambio de tendencia muy importante: en vez de epidemias globales de gusanos, observamos intentos locales de infección orientados a los habitantes de un país o una región en concreto. Esto se corresponde con la situación actual de los virus de ordenadores.
Las regiones más afectadas por los virus móviles son Rusia, China, Indonesia y los países de Europa Occidental.
Resumen
El éxito de los smartphones y su uso cada vez más activo en el trabajo, para acceder a Internet, a las cuentas bancarias, para pagar productos y servicios, etc., provocará un aumento en el número de delincuentes que querrán enriquecerse de modo ilegal con malware para móviles.
Los programas nocivos de hoy pueden hacer varias cosas: guardar y mandar el contenido del libro de contactos del teléfono, así como otros datos, bloquear completamente el teléfono, ofrecer acceso remoto a los delincuentes, mandar SMS y MMS, etc. En el mundo laboral, un teléfono que simplemente ha dejado de funcionar (por el ataque de un software malicioso) ya es un problema muy grave. Y en el caso de que un delincuente obtenga acceso a la red corporativa (o al correo electrónico) el problema puede ser mucho mayor.
En cuanto al iPhone (4% del mercado de teléfonos móviles y 20% del mercado americano) y Android, las posibilidades potenciales de ataques maliciosos son muy variadas. Para el iPhone la infección es probable sólo si el usuario modifica su dispositivo e instala aplicaciones de fuentes ilegales. Android (posiblemente) no tendrá una conexión tan fuerte con las fuentes oficiales de archivos, y los usuarios de teléfonos “legales” podrán instalar cualquier programa en sus dispositivos.
En todo caso, todavía es muy pronto para hablar del futuro del malware para iPhone y Android. A nuestro juicio, la amenaza principal serán las vulnerabilidades en el software utilizado y las posibilidades de acceso de los delincuentes a través de esas vulnerabilidades.
Muy importante es la lucha que ha comenzado entre los netbooks y los smartbooks. La diferencia entre ellos es que los smartbooks se basan en una arquitectura completamente diferente y analógica a la de los teléfonos móviles. Según las estimaciones de los investigadores, el 98% de los procesadores para los dispositivos móviles, incluido Apple iPhone, se basan en los procesadores de arquitectura ARM.
Según la idea de los diseñadores, el smartbook tiene que plasmar los mejores rasgos del netbook y del smartphone: tener teclado completo, ser ligero y capaz de funcionar de modo autónomo durante un largo periodo de tiempo. Y la ventaja principal es que la plataforma inicialmente soporta las redes móviles. Los smartbooks llevan de fábrica un módem incorporado a los procesadores. Es lo que garantiza una integración ligera y transparente de servicios de la red en la estructura del programa.
Por otra parte, Intel intenta crear un mercado de dispositivos móviles, basado en el propio procesador Atom. A finales de este año los procesadores Atom serán producidos como compilaciones de chips (SoC). En la práctica esto quiere decir que la arquitectura de microprocesadores x86-сompatibles, habitual para muchos informáticos, podrá ser incorporada a cualquier cosa: chips para automóviles, chips para neveras y microondas, aspiradores y relojes, TVs, máquinas de café etc.
Todos estos factores y las posibles guerras tecnológicas podrán cambiar la situación de tal forma que no podamos reconocerla. Los smartbooks pueden llegar a ser más apropiados para los ataques de virus que los smartphones. Al mismo tiempo, la incorporación de procesadores x86 en los aparatos domésticos puede aumentar el área de ataque hasta un tamaño antes desconocido.
Autores
De los mismos autores
En la misma categoría
Virología Móvil