jueves, 21 de mayo de 2015

video:cómo opera un virus en Android

Las empresas de seguridad informática vienen advirtiendo desde el 2010 la presencia de programas maliciosos, también conocidos como 'malware', en los teléfonos Android. Un informe de la firmaG Data reveló un incremento de 6,1 por ciento en el volumen de amenazas para Android, durante el segundo semestre de 2014. La firma detectó 4.500 piezas de código malicioso por día en su investigación.
Kaspersky Labs, por su parte, presentó un informe enfocado en ciberamenazas financieras. Según la compañía de seguridad rusa, el número de ataques financieros perpetrados con 'malware' para Android presentó un incremento de 3,25 por ciento en 2014.

Para Google, es un asunto tan relevante que llevaron a cabo un minucioso análisis de los programas maliciosos presentes en su tienda. Los resultados los puede leer aquí

Es común que las compañías alerten sobre las amenazas, pero pocas veces enseñan cuál es exactamente su modo de operación.

Hay tres piezas de 'malware' predominantes según Camilo Gutiérrez, analista de seguridad de Eset: los troyanos SMS, que envían mensajes de texto sin autorización del usuario; los troyanos 'botnet', que permiten que el cibercriminal tome control del dispositivo de forma remota, y los 'ransomware', que bloquean el equipo y su información para, después, solicitar dinero a la víctima dueña del celular. Es una suerte de secuestro de datos.

Troyano SMS
El troyano de mensajes de texto se oculta bajo la apariencia de una aplicación común. En el caso de la muestra que nos proporcionó la empresa de seguridad Eset ('malware' conocido bajo el nombre de Raden), luce como un juego buscaminas (iMine). Cabe notar que cuando el usuario lo abre, el juego funciona con normalidad.



Sin embargo, dentro del código, este videojuego contiene una función que, cada vez que se inicia una nueva partida (dando clic a la carita que se ubica en la parte superior), ordena enviar mensajes de texto a un número de teléfono sin que el usuario se percate. 

Estos mensajes llegan a una cuenta de mensajería 'premium', es decir, son mensajes que cuestan dinero y lo descuentan de la cuenta de la víctima.

Este 'malware' es muy difícil de detectar. El usuario puede pasar todo un mes sin percatarse de que el teléfono está siendo usado para mandar mensajes de texto con costo adicional. Solo llega a deducir una irregularidad cuando su factura muestra un cargo inusual en el apartado de SMS.


Hay dos formas de evitar programas maliciosos como este: en primer lugar, revise con detalle los permisos que solicita la aplicación durante la instalación. En el caso de iMine, pide permiso para enviar y recibir mensajes de texto que suponen un cargo adicional, algo que no es común para un buscaminas. En segundo lugar, proteja su celular con una solución de seguridad certificada. Hay opciones gratuitas que pueden ayudarle, comoAvast Mobile Security.
Troyano tipo 'botnet'
Una 'botnet' es una red de computadores controlados a distancia por parte de un cibercriminal. A cada uno de los dispositivos que la conforma se los llama 'zombis'.

La muestra del tipo 'botnet' que analizamos se llama ‘Zitmo’. También se oculta bajo un disfraz: parece un antivirus. Con esta pieza de código, el dispositivo del usuario termina siendo controlado de forma remota por el cibercriminal.

Algunos programas de esta categoría son creados para interceptar mensajes de texto; otros, para grabar a través del micrófono, y otros, para robar las imágenes almacenadas en el dispositivo. Depende del interés del atacante.

Según el especialista en seguridad informática Camilo Gutiérrez, de Eset, cuando se instala el supuesto antivirus la gente cree que está protegiendo su móvil, ello contribuye a que la treta sea efectiva, pues provee una falsa sensación seguridad. 


En realidad, el atacante controla al dispositivo remotamente mediante comandos enviados vía mensaje de texto. Este tipo de virus se infecta cuando la víctima cae en la trampa de ofertas gratuitas de revisión y vacunación de su celular en sitios web u otras aplicaciones.

El objetivo del código maligno es capturar los mensajes de texto que llegan al teléfono de la víctima cuando esta usa los SMS para confirmar su identidad durante una transacción bancaria o para acceder a sus perfiles de redes sociales, etc.

En el video, el experto explica con detalle cómo opera este troyano:











Una vez más, es un programa malicioso muy difícil de detectar. No daña el celular ni impacta el rendimiento del dispositivo de forma notoria. La recomendación es que revise con detalle los permisos de la aplicación cuando la va a instalar; si solicita acceder a funciones del sistema, dude. Además, instale una solución de seguridad certificada.
Ransomware
Cuando un usuario ejecuta este tipo de ‘malware’, que puede hacerse pasar por una aplicación inofensiva, se empiezan a cifrar los archivos relacionados con imágenes (extensiones .jpg, .gif, .bmp, .png y otras), documentos (.doc, .pdf, .docx, .txt) y videos y música (.mp4, . avi, . mkv). Además, bloquea la pantalla de inicio con un cartel de advertencia que indica que si se desea volver a tener acceso a la información almacenada en el dispositivo, debe pagar un monto específico.

La muestra denominada Simplocker se escondía bajo la apariencia de un reproductor de video. Cuando el usuario la ejecutaba, aparecía un mensaje advirtiendole que, si quería los archivos de vuelta, debía pagar un monto. 
arece un reproductor de video, pero al ejecutarse, bloquea el equipo y lanza un mensaje donde se pide dinero a cambio de la devolución del control del dispositivo y sus datos. Además, toma el control de la cámara, por eso se ve una imagen en el centro.
En cuestión de un par de minutos, el programa malicioso cifraba los principales archivos. Incluso si el usuario desintalaba la aplicación, al ir a revisar sus fotografias, se daba cuenta de que no podía verlas. 

A veces no es suficiente con desinstalar la ‘app’ maliciosa, porque los archivos quedan cifrados. Por eso, siempre guarde copias de respaldo de sus documentos. 

Para algunos tipos de 'ransomware' (que utilizan algorítmos simétricos, es decir aquellos en que la clave de descifrado se encuentra dentro del código del programa malicioso), ya existen soluciones de descifrado. 

Los archivos se encriptan (por eso su extensión cambió como se ve en la imagen). Existen algunas soluciones para desencriptarlos, pero no funcionan con los últimos códigos maliciosos del tipo 'ransomware'.


Sin embargo, las versiones más recientes (entre ellas está Cryptolocker), incluyen avances que impiden que los ficheros cifrados puedan recuperarse sin tener acceso al dispositivo móvil del atacante. Emplean algoritmos asimétricos y la clave para descifrar se encuentra en el equipo del cibercriminal. 

0 comentarios :

Publicar un comentario