Seguimos repasando algunas de las investigaciones expuestas en la reciente edición de Virus Bulletin en Denver. Ayer resaltamos algunas lecciones aprendidas durante la presentación de Wild Android Collution; hoy nos ocupa develar los secretos de otra gran presentación de la mano de Zhi Xu, Tongbo Luo y Cong Zheng, de Palo Alto Networks, sobre infraestructuras de C&C zombis en librerías de Android.
Beware! Zombies are coming
Un factor que crecientemente preocupa en materia de seguridad móvil son los fallos que puedan llegar a introducirse en las aplicaciones móviles a través de librerías de anuncios, comúnmente denominadas ad libs. Estas librerías constituyen una de las principales fuentes de ingresos para desarrolladores; por esto, es usual encontrar varias de ellas compactadas dentro de aplicaciones genuinas.
¿Qué ocurre cuando dominios genuinos dejan de utilizarse y pueden ser comprados por un cibercriminal?
Cuando un usuario instala una aplicación en su dispositivo, no solo está otorgando permisos a esa app en particular sino a todas las librerías que se encuentran embebidas en el ejecutable. Existen cientos de desarrolladores de ad libs; muchas de ellas poseen serios problemas de vulnerabilidades y muchas otras dejan de ser mantenidas con el tiempo. Lo mismo ocurre con librerías para la recolección de estadísticas y aquellas pertenecientes a frameworks de desarrollo multiplataforma.
Este último punto fue el eje de la presentación Beware! Zombies are coming. Las aplicaciones móviles normalmente mantienen comunicación con múltiples servidores de C&C para la gestión de anuncios y estadísticas. Pero ¿qué ocurre cuando esos dominios inicialmente genuinos dejan de utilizarse por mucho tiempo y pueden ser comprados por cualquier cibercriminal a precios minimalistas?
Así surge el concepto de infraestructura zombi. Estos dominios, una vez reclamados por los ciberdelincuentes, pueden servir al robo de información, a desplegar contenido malicioso en el dispositivo o a controlar remotamente la aplicación en todos los equipos donde la librería está instalada. Este fenómeno plantea nuevos desafíos en términos de detección, ya que se utilizan librerías benignas con fines maliciosos.
Como demostraron los conferencistas, existen dos enfoques para la realización de un ataque sobre canales de C&C zombis. El primero es tomar control del servidor y manipular el cliente en el terminal. El segundo es el desarrollo de contenido HTML5 malicioso para afectar aplicaciones que funcionen de esta manera –es decir, cargando contenido HTML desde el servidor remoto comprometido y ejecutando JavaScript–.
Los investigadores realizaron sus estudios sobre un conjunto de 2.8 millones de APK. Los resultados arrojados revelan que, aunque el porcentaje de dominios legítimos aún activos es mayor, existen más de 65.000 dominios zombis de los 575.000 observados en el análisis dinámico de los APK. Solo en godaddy.com, unos 33.000 dominios zombis se encuentran listos para ser reclamados por cibercriminales que podrían así tomar control de la arquitectura subyacente.
Dentro de los casos presentados, los oradores mencionaron a Taomike, un alguna vez legítimo SDK de anuncios que cayó bajo el control de cibercriminales en 2015 y es capaz de robar todos los mensajes SMS recibidos por el terminal. También se presentaron otros dos casos de estudio similares, Xiaohead y Touchads, cuyos dominios podrían en cualquier momento caer en manos de delincuentes cibernéticos.
Además, demostraron un escenario de compromiso de aplicaciones que utilizan PhoneGap. Este tipo de aplicaciones permite a los atacantes transferir archivos, editar y enviar correos electrónicos, enviar mensajes SMS, ejecutar comandos y lanzar otras aplicaciones, además de mostrar contenido HTML y JavaScript malicioso.
Para ejemplificar utilizaron Go Rogue Sport, una aplicación aún disponible en Google Play Store y iTunes que ha sido abandonada por sus desarrolladores y cuyo servidor de C&C posee un dominio listo para reclamarse por 11,99 dólares. Los investigadores recrearon en un entorno controlado un escenario donde este sitio cae en manos de atacantes. Luego, lograron desplegar en el terminal del usuario contenido malicioso.
Matando zombis con estilo
Las conclusiones que se desprenden de esta investigación evidencian algo que cobra relevancia día a día en materia de seguridad móvil: el malware no es la única amenaza para nuestros smartphones. Aunque el análisis fue orientado hacia Android, este escenario puede igualmente extrapolarse a otros sistemas operativos móviles.
A lo largo de las diferentes presentaciones de las que fuimos testigos en estos días, ha quedado claro que aplicaciones benignas también pueden servir como mecanismos para apalancar ataques en los terminales. La pregunta que deberemos resolver a futuro es cómo detectar cuándo estas aplicaciones caen en las manos incorrectas, mientras continuamos haciendo hincapié en la necesidad de procesos de desarrollo seguro de apps móviles.