Los ataques dirigidos a Android no paran de aumentar y su evolución es rápida y constante. Su elevada cuota de mercado y el hecho de que muchos usuarios sigan utilizando versiones obsoletas y vulnerables del sistema operativo, por no ser posible una actualización de sus dispositivos, lo convierten en un objetivo muy interesante para los delincuentes.
Hace unas semanas, la empresa de seguridad china 360 publicó un estudio sobre una nueva amenaza para Android. Esta amenaza, conocida como Fakedebuggerd, utiliza técnicas de rootkit para conseguir persistencia en el sistema y dificultar su eliminación, aprovechándose además de dos conocidos exploits para Android 4.x (FramaRoot y TowelRoot) que permiten ejecutar código con privilegios de root.
Vectores de infección
Tal y como hemos visto en casos anteriores, parece que el principal vector de infección se encuentra en la descarga de aplicaciones modificadas por los delincuentes. Así pues, varios usuarios afectados por este malware observaron tener instaladas aplicaciones como linternas o calendarios que no recordaban haber instalado.
A la hora de intentar desinstalar estas aplicaciones los usuarios se encontraron con la imposibilidad de hacerlo. Aun contando con privilegios de root, las aplicaciones volvían a aparecer en el sistema al poco tiempo. Esta característica convierte a Fakedebuggerd en una amenaza con mayor peligrosidad que la media de malware que vemos normalmente en Android.
El uso de los exploits FramaRoot y TowelRoot también proporciona a los atacantes un amplio número de víctimas potenciales, puesto que afectan a un gran número de móviles Android con versiones anteriores a la 5.0 Lollipop e incluso en el caso de FramaRoot a algunos de los fabricantes de móviles más conocidos.
Robo de información
Parece que el principal objetivo de este malware es el robo de información privada del dispositivo infectado. Así pues, Fakedebuggerd recopila información como el tipo y el nombre de la red a la que se conecta el dispositivo, las llamadas recibidas/enviadas, información de la tarjeta SIM como el IMEI o el firmware del teléfono (dirección Mac, información de su CPU, versión del sistema del móvil), etc.
Esta información puede resultar crucial a la hora de realizar ataques dirigidos a ciertas empresas, puesto que proporciona datos muy útiles sobre los dispositivos de los empleados que pueden actuar como puerta de entrada a la información confidencial de una compañía. Además, gracias a sus capacidades de rootkit puede ocultarse y pasar desapercibido en los móviles corporativos utilizados por los empleados durante mucho tiempo.
Protegiéndonos de Fakedebuggerd
A pesar de tratarse de una amenaza avanzada para Android, las medidas para evitar verse afectado siguen siendo las mismas que con el resto de amenazas:
- Evitar descargar aplicaciones de sitios de terceros o desarrolladores que no tengan una reputación contrastada. Si utilizamos el dispositivo en un entorno corporativo, instalar únicamente aquellas aplicaciones autorizadas por los administradores de sistemas.
- No pulsar sobre enlaces recibidos por mensajería, sms, correos, etc., si no sabemos a dónde van a dirigirnos, y aun dirigiéndonos a una web legítima, sospechar si se intenta descargar algún fichero o instalar cualquier tipo de actualización.
- Contar con una solución de seguridad en el dispositivo que permita detectar estas amenazas no solo por la base de firmas, sino también por su comportamiento.
Conclusión
Fakedebuggerd es solo una muestra más de cómo el malware avanzado que hemos visto durante años en sistemas de escritorio va migrando rápidamente al entorno móvil. Ya hemos analizado casos de ransomware siendo portados a smartphones pero el uso de rooktits da un paso más en la complejidad de las amenazas orientadas a infectar estos dispositivos.
A pesar de que esta amenaza parezca estar orientada al mercado chino, no debemos bajar la guardia, puesto que es muy fácil para los delincuentes adaptarla a otros mercados y convertirla en algo global. A más víctimas potenciales, mayor beneficio para los delincuentes. Es por eso que debemos estar alerta y evitar que nuestro smartphone sea una de esas víctimas.