A medida que los analistas idean nuevas formas de analizar el malware y los usuarios comienzan a comprender cómo funciona el código malicioso, los ciberdelincuentes encuentran nuevas formas de ingresar y comprometer los teléfonos.
Las técnicas elaboradas utilizadas para aumentar la efectividad de los ataques se pueden agrupar en dos categorías distintas: tácticas de ingeniería social que intentan confundir a los usuarios y mecanismos técnicos sofisticados que intentan frustrar la detección y el análisis de malware.
Este artículo resume algunos comportamientos comunes de estos códigos maliciosos de Android que han surgido en los últimos años.
Estafa de ingeniería social
Uso de cuentas fraudulentas en Google Play Store para distribuir malware
Varias aplicaciones de malware siguen apareciendo en la tienda oficial de Google. Para los ciberdelincuentes, introducir malware en tiendas de aplicaciones legítimas es una gran victoria, ya que les permite llegar a más víctimas potenciales y hacer que sus dispositivos sean más susceptibles a infecciones.
Además, las cuentas de desarrollador falsas utilizadas para difundir aplicaciones no seguras o maliciosas intentan imitar las cuentas reales lo más cerca posible para engañar a los usuarios comunes, lo que eventualmente conduce a estafas elaboradas. En un caso reciente, los investigadores descubrieron una aplicación falsa de actualización de la plataforma de WhatsApp que usaba caracteres Unicode para que pareciera que se estaba distribuyendo desde una cuenta oficial.
Aproveche las fechas de lanzamiento de la aplicación móvil
Una práctica común en el mundo del cibercrimen es el desarrollo de malware idéntico a versiones de aplicaciones ya existentes (generalmente juegos), que han ganado una popularidad inesperada y están programadas para su lanzamiento o no disponibles en las tiendas oficiales de algunos países. Esto sucedió con Pokémon GO, Prisma y Dubsmash, aumentando con cientos de miles de infecciones más, en todo el mundo.
Tapjacking y ventanas superpuestas
El tapjacking es una técnica que consiste en desviar los clics de un usuario en la pantalla mostrando dos aplicaciones superpuestas. Por lo tanto, las víctimas tienen la impresión de que están haciendo clic en la aplicación en pantalla, pero en realidad están interactuando con la aplicación subyacente, que permanece oculta.
Otra estrategia similar muy utilizada en spyware para robar datos de autenticación en Android es la superposición de ventanas. A través de este esquema, el malware rastrea continuamente qué aplicación está usando el usuario y cuando encuentra una coincidencia con una aplicación específica, muestra un cuadro de diálogo, idéntico al de la aplicación legítima, que solicita los detalles de inicio de sesión del usuario.
Camuflaje entre aplicaciones del sistema
Con mucho, la forma más fácil de introducir malware en un dispositivo es disfrazarlo como una aplicación del sistema y pasar casi desapercibido. Las prácticas fraudulentas como eliminar el ícono de una aplicación después de la instalación, usar nombres, paquetes e íconos de aplicaciones del sistema y otras aplicaciones populares para comprometer un dispositivo son estrategias cada vez más comunes en el código de malware, un ejemplo es el virus troyano bancario que se hace pasar por Adobe Flash Player para robar datos del usuario.
Simule sistemas y aplicaciones de seguridad para solicitar permisos de administrador
El sistema Android está programado para restringir los permisos de las aplicaciones y muchos códigos maliciosos requieren privilegios de administrador para realizar con éxito sus funciones destructivas. Otorgar este permiso puede dificultar la desinstalación de malware más adelante.
Disfrazarlos como herramientas de seguridad o actualizaciones del sistema solo ayuda a los ciberdelincuentes. En particular, les permite protegerse en nombre de un desarrollador de confianza, por lo que los usuarios no dudan en permitir que las aplicaciones accedan a funciones administrativas.
Certificados de seguridad que simulan datos reales
El certificado de seguridad que se usa para aprobar un archivo APK también se puede usar para determinar si una aplicación se ha modificado o no. Si bien la mayoría de los ciberdelincuentes usan cadenas de texto genéricas cuando emiten un certificado, muchos enfrentan el problema de falsificar los datos para que coincidan con los datos utilizados por el desarrollador, lo que aumenta sus esfuerzos para confundir a los usuarios que realizan estas comprobaciones.
Técnicas para complicar el análisis
Múltiples características en el mismo código
Una tendencia que ha surgido en los últimos años en el mundo de la telefonía móvil es combinar distintos tipos de malware en un único ejecutable. Un ejemplo de ello es LokiBot, un troyano bancario que intenta pasar desapercibido el mayor tiempo posible para robar información de un dispositivo; sin embargo, cuando el usuario intenta eliminar los permisos administrativos para desinstalar el programa, activa su función de ransomware al cifrar los archivos del dispositivo.
Aplicaciones ocultas
El uso de cuentagotas o descargadores, como la incrustación de malware en otro APK o la descarga de Internet, es una táctica que no se limita al malware para computadoras portátiles y de escritorio, sino que también la usan comúnmente los autores de malware para dispositivos móviles.
Dado que el antiguo Google Bouncer (ahora Google Play Protect) dificultaba que los ciberdelincuentes subieran malware a la tienda oficial, los atacantes optaron por incluir este tipo de ofuscación de código para evitar auditorías… ¡y funcionó! Al menos un rato.
Estas dos formas de empaquetado de malware se han convertido desde entonces en las técnicas maliciosas más utilizadas.
Múltiples lenguajes de programación y códigos volátiles
Todo el tiempo se desarrollan nuevos marcos de desarrollo multiplataforma y lenguajes de programación. No hay mejor manera de engañar a un analista de malware que combinar lenguajes y entornos de desarrollo, como diseñar aplicaciones con Xamarin o usar código Lua para ejecutar comandos de malware. Esta estrategia cambia la arquitectura final del ejecutable y agrega capas de complejidad.
Algunos atacantes agregan a esta combinación la carga dinámica de scripts o porciones de código descargadas de servidores remotos y eliminadas después de su uso. Por lo tanto, una vez que los ciberdelincuentes han desactivado el servidor, es imposible saber exactamente qué acciones ha realizado el código en el dispositivo.
Tales casos comenzaron a aparecer a finales de 2014 cuando los investigadores publicaron este análisis exhaustivo del malware.
Virus de malware sinérgico
Otra forma de complicar el análisis de tales muestras es dividir la funcionalidad maliciosa en un conjunto de aplicaciones que pueden interactuar entre sí. De esta manera, cada aplicación tiene un subconjunto de permisos y capacidades maliciosos, que luego interactúan entre sí para lograr diferentes objetivos. Además, para que los analistas comprendan la verdadera funcionalidad del malware, deben poder acceder a cada aplicación individual como si fueran parte de un rompecabezas.
Si bien esta no es una táctica de uso común, ha habido algunos casos de este comportamiento, como se demuestra en un artículo reciente de Virus Bulletin.
Canales encubiertos y nuevos mecanismos de comunicación
Para comunicarse con un servidor C&C u otra aplicación maliciosa, el malware necesita transferir información. Esto se puede hacer a través de canales abiertos tradicionales o canales cerrados (protocolos de comunicación personalizados, intensidad de brillo, wakelock, uso de CPU, espacio de memoria libre, niveles de sonido o vibración y acelerómetros, entre otros).
Además, en los últimos meses hemos visto cómo los ciberdelincuentes utilizan las redes sociales para transferir mensajes C&C, como Twitoor, la botnet que utiliza las cuentas de Twitter para enviar comandos.
Otras técnicas
El uso de técnicas como empaquetado, antiemulación, antidepuración, cifrado, encubrimiento u otras técnicas de evasión es muy común en el malware de Android. Para crear este tipo de protección se pueden utilizar funciones de bloqueo, por ejemplo a través de aplicaciones como Frida.
También es posible utilizar entornos de creación de perfiles que, por defecto, intentan evitar estas comprobaciones, como MobSF, que incluye técnicas antiemulación, Inspección, donde puede ver, por ejemplo, cadenas de texto sin formato antes y después del cifrado y las claves utilizadas. o AppMon.
Para evitar infecciones, recuerde estar al tanto de estas acciones potencialmente dañinas y verifique que su teléfono no sea pirateado.