Malware en dispositivos móviles

Malware móvil: un poco de historia

Hoy en día, su teléfono se ha convertido en “el control remote de su vida”, un dispositivo que usa más que un portátil en sí, donde guarda sus datos más importantes.

Por tanto, nuestros smartphones son minas de información preciada para los ciberdelincuentes, que los atacan con técnicas cada vez más sofisticadas y novedosas, especialmente desde 2016, cuando el tráfico de Internet de los teléfonos móviles superó, por primera vez, el tráfico de los ordenadores.

En 2021, el tráfico procedente de dispositivos móviles representa el 55,7% de todo el tráfico web mundial (véase en la imagen 1 a continuación).

Imagen 1 – Distribución del tráfico web por dispositivo en el mundo (Fuente: We Are Social)

Los malwares en teléfonos móviles son relativamente recientes. El primer caso de malware móvil se remonta a 2004: se llamó Cabir y atacaron sistemas del tipo Symbian Series 60 (se propagaba a través de bluetooth), luego vinieron Ilkee y Duh (2009, atacaron iPhones usando jailbreak), FakePlayer (2010, el primer malware de Android que logró robar dinero enviando mensajes de pago a Rusia).

2011 fue el año de DroiDream, el primer ataque masivo que afectó a Google Play utilizando aplicaciones que contenían malware. Veremos a continuación cómo el uso de aplicaciones “infectadas” es uno de los principales vectores para propagar malware a dispositivos móviles (imagen 2).

Imagen 2 – Los primeros casos de malware en dispositivos móviles (Fuente: Informe Sophos sobre seguridad móvil)

La amenaza ha aumentado en los últimos años reflejando el crecimiento exponencial de los teléfonos inteligente, especialmente de los dispositivos Android, que hoy representan alrededor del 85% del mundo móvil, mientras que Apple iOS tiene el 155 restante del mercado.

Eso explica por qué los dispositivos Android son generalmente los que atacan con más frecuencia el malware. Esta situación es un poco menos real en el caso del software espía de alto nivel (entre los que el más popular es Pegasus del grupo NSO), porque en este caso los iPhones representan un buen objetivo. Discutiremos esto más tarde.

Las principales amenazas para los dispositivos móviles

Los sistemas operativos de los móviles tienen una arquitectura diferente a la de las computadoras (especialmente Windows) y, por lo tanto, también las técnicas de ataque son diferentes. Tanto Android como iOS son sistemas operativos relativamente “cerrados”, donde las aplicaciones funcionan sin tener acceso completo al Sistema operativo.

Se suele decir que en los móviles las aplicaciones están en “sandbox”, lo que significa que están segregadas en una “caja de arena” y tienen acceso solo a la parte del sistema operativo a la que les otorgamos permiso de acceso.

Hoy en día, la forma más utilizada por los malwares para infiltrarse en un dispositivo móvil es descargando una aplicación maliciosa. De hecho, los piratas informáticos se dan cuenta de aplicaciones que incluyen funcionalidades maliciosas ocultas, ya que intentan eludir los procesos de control de las tiendas desde las que los usuarios descargan las aplicaciones.

El ransomware, que encripta archivos y que está causando mucho daño al atacar los sistemas de IT de las empresas, no ha tenido mucho éxito en los dispositivos móviles (más información sobre ransomware está disponible en este artículo).

Este es el caso porque los teléfonos inteligentes tienen su copia de seguridad en la nube (iCloud para iPhone y Google Drive para Android). Por lo tanto, si los usuarios hacen una copia de seguridad de sus datos con regularidad, no habrá necesidad de pagar un rescate para recuperar sus archivos, será suficiente recuperarlos a través de la copia de seguridad.

Es por eso que los ciberdelincuentes no encuentran conveniente este tipo de ataque.

Los “ransomwares de bloqueo de pantalla” también están disponibles para móviles. Se dirigen a dispositivos Android. Estos ransomwares se instalan pretendiendo ser una aplicación legítima (a menudo una aplicación antivirus) y bloquean el móvil haciendo imposible su uso. Luego piden un rescate (generalmente bastante bajo, menos de 100 dólares), pero no cifran los datos (imagen 3)

Imagen 3 – Captura de pantalla de un ransomware de bloquea de pantalla

La amenaza se limita a los dispositivos Android, existe desde hace muchos años, pero sin embargo tiene una extensión limitada.

En resumen, Podemos señalar las siguientes como principales amenazas para los dispositivos móviles:

»  Aplicaciones maliciosas
»  Vulnerabilidades en los sistemas operativos
»  Spyware.

Software malicioso a través de aplicaciones maliciosas.

Como se mencionó anteriormente, el malware puede ingresar a los dispositivos móviles mediante la instalación de una aplicación maliciosa.

Esta es una técnica muy extendida: el atacante se da cuenta de una aplicación que contiene un malware pero que parece una aplicación inofensiva. El usuario lo descarga sin saber lo que contiene.

En realidad, para que las aplicaciones aparezcan en las tiendas oficiales (Google Play Store y Apple App Store) tienen que ser revisadas por las dos empresas, que deberían bloquear el acceso a las aplicaciones que contienen malware.

Sin embargo, son frecuentes los casos en los que este control no ha funcionado: en la siguiente imagen mostramos un caso reciente.

La compañía de seguridad Quick Heal Technologies Ltd. descubrió en junio pasado ocho aplicaciones maliciosas en Google Play Store, admitidas regularmente en la tienda, que usaban el software espía Joker, pero aparecían como aplicaciones de masaje u otro tipo de aplicaciones.

Este caso es especialmente sutil, porque Joker no está dentro de la aplicación cuando se descarga de Play Store, sino que se descarga solo después de que la aplicación se haya instalado en el dispositivo.

Imagen 4 – El software espía Joker y las aplicaciones lo transmitieron

Esta técnica de disimulación podría haber engañado a los sistemas de Play Store.

Sin embargo, hay muchos otros casos en los que cientos de aplicaciones maliciosas han podido ser admitidas en las tiendas.

En septiembre de 2019, Lukas Stefanko (de ESET) descubrió 1721 aplicaciones maliciosas en Google Play Store. Naturalmente, esto se informó a Google Play Store, que eliminó inmediatamente las aplicaciones, ¡pero ya se habían descargado 335.952.400 veces!

Google es consciente de estas vulnerabilidades de su tienda, sobre todo si se compara con la de Apple, que logra un control más estricto (Apple ha declarado que alrededor del 40% de las aplicaciones sugeridas por los desarrolladores no son admitidas en la Apple Store).

Es por eso que Google se ha asociado con ESER, Lookout y Zimperium para luchar contra las aplicaciones que son dañinas para su mercado móvil. La asociación, nacida a finales de 2019, se llama “App Defense Alliance” y tiene como objetivo controlar con un mayor nivel de detalle lo que se publica en Play Store, que hoy cuenta con 2.800 millones de usuarios y una cuota de mercado de alrededor del 80% a nivel mundial.

Las empresas elegidas para la alianza son nombres reconocidos en el sector de la ciberseguridad y ofrecen productos específicos para proteger los dispositivos móviles y todo el ecosistema móvil. Por lo tanto, Google integra los “motores de detección” de cada socio en Google Play Protect, que es el Sistema para detector códigos maliciosos dentro de las aplicaciones.

Según lo declarado por Google, Play Protect ejecuta un control de seguridad en las aplicaciones en la tienda Google Play antes de su descarga y verifica la presencia de aplicaciones potencialmente dañinas provenientes de otras fuentes en el dispositivo Android.

Si las tiendas oficiales han demostrado que no pueden otorgar seguridad total, la situación es aún peor en las tiendas alternativas, que están ampliamente disponibles para aplicaciones de Android.

En comparación con iOS, que permite instalar aplicaciones solo a través de la App Store oficial (a menos que ejecute jailbreak en iPhone, que sin embargo está absolutamente desaconsejado por razones de seguridad), en Android existen varias alternativas a Google Play Store.

Muchos fabricantes de móviles (como Samsung) tienen su propia tienda donde los usuarios pueden descargar aplicaciones, pero también hay tiendas en línea administradas por terceros que ofrecen una gran cantidad de aplicaciones gratuitas y, por lo tanto, son apreciadas por aquellos usuarios que prestan más atención al costo que a la seguridad.

Y, de hecho, es en estos entornos donde los piratas informáticos malintencionados están presentes: publicar aplicaciones maliciosas en estos sitios es mucho más fácil, ya que los controles son mínimos, si no totalmente ausentes, en comparación con Google Play Store y Apple AppStore.

Enumeraremos a continuación algunas de estas tiendas Android no oficiales e invitamos al lector a abstenerse de usarlas para no tener malas sorpresas: Aptoide, Mobogenie, APKPure, F-Droid, APKMirror y muchas otras.

Desde estas tiendas es posible descargar archivos .apk, que es el archive del paquete de Android para la aplicación. Para ello, el usuario debe cambiar la configuración de su móvil, desactivando la protección que en la mayoría versiones de Android bloquea la instalación de archivos .apk, que suele estar configurada por defecto.

También es posible bloquear la instalación de archivos .apk descargados de Internet y que no pertenecen a ninguna tienda siguiente un procedimiento que varía en función del dispositivo en el que operes, pero que siempre es posible y no especialmente complicado.

Los riesgos del Sideloading

La posibilidad de descargar e instalar una aplicación desde una tercera fuente no oficial se define como Sideloading. Como vimos, esto es posible con Android, pero no con Apple iOS para iPhone y iPad, ya que iOS es un sistema cerrado.

Esta elección de Apple es criticada por muchos, porque se percibe como una forma de que Apple consolide su posición dominante y limite la libre competencia en el rico mercado de aplicaciones.

Además, la Unión Europea, a través de su comisaria de Competencia, Margrethe Vestager, está evaluando si esta práctica de Apple representa un abuso de posición dominante. En octubre de 2021, Apple respondió decididamente publicando un informe muy complete y detallado que ilustra las amenazas derivadas de una posible apertura de iOS al sideloading, si así lo obligan algunas regulaciones antimonopolio o algunas leyes específicas de la UE.

El informe se titula “Construyendo un ecosistema confiable para millones de aplicaciones” y muestra algunos datos importantes.

Apple destaca cómo solo en Android hay 6 millones de nuevos casos de infecciones por malware cada mes solo en Europa. Según otros estudios mencionados, la calidad del malware para Android es superior a la del malware para iPhone en un número entre 15 y 47 veces. Es legítimo pensar que Apple proporciona datos útiles para respaldar su postura, pero lo que afirma se basa en bases sólidas.

De hecho, también según otro estudio de PurpleSec titulado “2021 Cyber Security Statistics: The Ultimate List of Stats, Data & Trends”, el 98% de los ataques dirigidos a dispositivos móviles en 2021 afectaron a dispositivos Android y en casi todos los casos fueron ataques vinculados a aplicaciones que se instalaron fuera de la Play Store.

La importancia de las actualizaciones

Los dispositivos no actualizados son más vulnerables. Este postulado siempre es cierto, tanto para computadoras como para teléfonos inteligentes. Mantener su teléfono inteligente actualizado significa tener un dispositivo más seguro y mejor protegido.

Cada actualización puede agregar funcionalidades, pero seguramente también, y, sobre todo, cerrará algunas vulnerabilidades en nuestros dispositivos. Abstenerse de actualizar significa mantener las vulnerabilidades dentro del dispositivo.

En el Sistema iOS, la cadena de actualización es muy corta y vertical: los usuarios reciben las actualizaciones directamente de Apple, con un solo paso.

Desafortunadamente, esto no es posible con Android, debido a la complejidad de la cadena de suministra, que generalmente requiere al menos tres pasos: desde Google, hasta los productores de chips (Qualcomm, MediaTek, Exynos, etc; que tienen que actualizar las áreas de Código en relación con su hardware) y luego a los productores de móviles (Samsung, Xiaomi, etc. que deben integrar el nuevo software suministrado por Google con su propia interfaz y agregar las nuevas funcionalidades=, para luego llegar – ¡tal vez!- al móvil del usuario.

A veces se agrega un cuarto paso, cuando el operador (Tim, Vodafone, etc) interviene también en la personalización de la versión de Android (Imagen 5).

Imagen 5 – La cadena de actualización para Android (fuente: Google)

También existe la posibilidad de que el usuario nunca reciba la actualización: esto puede suceder si el dispositivo tiene al menos 2 o 3 años. En este caso, el fabricante del móvil podría considerar inconveniente invertir tiempo y dinero para adaptar la actualización a ese modelo, especialmente si estamos hablando de un modelo de trabajo.

Google ha entendido que este engorroso proceso representa una desventaja competitive en comparación con Apple. Por ello, en 2017 puso en marcha el “Proyecto Treble”, que fue explicado en su blog para desarrolladores de Android.

El Proyecto comenzó con el lanzamiento de Android 8.0 Oreo en 2017.

Lo que hace Treble es “subdividir” en secciones selladas el Código del Sistema operative, separando los elementos de bajo nivel (las áreas del código relativas al procesador del teléfono, el modem, etc.) del resto del Sistema operative. De esta forma, estos elementos de nivel inferior no deben actualizarse cada vez que se Lanza una nueva versión de Android.

Entonces, cada vez que Google Lanza una nueva versión de Android, los productores de dispositivos podrán enfocarse exclusivamente en su parte del Sistema operative, la parte “superior”, permitiendo que Google/Android actualice la parte “inferior, que es la necesaria para la seguridad.

Si deseas tener un dispositivo Android que mantenga durante varios años la posibilidad de actualización, existe también otra opción que te aconsejo: elegir un móvil equipado con Android One.

Android One es la versión “estándar” del Sistema operative de Google, es decir, la que carece de personalización de software y la que esta disponible en los móviles Pixel producidos por Google, pero no solo eso.

Otras empresas también han decidido instalarlo en sus móviles. La lista de móviles con Android One se puede encontrar en este sitio web

La interfaz de este Sistema operative es especialmente ligera, ya que carece de las opciones de personalización disponibles con otros productores.

Pero lo más importante es que la cadena de actualización es mucho más rápida y duradera: cuando Google lance la actualización de Android, llegaremos a esto de inmediato y sin tener que pasar por los fabricantes de chips y móviles.

En resumen, la cadena de actualizaciones será similar a la de iOS, con la ventaja adicional de poder otorgar actualizaciones por un periodo de tiempo más largo (generalmente al menos 3 años).

Spyware

Los spyware son aplicaciones que se instala (veremos más Adelante cómo) en los móviles y los espían.

Representan una amenaza que hoy en día es muy real para los móviles. Nuestros dispositivos contienen mucha información y nos acompañan en cada momento e nuestra vida; por lo tanto, para los ciberdelincuentes (¡pero no solo ellos!) puede ser muy útil espiarlos en lugar de robarlos.

Estos softwares son empleados también por el poder judicial y la policía con fines de espionaje: hablamos en este caso de “receptores de información”, utilizados para investigar mediante escuchas telefónicas en Comunicaciones o conversaciones en dispositivos electrónicos portátiles.

Estas herramientas, aunque son útiles para fines de investigación, corren el riesgo de resultar en violaciones inaceptables de las libertades civiles cuando se utilizan sin garantías necesarias. Incluso un escenario de “vigilancia masiva” puede convertirse en realidad y, en consecuencia, prácticas de espionaje ilícito.

De hecho, el software espía se utiliza en gran medida también con fines ilegales, para espiar a periodistas, disidente y rivales políticos.

Existen muchos tipos diferentes: algunos son particularmente sofisticados y costosos, como el Famoso Pegasus, realizado por la empresa israelí NSO Group. Recientemente (en julio de 2021), NGO Forbidden Stories y Amnistía Internacional han revelado que las fuerzas policiales han utilizado Pegasus en algunos países (Arabia Saudi, Azerbaiyán, Barñein, Emiratos Árabes Unidos, India, Kazajstán, Marruecos, México, Ruanda. Togo y Hungría) para espiar a personas importantes, periodistas y también figuras políticas relevantes. Se sospecha que las victimas incluyen también al presidente francés Emmanuel Macro, el ex primer ministro Édouard Philippe y 14 ministros del gobierno francés.

Probablemente también por estos hechos, en el mes de noviembre de 2021 el Departamento de Comercio de EE. UU. ha añadido a su lista de entidades las empresas israelíes NSO Group y Candiru, productoras de software espía: esto quiere decir que las exportaciones de entidades americanas a estas empresas son ahora sujeto a restricciones. Para el Departamento de Estados Unidos, efectivamente, estas empresas actúan “contra los intereses de la seguridad nacional y la política exterior de los Estados Unidos”.

Pero Pegasus no es el único software espía que, debido a su muy alto costo (cientos de miles de dólares), es probable que se utilice solo para objetivos importantes y específicos. En la web puedes encontrar varias aplicaciones que hacen lo mismo, pero de forma más “artesanal” y con unos costes accesibles para todos (unos cientos de euros).

No es necesario que los busque en Darkweb, ya que se distribuyen como aplicaciones “legales” (o al menos les gustarían creer que es así).

Muchas de estas aplicaciones se venden con el objetivo oficial y declarado de “controlar el móvil de sus hijos”. En realidad, son programas cuya instalación en el dispositivo de un tercero (sin su consentimiento) representa un delito propiamente dicho.

A continuación, enumeraremos algunos de ellos (sin proporcionar los enlaces), que todos podría comprar y usar para espiar a otra persona (esposa, esposo, colega, etc):

»  FlexiSPY
»  Highster Mobile
»  Hoverwatch
»  Mobistealth
»  mSpy
»  TeenSafe
»  TheTruthSpy
»  Cerberus
»  Y muchos otros…

Citizen Lab ha publicado recientemente un informe exhaustive titulado “The Predator in Your Pocket”, que analiza estos spywares de forma detallada.

¿Cómo se mete un spyware en su móvil?

Las técnicas utilizadas para instalar un software espía son las siguientes, enumeradas por complejidad desde las más simples, accesibles para todos, hasta las más refinadas:

»  Accediendo directamente al dispositivo: esta es la técnica más simple y la que utilizan los spywares más baratos (como FlexiSPY vs mSpy);
»  A distancia: utilizando un troyano con técnicas que explotan el phishing y la ingeniería social: así le sucedió en 2019 al juez Palamara, espiado gracias al software espía inyectado en su iPhone a través de una orden del Poder Judicial de Perugia;
»  A través de una inyección con IMSI Catcher (Stingray, etc.): es un ataque de tipo “man-in-the-middle” (MitM) y requiere el uso de dispositivos dedicados, como IMSI Catchers que pueden conectarse al teléfono inteligente y tomar control sobre él a través de la red móvil;
»  Explotación de una vulnerabilidad en el Sistema operative o en una aplicación: en este caso, las vulnerabilidades de día 0 a menudo se explotan. En el caso de Pegasus, NSO incluso explotó las “vulnerabilidades de cero clics”, las más poderosas, ya que no necesitan ninguna interacción del usuario (por lo tanto, ningún clic) para infectar el móvil. Esta es la técnica más sofisticada (y la más costosa) y es exactamente la utilizada por Pegasus, que recientemente comenzó a explotar las vulnerabilidades en el software iMessage de Apple y, por lo tanto, pudo acceder a cientos de millones de iPhones.

Síntomas de spyware: cómo saber si te están espiando

No es fácil entender si un teléfono inteligente ha sido infectado por un software espía.

Para los productos más sofisticados (como los realizados por NSO Group), incluso restablecer su teléfono a las condiciones de producción podría no ser suficiente, ya que están diseñados para ser invisibles en el móvil y, en los casos más avanzados, para instalarse en el Bootloader (el software que, al encender el teléfono, se encarga de cargar el Sistema operative instalado).

Los menos avanzados (enumerados arriba), aunque logran ser invisibles, generalmente se pueden eliminar reiniciando el teléfono. En otros casos, si sospecha que es víctima de software espía, es posible que deba hacer que su dispositivo sea analizado por empresas especializadas, pero en este caso los costos son comparables a los de comprar un nuevo móvil.…

De todos modos, la existencia de un software espía puede al menos sospecharse cuando se presentan los siguientes síntomas:

»  Menor duración de la batería: los spywares están siempre activos y consumen batería, aunque no estemos usando el teléfono;
»  Aumento anormal del tráfico de datos: los spywares deben enviar los datos recopilados;
»  Consecuente aumento desmotivado de los costos;
»  Rendimiento lento y, más en general, un funcionamiento anormal del teléfono.

Buenas reglas de seguridad en el uso de dispositivos móviles

Como se mencionó anteriormente, los spywares siempre se utilizan contra objetivos específicos: un rival político, pero también un competidor, un colega o, muy a menudo, su socio.

Estas son algunas de las mejores prácticas para usar nuestros móviles de manera segura y para defendernos de los spywares.

Como es habitual, estas medidas se refieren principalmente al factor humano (que es, como mucho, el punto débil de la cadena de seguridad):

»  Instalar aplicaciones descargadas solo de fuentes confiables, como Google Play Store y Apple App Store. Evite, como se explicó anteriormente, aplicaciones que provengan de fuentes cuestionables;
»  No haga clic en enlaces o archivos adjuntos en correos electrónicos y mensajes;
»  Mantener actualizado su Sistema operativo;
»  Proteja sus dispositivos con una contraseña segura. Establecer una contraseña Segura (el consejo es tener una contraseña de más de 4 dígitos, de al menos 6 dígitos y que incluya tanto números como letras) se ha vuelto necesario para evitar que alguien acceda a su teléfono, lo espíe y, sobre todo, instale una aplicación maliciosa. Desafortunadamente, muchas personas todavía hoy no establecen una contraseña de desbloqueo, debido a la pereza y la falta de atención, aunque el uso de sistemas biométricos (TouchID, FaceID) hace que esta opción sea extremadamente cómoda: la contraseña de desbloqueo tendrá que ingresarse solo en raras ocasiones, por ejemplo, al encender el móvil.
En nuestro teléfono ahora está nuestra vida, ¡no subestimaremos su seguridad!

El autor

Giorgio Sbaraglia, ingeniero, es consultor y formador en temas de ciberseguridad y privacidad.

 


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí

Artículos relacionados