Desde la introducción del iPhone en 2007, los teléfonos móviles siguen una tendencia clara de evolución para convertirse en verdaderas computadoras de mano, con sistemas operativos complejos, la capacidad de ejecutar múltiples aplicaciones y almacenar grandes cantidades de datos. Y desde entonces, los investigadores han dicho que los atacantes comenzarían a centrarse en las plataformas […]
Desde la introducción del iPhone en 2007, los teléfonos móviles siguen una tendencia clara de evolución para convertirse en verdaderas computadoras de mano, con sistemas operativos complejos, la capacidad de ejecutar múltiples aplicaciones y almacenar grandes cantidades de datos. Y desde entonces, los investigadores han dicho que los atacantes comenzarían a centrarse en las plataformas móviles tan pronto como pudieran encontrar una forma de hacer dinero con ellas. Al parecer ese momento ha llegado.
La aparición la semana pasada del troyano Android SMS, que dispara múltiples mensajes de texto a números Premium controlados por los atacantes, es el último, y quizás el más destacado ejemplo de los esfuerzos de los grupos criminales en línea para ganar dinero a través de ataques a los dispositivos móviles. Pero el troyano Android no es el primero de estos ataques y que definitivamente no será la última, dicen los expertos.
«Creo que va irán junto con la penetración en el mercado de los teléfonos inteligentes. Entre mayor sea el porcentaje de teléfonos inteligentes, vamos a ver más ataques», dijo Tyler Shields, un investigador de seguridad en Veracode. «Esas cosas seguirán aumentando porque estamos viendo una alta calidad de los objetivos. Todo el mundo y hasta sus abuelas están comprando un teléfono inteligente, y es porque quieren las aplicaciones. Han golpeado ese punto de inflexión. Es un mercado sin explotar, en el que nadie hace seguridad «.
El troyano SMS de Android, que se conoce como FakePlayer, es una variante de un fraude que es bastante común en Europa del Este y Rusia. Los fraudes suelen incluir un ataque de descarga de archivos en dónde una pieza de malware es cargada en una PC. El software malicioso, llama a un bloqueador de SMS, posteriormente actúa como una pieza normal de ransomware, generando alertas que indican que el usuario deberá enviar un mensaje SMS a un número con tarifa especial a fin de eliminar los cuadros de diálogo y el ransomware. Otras variaciones muestran una foto pornográfica o una advertencia de que la licencia del usuario de Windows ha expirado. Pero la demanda es la misma: un mensaje SMS a un número que puede llegar a costar 10 dólares americanos.
La aparición del troyano FakePlayer Android puede ser visto como la apertura de un nuevo frente en la guerra entre los atacantes y los defensores. El troyano no es realmente una pieza de malware en el más estricto sentido de la palabra. No se necesita aplicar alguna acción maliciosa en el propio dispositivo, no realiza ningún cambio en sistema operativo del teléfono inteligente o elimina datos. En su lugar, FakePlayer tiene un único objetivo: dinero en efectivo.
La evolución de los ataques y el malware que tiene como objetivos los dispositivos móviles es paralela a la historia de los ataques en los equipos personales, pero los atacantes se están moviendo a un ritmo mucho más rápido que la velocidad a la que se desarrollaron nuevas tácticas para comprometer equipos de escritorio. La innovación que está ocurriendo en los ataques móviles está dejando atrás las defensas por un amplio margen en este momento, y gran parte de ello se entrega directamente a los desarrolladores de las plataformas de teléfonos inteligentes – Apple, Google, RIM, etc. – que están cometiendo exactamente el mismo error que los vendedores de software de PC hicieron hace décadas: adicionar más características a la plataforma y prestar poca atención a la seguridad.
«Existe un claro paralelismo entre lo que está pasando en la plataforma móvil y los ataques realizados a PCs en los días de los gusanos flash. Las personas prueba las dive6rsas plataformas, como IIS y SQL Server, para ver lo que era posible», dijo Jon Oberheide, un investigador de seguridad y fundador de la empresa de seguridad Scio Security. «Los atacantes están sintiendo y ven cuánto dinero se necesita para obtener un rendimiento sobre su inversión. Están tratando de ver qué problemas pueden ser explotados».
Una de las razones por las que los atacantes recientemente han dirigido su atención a los teléfonos inteligentes, es que los vendedores de software para equipos de escritorio, en particular Microsoft, han añadido mecanismos de seguridad que hacen las explotaciones más difíciles. La adición de las protecciones de memoria como ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) a Internet Explorer dificultaron los ataques de corrupción de memoria, con lo que se redujo los ataques basados en el navegador.
En las plataformas móviles, este tipo de mecanismos de seguridad son inexistentes o no se aplican plenamente. Y los ataques recientes han demostrado que el navegador móvil en dispositivos como el iPhone se están convirtiendo en vectores de ataque de primer nivel. El ejemplo más destacado es el escenario de Jailbreakme.com, en la que un investigador creó un sitio que libera a los iPhones al juntar un par de vulnerabilidades previamente desconocidas que afectan el iPhone. La carga útil en este caso fue benigna – simplemente liberar el iPhone – pero un atacante fácilmente podría haber creado un sitio similar que ofreceza una carga maliciosa.
«La actual cadena de explotaciones en ese caso no era trivial. Demostró que una vez endurecido el Sistema Operativo surgen nuevos niveles de explotación que hacen esto más difícil», dijo Oberheide. «Todos los mecanismos de endurecimiento de aplicaciones en los equipos de escritorio no son los mejores para los equipos móviles. Una gran cantidad de plataformas no están tomando ventaja de esto. Tal vez necesitamos que los desarrolladores hagan esto pronto. Se podría presentar como una ventaja competitiva».
Pero incluso en el caso de Jailbreakme.com, el retorno para la inversión de tiempo y esfuerzo por parte del atacante puede ser bastante bajo, ya que dependerá de atraer a los usuarios de iPhone a la página. Los ataques más problemáticos y que se ejecutan fácilmente suponen obtener de forma simple una aplicación maliciosa en una de las tiendas de aplicaciones móviles, algo que ya se convirtió en un problema.
Tanto Oberheide y Shields tienen experiencia en la ejecución de estos ataques, aunque con aplicaciones benignas para pruebas de concepto. Shields creo una aplicación espía para el BlackBerry llamada txsBBSPY, que es capaz de interceptar mensajes de texto y mensajes de correo electrónico y rastrear la localización del usuario. Posteriormente, fue capaz de colocar la aplicación en el mercado de aplicaciones BlackBerry App World con muy poco esfuerzo. Oberheide realizó un truco similar en Google Android Market, con una aplicación llamada RootStrap, que instala un rootkit en los dispositivos Android que periódicamente descarga el código ARM nativo desde un servidor remoto. La aplicación fue disfrazada como una vista previa de la película Crepúsculo, y más de 200 personas la descargaron desde el Android Market.
Como están las cosas, la relativa debilidad en la seguridad de las plataformas de teléfonos inteligentes, combinado con el problema de las tiendas de aplicaciones, están haciendo que los iPhones, Blackberrys y otros dispositivos móviles se conviertan en los principales objetivos para los atacantes. Y los expertos no ven mucha esperanza en el horizonte.
«Hay un cuello de botella en las tiendas de aplicaciones. Los atacantes van a poner sus cosas ahí», dijo Shields. «Los vendedores realmente tiene que hacer algunos análisis para garantizar que las aplicaciones hagan lo que se supone que deben hacer. Pero es más fácil decirlo que hacerlo. Si nos fijamos en la dificultad, lo que hice, fue el más fácil de estos ataques, ¿Por qué gastar tiempo en la investigación avanzada de GSM, cuando se puede obtener una aplicación maliciosa en la tienda de aplicaciones con tanta facilidad? »
«No hay duda de que es fácil introducir algo en la tienda de aplicaciones. ¿Por qué descubrir una nueva vulnerabilidad en Webkit para después explotarla y cargar un rootkit cuando se puede hacer esto?», dijo Oberheide. «Hemos aprendido mucho sobre el diseño de plataformas seguras en los últimos años, pero tenemos el tradicional problema de enfocarnos en las características en lugar de centrarse en la seguridad. Podríamos haber empezado con una plataforma muy segura, un núcleo endurecido y una pila de aplicaciones. Podríamos haberlo hecho. Pero, en realidad, a nadie le importa lo que hacemos. Es deprimente. «
http://www.planetatortuga.com/modules/news/article.php?storyid=3364