Les tècniques de malware de Windows es van estendre a Android

Com que el seu ús està tan estès, Windows és un objectiu extremadament popular per als escriptors de programari maliciós. Es perfeccionen i sintonitzen les tècniques d’atac i treballen de valent per innovar nous tipus d’atacs. La popularitat creixent d’Android està convertint-la en un objectiu similar. L'últim informe de amenaces mòbils del gegant de seguretat finlandès F-Secure constata diversos canvis en el paisatge d'amenaça d'Android que es deriven de la introducció de tècniques ja conegudes a Windows.

Durant molt de temps, les aplicacions trojanitzades eren pràcticament l’únic tipus de malware a Android. És ridículament senzill decompilar una aplicació, ajustar els permisos, incloure un mòdul maliciós i crear una nova versió de l'aplicació que fa tot el que l'antiga feia, més alguna cosa nova i desagradable, com enviar textos a números premium. Sí, les botigues oficials d’aplicacions d’Android fan tot el possible per detectar i rebutjar aquests troians, però hi ha un munt de llocs de descàrrega no oficials d’aplicacions. En alguns països, aquests són els únics llocs per obtenir aplicacions. Tot i que les aplicacions trojanitzades encara dominen, els investigadors de F-Secure ara veuen més i diferents tipus de programari maliciós Android salvatge.

Profit Motive

L’informe afirma que més del 75 per cent de les amenaces actuals d’Android existeixen per guanyar diners per als seus creadors. Vaig preguntar a Sean Sullivan, assessor de seguretat de F-Secure Labs, què motiva el descans. "Espiar, fer el seguiment, informar-se i similars", va respondre Sullivan. "A més, recopila informació de contacte amb finalitat de correu brossa SMS (gran a la Xina)." En aquest cas, va explicar, la informació de contacte es vendria, però l'escriptor de programari maliciós "no beneficia directament".

Un troià relativament nou d'Android anomenat Stels es basa en els correus electrònics de correu brossa per a la seva distribució. Enllaça amb el botnet Cutwail, una enorme font de correu brossa a tot el món. Posant-se com a correu electrònic des de l’IRS, serveix un enllaç maliciós que redirigeix ​​els usuaris d’Android a una pàgina que informa de la necessitat d’actualitzar Flash Player. Instal·lar la suposada actualització realment permet el troià per realitzar trucades telefòniques; mentre estàs adormit, guanya diners per al seu creador trucant números premium.

L'informe es refereix a aquesta trucada que truca "trucades de llarg recorregut (també conegudes com a parades curtes)". Cap de les dues frases va sonar per a mi. Sullivan va explicar que particularment als països en desenvolupament, alguns serveis de facturació utilitzen VOIP per a la porció nacional més curta d’una trucada i la telefonia tradicional per a la trucada “llarga”. "Aquest tipus de servei de facturació altrament legítim pot abusar de programari maliciós", va dir Sullivan. "És bastant difícil saber a qui pertany un número de llarga línia quan reviseu un projecte de llei."

Zitmo en venda

Troians bancaris com Zeus us roben les vostres credencials en línia o el piggyback a les vostres sessions de banca en línia per fer les seves pròpies transaccions. Quan els bancs van afegir autenticació de dos factors mitjançant dispositius mòbils, els dolents van inventar Zeus-in-the-mobile. Per tant, anomenada Zitmo, aquesta tècnica permet que el troià subverteixi l'autenticació de dos factors. Segons l'informe, l'ús de Zitmo ja no es limita als "operadors Zeus de gamma alta", ja que un nou component anomenat Perkele ja està disponible al "mercat del programa del crim".

L'informe assenyala que "Ara qualsevol persona que utilitzi una botnet Zeus pot trobar opcions assequibles per a Zitmo". Els investigadors han trobat aquest grup troià orientat als bancs a Itàlia, Tailàndia i Austràlia, amb cada instància personalitzada per semblar la marca del banc objectiu.

Que segueix?

L’informe assenyala diverses altres tàctiques de programari maliciós que es mostren ara a l’àmbit Android. S'han utilitzat atacs dirigits contra activistes tibetans. Una amenaça que F-Secure cridi SmSilence roba informació personal específicament de telèfons amb un codi d'àrea de Corea del Sud. Les estafes d’oferta de treballs falses aconsegueixen que les víctimes s’apliquin, cobren una quota de procés i després no lliuren res.

Pensant en el "desplegament de funcions" en curs de tècniques de programari maliciós des de Windows fins a Android, li vaig preguntar a Sullivan què espera veure. "Ja estic sorprès una mica", va dir, "que ja no hem vist cap aplicació de rascada de dades / fotografies dirigida a adolescents (noies) que s'utilitza per intentar xantatge i extorcar més materials de la víctima". Parlem de funcions

L'informe complet és, per descomptat, molt més detallat. Podeu visualitzar-lo al lloc web de F-Secure Labs.