És més probable que us sorprengueu els llamps que els infectats amb programari maliciós mòbil

A la conferència RSA 2015, els investigadors de la firma de seguretat Damballa van anunciar que, als Estats Units, és molt més probable que et deixin sentir els llamps que els infectats amb programari maliciós mòbil. Tot i que això dóna suport a un estudi previ realitzat per l’empresa, Damballa ha trobat una cosa molt estranya en dispositius mòbils.

Seguiment del trànsit maliciós

El negoci de Damballa és la defensa automatitzada de les incompliments basada en analítica de dades. Mentre treballava amb un important operador sense fils dels EUA, Damballa va poder comparar les dades de trànsit amb URLs maliciosos coneguts extrets d’uns 70.000 exemplars de programari maliciós mòbils. "Va ser una mica un procés manual per eliminar els dominis comuns que probablement no estiguin associats amb programari maliciós", va explicar el investigador científic científic Senior Charles Lever. "Va ser dolorós".

En la seva investigació, Lever va dir que Damballa no tenia accés a les càrregues útils d’aquestes transmissions, només els URL. La companyia va deixar clar que no tenia visibilitat en les dades del client.

L’abast de l’estudi de Damballa és enorme, centrat en uns 151 milions de dispositius diaris, fins als 25 milions quan la companyia va dur a terme l’estudi el 2012. La companyia va dir que això suposava el 50 per cent del trànsit de dades mòbils als Estats Units. aquests només van veure uns 9.688 dispositius que van adreçar-se a URL associades a programari maliciós mòbil.

A causa, el 0, 0064 per cent del tràfic és maliciós. En el comunicat de premsa de la companyia, Damballa va dir que les probabilitats oficials dels serveis meteorològics nacionals de ser atropellades per llamps eren significativament superiors a l'1, 3 per cent.

Refugi segur

Lever va dir que les conclusions de l'estudi van donar suport a la idea que, mentre que els programes maliciosos mòbils han estat molt discutits en cercles de seguretat (i per aquest autor). "Estem trobant moltes mostres de programari maliciós, però no estic segur que aquestes mostres es dirigeixen als seus dispositius", va dir Lever.

"Tenim mercats forts de primera línia als Estats Units", va continuar Lever, referint-se a la botiga d'aplicacions Apple i la botiga de Google Play. Va dir que aquestes botigues tenen bones mesures de seguretat que han defugit els pitjors actors i que inclouen eines que permeten a Apple i Google desactivar o eliminar de forma remota les aplicacions malintencionades que poden trobar-se als dispositius dels usuaris.

Per descomptat, l’estudi de Damballa té limitacions. Per exemple, se centra en el trànsit de xarxa potencialment malintencionat en lloc d'instal·lacions reals malicioses en dispositius mòbils. A més, només cobreix la meitat dels EUA, la qual cosa deixa gran part del món sense comptar. Lever va dir que és possible que les infeccions per malware amb mòbils poguessin ser molt més elevades fora dels Estats Units "ho veia més elevat, però no ho podria dir empíricament", va dir Lever.

Curiosament, del trànsit mòbil malintencionat que va observar Damballa, la majoria es caracteritzaria per ser adware.

Shadowy Traffic

Però, mentre que el programari maliciós mòbil no va suposar un gran espectacle a l'estudi de Damballa, una altra cosa va fer. A més del trànsit que es va associar amb programari maliciós mòbil, Lever va explicar que Damballa també va fer un seguiment de les sol·licituds de dispositius mòbils a altres tipus d'infraestructures malintencionades. Es podria tractar d'una infraestructura per a programari maliciós d'escriptori, operacions de pesca, botnets, etc. Aquestes peticions a parts ombrívoles d’Internet per part dels dispositius mòbils van ser, va explicar Lever, significativament més gran que les peticions d’URL de programari mòbil de programari mòbil.

Quant més gran? Per diversos ordres de magnitud. Damballa va informar de 100.000 sol·licituds associades a programari maliciós mòbil, que va fer el seguiment per a aquests dispositius de deu-cents. Va fer un seguiment de 100 milions de sol·licituds a llocs que semblaven descàrregues de conducció i milers de milions (amb "b!") Associades a programari maliciós dirigit a l'escriptori. Un cop més, aquestes peticions provenen de dispositius mòbils.

Lever va dir que, tot i que aquestes ombrívoles sol·licituds dels dispositius mòbils són "significativament més grans que el que veiem per a programari maliciós mòbil", la seva causa és en gran mesura desconeguda.

Lever va suggerir que part del trànsit podria provenir d'usuaris de telefonia mòbil víctima de llocs de pesca. Altres experts en seguretat han suggerit que el phishing podria ser més fàcil en dispositius mòbils, perquè la pantalla relativament petita retalla URLs que semblin sospitosos i la icona de bloqueig associada a una connexió SSL no és visible.

Al llarg de la conversa, Lever es va mantenir en gran mesura optimista en matèria de seguretat mòbil, però, quan va discutir aquestes troballes inusuals, va prendre un gir decisivament negatiu. Va dir que, tot i que causés aquesta quantitat enorme de trànsit de xarxes sospitoses no podria ser un problema avui, podria ser en el futur. O fins i tot pot ser el resultat d'aplicacions malicioses actualment desconegudes.

• Android 4.1.1 Encara és vulnerable a Heartbleed Android 4.1.1 Encara que és vulnerable a Heartbleed
• Aplicacions Android malicioses poden piratejar Gmail Aplicacions Android malicioses poden piratejar Gmail
• Mobile Threat Monday: Apps Android Hide Windows Malware Mobile Threat Monday: Apps Android Hide Windows Malware

"És una gran àrea de risc que no s'està estudiant bé ara mateix i que podria utilitzar més investigacions per esbrinar què és això", va dir Lever. "És phishing? És spam? Què és el desglossament? I quina quantitat afecta actualment als dispositius mòbils i quant podríem en el futur?"

Tant de bo les futures investigacions puguin ajuntar aquest trencaclosques.