El 80% de los teléfonos inteligentes del mundo usa el sistema operativo de Google, y las herramientas disponibles para irrumpir en ellos casi pueden ser usadas por un niño.

 

Por Parmy Olson

 

PUBLICIDAD

Los expertos en seguridad llevan mucho tiempo alertando sobre el malware que amenaza a los equipos Android, el sistema operativo de Google que está en el 80% de los teléfonos inteligentes del mundo. En casos extremos, los hackers malintencionados podrían hacer más que enviar mensajes de texto Premium, también podrían convertir un teléfono en una herramienta de espionaje. Ese escenario fue demostrado recientemente en la conferencia de hackers Black Hat, y en un incidente de la vida real, un ejecutivo  de una empresa no identificada se convirtió involuntariamente en un conducto para que vendedores en corto escucharan una reunión de la junta directiva, todo, gracias al teléfono inteligente en su bolsillo.

Los crackers (intrusos que vulneran la seguridad digital de un equipo) habían instalado una torre celular falsa en los alrededores y activaron un micrófono de su dispositivo una vez que comenzó la reunión en el consejo de la empresa. Poco tiempo después, un grupo de accionistas vendió su participación en la compañía y se ganó 30 millones de dólares (mdd). El incidente tuvo lugar en el año pasado, según Gregg Smith, CEO de la compañía de seguridad móvil KoolSpan, y no es para nada un caso aislado. De hecho, los investigadores dicen que cada vez es más fácil tomar el control de ciertas características de los dispositivos Android, como el micrófono o la cámara, con herramientas en línea que son cada vez más fáciles de usar.

La firma de investigación en seguridad Symantec destacó recientemente que una herramienta de acceso remoto (o RAT), conocida como AndroRAT estaba siendo compartida en foros underground y que, unida a una nueva herramienta llamada binder, permite a los atacantes extraer información personal de un teléfono Android.

AndroRAT puede recuperar los registros de llamadas de un teléfono, mensajes SMS y monitorear las llamadas, tomar fotos y hacer llamadas. Una vez que los aspirantes a crackers han descargado la herramienta de acceso remoto, pueden utilizar le binder para integrar AndroRAT a una aplicación de aspecto legítimo, como Angry Birds. El binder cuesta 37 dólares en línea, mientras que AndroRAT es gratuito y de código abierto.

AndroRAT fue descubierto por primera vez en noviembre de 2012, pero binder hizo su aparición más recientemente, y es clave para hacer posible que personas sin conocimientos de programación infecten un equipo Android con la herramienta maliciosa.

Una vez que lo hayan hecho, sólo tienen que subir su aplicación infectada a un sitio y esperar a que otros la descarguen. El analista de Symantec, Vikram Thakur, estima que aproximadamente el 50% de las aplicaciones de Android descargadas a nivel mundial provienen de sitios de terceros, y la práctica es común en China, donde el gobierno ha prohibido el acceso a la tienda oficial Google Play.

Los atacantes suelen infectar una copia de una aplicación de juegos pagada, y anunciarla como gratuita para atraer más descargas. “La víctima juega el juego”, dice Thakur, “mientras el troyano está haciendo su trabajo en el fondo.”

A veces, los atacantes sólo quieren robar información de contacto, que en función de su origen puede ser muy apreciada en el mercado negro. Otras veces querrán el teléfono secuestrado para enviar SMS Premium. En este último caso, las víctimas pueden permanecer ajenos a lo que ocurre hasta que reciben se factura mensual; las aplicaciones con troyanos también pueden interceptar los mensajes de alerta de los operadores y eliminarlos.

Thakur estima que miles de personas en todo el mundo han descargado aplicaciones infectadas con AndroRAT, aunque cree que los servicios de seguridad y proveedores de Internet intensificarán los esfuerzos para detectar la intrusión.

Esta simplificación de las herramientas de hacking móviles no es ninguna sorpresa para los expertos de la industria de la seguridad, que ya han visto a aspirantes a crackers utilizar herramientas automatizadas de ataque como sqlmap o Havij para llevar a cabo ataques de inyección SQL relativamente simples, para robar datos de los usuarios de sitios web. El célebre grupo de hackers LulzSec reveló que utilizó Havij para robar contraseñas y direcciones de correo electrónico de PBS en el verano de 2011, y también pudo haber sido utilizado por el grupo de hackers Cr3w Cabin para violar una base de datos de la policía de Utah en 2012.

Darren Martyn, un ex miembro de LulzSec que ahora trabaja en la seguridad de información, dice que hay un paralelismo entre la forma en herramientas accesibles como Havij, LOIC (una herramienta súper fácil de utilizar para realizar ataques DDoS) y AndroRAT binder han hecho más fácil a los criminales cibernéticos de segunda categoría, sin conocimientos de programación, infiltrarse en aplicaciones web y ahora en dispositivos Android.

“Es un problema emergente”, dijo. “Incluso los más pequeños tienen acceso a esas herramientas… jóvenes irresponsables de 14 años de edad con herramientas de ataque automatizadas, ésa es una perspectiva aterradora, sin contar el verdadero potencial para el espionaje industrial y el crimen real.”

Georgia Weidman, encargada de probar la seguridad en los teléfonos inteligentes que dirigió las sesiones de entrenamiento en la conferencia Black Hat en Las Vegas, dijo que es cada vez más fácil irrumpir en los dispositivos móviles gracias a herramientas como AndroRAT. Por ahora, los ciberdelincuentes pueden ganar todavía más dinero atacando las PCs tradicionales, simplemente porque hay más máquinas que ejecutan Java, un lenguaje de programación que abre grandes vulnerabilidades de seguridad en el navegador. “Sin embargo, eso está cambiando rápidamente” dijo. “Cada vez más aplicaciones maliciosas aparecen en las tiendas de aplicaciones.”

La misma Weidman creó una herramienta para crackear aplicaciones para Android, llamada SPF, que fue diseñada para probar la seguridad de las aplicaciones. Similar a AndroRAT, le permitió descompilar una aplicación y añadir nuevas funcionalidades, como la extracción de datos de contacto, antes de reempaquetarse para lucir tal como lo hacía antes.

Así es el mundo paradójico de la seguridad cibernética, sin embargo, con frecuencia las herramientas como la de Weidman terminan siendo usadas para llevar a cabo ataques reales. Weidman dice que fue abordada recientemente por el gobierno de un país en desarrollo y le preguntaron si podía crear una herramienta similar como SPF, lo que permitiría a ese gobierno infectar una popular aplicación con el software que permitiría espiar a sus ciudadanos. Weidman no nombró al gobierno, pero dijo que los representantes habían ofrecido sus “un par de millones de dólares” por lo que habrían sido más o menos dos meses de trabajo, y afirmaron que querían utilizar la herramienta para identificar a los traficantes de personas y de drogas. Ella se negó.

“No es más difícil entrar a un dispositivo móvil”, dijo Weidman. “La manera más fácil de acceder a una computadora tradicional es engañar de alguna manera al usuario para que descargue algo, o abra un enlace en su navegador. Es lo mismo en el móvil.”

No ayuda a que muchos consumidores alegremente descarguen todas las apps que encuentran interesante. Se espera que unos 56,000 millones de aplicaciones sean descargadas a nivel mundial a finales de 2013, según ABI Research, dando a los desarrolladores ingresos por 25,000 mdd en ingresos, y quién sabe cuánto más para los delincuentes cibernéticos.

Thakur, de Symantec, dice que los pasos para mantener la seguridad en un teléfono Android son bastante sencillos, y los usuarios deben estar conscientes principalmente de dónde descargan sus aplicaciones. Fundamentalmente, cualquier aplicación descargada tendrá que pedir un permiso al usuario para acceder a características como la lista de contactos o la ubicación vía GPS.

“Asegúrese de que la aplicación, al ser instalada, sólo pida permiso para lo que se supone que deba hacer”, aconseja. “Si la calculadora pide tener acceso a la lista de contactos, probablemente hay algo mal allí.”

 

Siguientes artículos

Cuauhtémoc Moctezuma lanza programa de capacitación para meseros
Por

“Soy Mesero” es un programa integral que promueve la capacitación como la vía para llegar a la profesionalización del gr...