Las nuevas amenazas de colusión en aplicaciones móviles

Intel Security dio a conocer hoy su Informe de McAfee Labs sobre amenazas: Junio 2016, el cual explica la dinámica de colusión de aplicaciones móviles, donde los cibercriminales manipulan dos o más aplicaciones para orquestar ataques hacia dueños de smartphones. McAfee Labs ha observado dicho comportamiento a lo largo de más de 5.056 versiones de 21 aplicaciones diseñadas para proporcionar servicios útiles al usuario como streaming de video móvil, monitoreo de salud y planificación de viajes. Desafortunadamente, el que los usuarios no descarguen periódicamente las actualizaciones básicas para estas 21 aplicaciones móviles, aumenta la posibilidad de que versiones más viejas puedan ser reclutadas para actividad maliciosa.
Ampliamente considerada como una amenaza teórica por muchos años, la colusión de aplicaciones móviles genera actividad dañina al aprovechar las capacidades de comunicación entre aplicaciones, algo común a los sistemas operativos móviles. Estos sistemas operativos incorporan diversas técnicas para aislar aplicaciones en recintos de seguridad, limitar sus capacidades y controlar los permisos que tienen a un nivel bastante granular. Desgraciadamente, las plataformas móviles también incluyen métodos para que las aplicaciones se comuniquen unas con otras traspasando las fronteras de los recintos de seguridad. Al trabajar juntas, las aplicaciones en colusión pueden aprovechar estas posibilidades de comunicación entre aplicaciones con propósitos maliciosos.
McAfee Labs ha identificado 3 tipos de amenazas que pueden generarse a partir de la colusión de aplicaciones móviles:
  • Robo de información: Es cuando una aplicación con acceso a información sensible o confidencial sin quererlo o consciente de ello, colabora con una o más aplicaciones diferentes para enviar información hacia afuera de las fronteras del dispositivo.
  • Robos financieros: Se refiere a cuando una aplicación envía información a otra que puede ejecutar transacciones financieras o realizar llamadas financieras API para lograr objetivos similares.
  • Mal uso de servicio: En este caso, una aplicación controla un servicio del sistema y recibe información o comandos de una o más aplicaciones para orquestar diversas actividades maliciosas.

La colusión de aplicaciones móviles requiere al menos de una aplicación con permiso para acceder a la información o servicio restringido, una aplicación sin permiso pero con acceso hacia afuera del dispositivo y la capacidad de comunicarse una con otra. Cualquiera de las aplicaciones podría estar colaborando a propósito o sin quererlo debido a una fuga accidental de datos o a la inclusión de una biblioteca maliciosa o a un kit de desarrollo de software. Dichas aplicaciones pueden usar espacio compartido (archivos que pueden ser leídos por todos) para intercambiar información relacionada con privilegios otorgados y determinar cuál es la que está idóneamente posicionada para servir como punto de entrada para comandos remotos.

“La mejora en la detección promueve mayores esfuerzos para engañar”, señaló Vincent Weafer, vicepresidente del grupo McAfee Labs de Intel Security. “No debe sorprender que los adversarios han respondido a los esfuerzos de seguridad móvil con nuevas amenazas para intentar ocultarse a plena vista. Nuestra meta es dificultar cada vez más que las aplicaciones maliciosas se apoderen de nuestros dispositivos personales, desarrollando herramientas y técnicas más inteligentes para detectar aplicaciones móviles en colusión”.

El informe de McAfee Labs reseña investigaciones prospectivas para crear herramientas utilizadas hasta ahora de forma manual por investigadores de amenazas pero que eventualmente tenderán a ser automatizadas para detectar aplicaciones móviles en colusión. Una vez identificadas, las aplicaciones en colusión pueden ser bloqueadas mediante tecnología de seguridad móvil. El informe sugiere diversos abordajes para minimizar la colusión de aplicaciones móviles, incluyendo: la descarga de fuentes confiables, evitar aplicaciones con publicidad incorporada y lo que es más importante, mantener siempre el sistema operativo y el software de las aplicaciones actualizado.

Para obtener consejos de seguridad online de cómo los consumidores pueden protegerse de las amenazas mencionadas en este informe, visite el Blog de recomendaciones de seguridad para consumidores.

El informe de este trimestre también documenta el regreso del Troyano W32/Pinkslipbot (también conocido como Qakbot, Akbot, QBot). Este Troyano de puerta trasera con capacidades tipo gusano se lanzó inicialmente en 2007 y rápidamente ganó la reputación de ser una familia de malware muy perjudicial y de alto impacto, capaz de robar tarjetas bancarias, contraseñas de correo electrónico y certificados digitales. El malware Pinkslipbot resurgió a finales de 2015 con características mejoradas como capacidades anti-análisis y cifrado multi-capas con la finalidad de frustrar los esfuerzos de los investigadores de malware para analizar y realizar ingeniería inversa en él. El informe también proporciona detalles sobre la auto-actualización y el mecanismo de exfiltración del Troyano así como el esfuerzo de McAfee Labs por monitorear las infecciones de Pinkslipbot y el robo de tarjetas en tiempo real.