En estos días se está realizando una importante conferencia sobre seguridad informática, la RSA Conference. Allí, un grupo de investigadores dio una charla contando un interesante experimento: la creación de una red botnet de 8 mil dispositivos móviles iPhone y Android.
El experimento consistió en crear una aplicación, titulada WeatherFist, que además de brindar datos meteorológicos a los usuarios que la instalaran, robaba información del dispositivo, incluyendo lista de contactos y coordenadas del GPS. Luego, comenzaron a difundir su aplicación a través de un sitio web y otros portales de aplicaciones para dichas plataformas. El objetivo de los investigadores era probar la posibilidad de propagar este troyano del tipo bot para dispositivos móviles, y crear así una botnet con dispositivos móviles.
Los resultados fueron sorprendentes: en la primer hora de disponibilidad de la aplicación se realizaron 126 descargas, y fueron 702 en las primeras ocho horas. Al 5 de marzo, día en que se realizó la presentación del exp erimento, eran 7.800 dispositivos (iPhone y Android) con la aplicación en ejecución. Según declaraciones de Daniel Tijerina (uno de los investigadores), "Los resultados fueron realmente sorprendentes, porque si esto hubiera sido un código malicioso real, podría haber controlado este número de bots".
Además, para probar la peligrosidad de las redes botnets en dispositivos móviles, los investigadores escribieron una versión maliciosa de WeatherFist, llamada WeatherFistBadMonkey, que corría código bot y grababa información de los contactos, cookies, dirección física del usuario y podría enviar spam en forma automática. Esta aplicación fue ejecutada sólo en dispositivos de los investigadores y no fue expuesta (ni lo será) en forma pública.
Cabe destacar que, al igual que con los primeros gusanos para iPhone, se trata de una amenaza que sólo afecta a dispositivos que han pasado por un proceso de jailbroking. No así los dispositivos Android que se veían todos afectados por esta aplicación, aunque esta no se distribuía en los sitios oficiales.
Según los investigadores, el experimento fue para probar cuán sencillo una aplicación puede disponer de la información del usuario en sus dispositivos móviles. Claramente lo han demostrado, conformando una de las primeras redes botnets en dispositivos móviles que, aunque experimental, demuestra las posibilidades que los atacantes están comenzando a explotar y sobra la que los usuarios deberán protegerse.
Sebastián Bortnik
Analista de Seguridad
