Primer malware que utiliza drive-by download en Android

Está muy claro que las técnicas de propagación e infección de malware son cada vez más complejas. La prueba de este hecho es la aparición de una nueva amenaza para dispositivos móviles, específicamente Android, que se está propagando a través de páginas web y ataques “drive-by download”.

Según Lookout Mobile, este es el primer ataque dirigido a dispositivos móviles con sistema operativo Android que utiliza la técnica de “drive-by download” para infectar a los equipos. Aparentemente el nuevo troyano simula ser una actualización y se aloja en el equipo bajo el nombre de “update.apk”.

¿Cómo se produce la infección?

Existen sitios web que se encuentran infectados con este tipo de malware. Específicamente, fueron inyectados con código que utilizan iframes para conectarse a sitios remotos y descargar el malware. Generalmente el código se encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del usuario.

Sitios con código inyectado

Por lo tanto cuando un usuario navega por el sitio comprometido, automáticamente comienza la descarga de la amenaza. Cuando finaliza la descarga, el sistema operativo informa al usuario mediante una notificación para que autorice la instalación de la supuesta actualización. Aquí es donde entra en juego el engaño de que la amenaza es una actualización para que el usuario autorice su instalación. Cabe destacar que Android debe tener habilitada la opción de “unknown sources” (fuentes desconocidas) para permitir la instalación de aplicaciones fuera de Google Play porque, de lo contrario, bloquea aquellas que están fuera del market oficial.

Otro aspecto que llama la atención es que cuando se accede al sitio web desde un dispositivo que no utiliza Android, la descarga de la amenaza no se produce. Si ocurre si se accede desde el propio móvil con Android. Esta comprobación se lleva a cabo mediante el user-agent del navegador, el cuál determina desde que plataforma se está accediendo.

Actualmente no se ha descubierto que la amenaza provoque daño al dispositivo, pero si puede ser utilizada para obtener acceso a los datos privados del mismo. Esto puede extenderse al caso de dispositivos móviles que se usan en las organizaciones o empresas con fines comerciales, abriendo la posibilidad del robo de información sensible.

Debido a la aparición de este tipo de amenazas, es importante instalar aquellas aplicaciones que provengan de un sitio de confianza o sean conocidas, así como también contar con una solución de seguridad para dispositivos móviles que permite proteger los datos del usuario y elimine este tipo de malware.

Fernando Catoira
Analista de Seguridad


Autor , ESET

Síguenos