Continuamente hablamos acerca de los riesgos que puede implicar el utilizar repositorios de aplicaciones no oficiales o aplicar parches a nuestros dispositivos móviles con el objetivo de instalar aplicaciones no licenciadas. En esta oportunidad queremos compartir con ustedes el análisis de un adware, que engañando al usuario utilizaba su conexión a Internet para generar visitas en un sitio de publicidad y así lograr obtener un beneficio económico.
El caso fue reportado originalmente en el blog de Security By Default, y en él se remarca de qué manera una aplicación maliciosa oculta sus actividades pero consume una gran cantidad de datos. Uno de los puntos más particulares de este análisis es que le sucedió a un usuario que había decidido realizar el Jailbreak a su teléfono para utilizar una tienda alternativa de aplicaciones conocida como Cydia. Conociendo cuales son los riesgos que este tipo de actividades pueden contraer, muchos usuarios hacen lo mismo. El problema que tuvo este colega es que luego de haber instalado alguna que otra aplicación comenzó a notar que en pocos días, todo su plan de datos estaba siendo consumido y una gran cantidad de tráfico (a través de las redes 3G o de Wifi) se generaba en su teléfono, consumiendole además la carga de la batería.
Cuando el usuario se dio cuenta de este extraño comportamiento se decidió por hacer un análisis de qué era lo que le pasaba a su teléfono en lugar de borrar toda la información y empezar de nuevo. A raíz de esta decisión, se encontró con una gran cantidad de información y llegó a la causa del problema, una aplicación maliciosa que había instalado él mismo hacía algún tiempo.
¿Cuáles son los problemas que esto puede traer al usuario? Bueno, principalmente afecta al rendimiento del dispositivo ya que consume la carga de la batería, también según el plan de datos del usuario lo puede dejar en muy pocos días sin acceso a Internet a través de las redes 3G o incluso hasta tener que pagar considerables sumas de dinero por el excedente de tráfico consumido.
Otro, y quizás las parte más complicada de descubrir este tipo de aplicaciones, se basa en el tiempo o los conocimientos necesarios para el análisis. Primero, Manuel, quien ha realizado el análisis, tuvo que encontrar las herramientas adecuadas para poder monitorear el tráfico de red de su iPhone. Para lograr este objetivo y en el punto inicial de su trabajo necesitó conseguir una herramienta para observar el consumo del tráfico de red desde su móvil, este tipo de aplicaciones suelen ser muy útiles en el caso de que cuenten con un plan de datos limitados y no se quieran exceder.
Cuando ya se identificó el consumo de datos excedente, lo que podríamos resumir en una etapa de análisis, es necesario ahora conocer cuáles son los sitios que están causando tal consumo del ancho de banda. Para ello existen herramientas como Ettercap, que se pueden utilizar para interceptar el tráfico a través de un envenenamiento ARP, logrando redirigir todo el tráfico de red del iPhone a través de su computadora y así poder capturar la información. Este tipo de técnicas, se conoce también como un ataque de "Man in the middle".
En esta tercera etapa, se capturaron todo los paquetes de red con un sniffer, particularmente uno de los más conocidos y utilizados en el mundo de la seguridad es el Wireshark. Mediante la aplicación de esta herramienta, un especialista en seguridad (también podría ser utilizada por un atacante) puede ver todo el tráfico que pasa a través de la placa de red conociendo así información tal como los sitios visitados, información enviada y cualquier dato que viaje a través de la red.
Finalmente, a través del análisis se pudo identificar que había una aplicación responsable por todo el tráfico generado, y lo que en realidad estaba haciendo. La herramienta para capturar el tráfico de red, permitió encontrar cuál era sitio web responsable del consumo y así llegar a la conclusión de que una de las últimas aplicaciones instaladas por este usuario había sido un código malicioso. El atacante se beneficiaba de todos los usuarios que utilizaban su aplicación y lograba así obtener un beneficio extra que según el reporte era 242,57 dólares.
Ahora, ¿cuáles son los puntos a considerar para los usuarios? Primero que todo, no es recomendable utilizar sitios no oficiales para la descarga de aplicaciones, esto podría llevar a la descarga de códigos maliciosos y aplicaciones potencialmente dañinas que roben información privada del usuario. Además, ya hemos visto varios reportes de troyanos SMS, que simulan ser aplicaciones o juegos y en realidad le causan un gasto extra a la víctima suscribiéndolo a servicios de mensajes Premium. Entonces, para conocer de qué manera mantener su smartphone seguro y evitar caer en este tipo de engaños, les recomiendo nuestros consejos para proteger los dispositivos móviles.
Pablo Ramos
Security Researcher
