De Cabir a Simplocker: 10 años de malware para móviles

Desde Cabir (o Caribe), elprimer malware móvil del que se tuvo noticia en 2004, muchas nuevas amenazas han sido detectadas todos los años.

Vienen evolucionando en cantidad, complejidad y plataformas afectadas: en estos últimos diez años, hemos visto cómo arrancaron como pruebas de concepto sin fines dañinos, restringidas a protocolos de corto alcance como bluetooth; luego, pasaron a ser amenazas desarrolladas con la finalidad de robar datos y dinero a través de suscripciones a servicios de SMS Premium (utilizando troyanos SMS), y terminaron convirtiéndose en amenazas más sofisticadas como Simplocker, el primer ransomware para Android activado en TOR.

Así, vemos cómo esta evolución ha acompañado siempre el avance tecnológico de los dispositivos móviles y de los hábitos de sus usuarios, con amenazas que constantemente se adaptan a las plataformas más utilizadas.

Pero el malware para móviles no es lo único que cumple 10 años: ¡ESET festeja su décimo aniversario en Latinoamérica este año! Por eso en este post, luego de haber revisado las amenazas más destacadas de la última década, haremos un recorrido por la historia de aquellas enfocadas en dispositivos móviles, que desde nuestro Laboratorio de Investigación vimos y analizamos.

2004: Cabir

El mundo ya estaba al tanto de los códigos maliciosos para computadoras personales y los software antivirus existían hacía más de una década, pero (casi) nadie estaba preparado para la “novedad” desarrollada por el investigador español conocido como Vallez: Cabir, un gusano que se autorreplicaba saltando de smartphone en smartphone (con Symbian S60) utilizando el protocolo bluetooth. Como se trataba de una prueba de concepto, no dañaba los aparatos; su propósito era demostrar que se podía hacer y ver cuántos usuarios se infectaban, más allá de las limitaciones en esta forma de propagación.

2005: CommWarrior

Una vez comprobado que la idea de Cabir funcionaba, surgió CommWarrior, que también afectaba a los Nokia con Symbian S60, la plataforma más popular entre los smartphones en ese entonces. La diferencia entre ComWarrior y su predecesor era que agregaba la posibilidad de propagación a través de MMS (Sistema de Mensajería Multimedia). Su objetivo era demostrar su capacidad epidémica, pero lo que sucedió fue una pérdida financiera de sus víctimas, ya que los MMS enviados tenían un costo.

Este aspecto económico –el hecho de que una amenaza le costara dinero a su víctima- abrió las puertas para ataques con objetivos mucho menos científicos y mucho más maliciosos.

2006: RedBrowser

RedBrowser se diferenciaba en casi todo en cuanto a sus predecesores. Era un troyano que explotaba la plataforma Java, y se hacía pasar por una aplicación que mejoraría la navegación en Internet.

Esta amenaza fue un hito en la utilización de SMS para robar dinero de las víctimas -códigos maliciosos para teléfonos móviles cuyo objetivo principal es suscribir a la víctima a números de mensajería Premium. Cada SMS enviado desde sus dispositivos tenía un costo de aproximadamente 5 dólares estadounidenses.

2007: FlexiSpy

Con Flexispy, spyware utilizado para escuchar y espiar comunicaciones entre dispositivos móviles sin el conocimiento de los usuarios afectados, el mercado de malware se “legalizó”, es decir, una empresa pasó a vender un programa que podría ser considerado malicioso para muchos.

De hecho, la empresa responsable por la comercialización de esta amenaza aún existe, pero su sitio aclara que “todo usuario debe conocer y respetar las leyes de su país en cuanto al uso con fines ladinos de este servicio”.

2008: InfoJack

InfoJack, también conocido como Meiti o Mepos, es un troyano para Windows Mobile.

Este malware era descargado como un paquete de juego para smartphones, pero ocultaba su verdadera función: el robo de datos. InfoJack no tuvo demasiado éxito, dado que la plataforma para la cual fue desarrollado tampoco lo tuvo.

2009: iKee

iKee fue el primer gusano para iPhone, e infectaba a aquellos que habían pasado por el proceso de jailbreaking. A través de este proceso, que habilitaba la posibilidad de descargar aplicaciones de fuentes no seguras (la única fuente considerada segura es la tienda del propio fabricante), se instalaba por defecto un servicio de escucha llamado SSH.

Si los usuarios no cambiaban la contraseña de root (administrador), este gusano infectaba el dispositivo y reemplazaba el fondo de pantalla original del iPhone con una imagen con la foto del cantante inglés Rick Astley.

2010: Zitmo

Migrando desde las computadoras hacia los dispositivos móviles, el mundialmente famoso troyano Zeusdio lugar a sus versión móvil con la aparición de Zitmo (Zeus in the mobile).

Esta amenaza atenta contra dobles factores de autenticación y roba datos de los usuarios, ya que convierte el dispositivo en un zombi que pasa a formar parte de una botnet.

2011: DroidDream

Este troyano, que afectaba a dispositivos Android en sus versiones anteriores a 2.3 (Gingerbread), venía embebido en varias aplicaciones oficiales. Una vez descargado y ejecutado, realizaba cambios en el dispositivo para obtener permisos de administrador, con los cuales DroidDream tenía la capacidad de realizar cualquier tarea dentro del sistema -incluso descargar más amenazas.

2012: Boxer

En 2012 se dio un crecimiento vertiginoso en el número de amenazas para Android: la cantidad de detecciones únicas creció 17 veces a nivel global con respecto al año anterior. Pero esto no ofuscó la importancia de Boxer como un verdadero hito en la historia de las amenazas móviles.

Se trataba de un troyano SMS -más allá de no ser una categoría novedosa (ya vimos otras amenazas de este tipo en esta cronología), fue la primera vez que un troyano SMS fue desarrollado para afectar varios países distintos, incluyendo 9 en América Latina.

2013: FakeDefender

Fue el primer ransomware para Android: se descargaba como un supuesto antivirus, pero bloqueaba el dispositivo afectado y pedía un rescate para desbloquearlo.

Una vez más, un ataque ya conocido en PC migraba hacia dispositivos móviles.

2014: Simplocker

Simplocker es hasta el momento la amenaza más intrigante y compleja para dispositivos móviles. Es el primer ransomware para Android activado en Tor que cifra los archivos de los usuarios.

Además de cifrar documentos, imágenes y videos en la tarjeta SD del dispositivo, las nuevas variantes del troyano cifran archivos comprimidos: ZIP, 7z y RAR. La complicación de esta novedad es que las copias de seguridad de Android utilizan este formato, así que no podrían ser utilizadas en el caso de una infección de esta amenaza.

Como pudimos observar, las amenazas para dispositivos móviles han evolucionado tal como los dispositivos mismos.

En ESET trabajamos para proteger los usuarios de forma efectiva a través de análisis, comprensión, concientización de la comunidad y desarrollo de productos que nos permiten disfrutar de la tecnología sin preocupaciones.

Más información sobre cómo proteger tu dispositivo puede ser encontrada en nuestra Guía de Seguridad para Smartphones.

Créditos imagen: ©bryanwright5@gmail.com/Flickr

Autor , ESET

Síguenos