Hacia 2007, Apple parecía dominar la innovación en lo que a dispositivos móviles refería. No obstante, no transcurrió mucho tiempo hasta que desarrolladores a favor del código libre aunaran fuerzas para crear lo que se transformaría en el sistema operativo móvil más utilizado en el mundo entero: Android, propiedad de Google.
Desde sus mismos orígenes, hemos sido testigos de una polarización de los usuarios móviles según su favoritismo por una u otra plataforma. Diferentes aspectos de su arquitectura e infraestructura sistémica son considerados al analizar los pros y contras ofrecidos por cada compañía. Entre las características que terminan bajo la lupa encontramos la adecuación entre software y hardware, la experiencia de usuario, la rapidez con la que parches de seguridad son liberados a los usuarios, la flexibilidad de personalización y control sobre el sistema… y la cantidad de malware que prolifera en las tiendas oficiales.
muy pocas personas entienden qué están autorizando al instalar una aplicación
Esta última ha sido una de las críticas más sensibles al sistema operativo móvil de Google, y ha causado fuertes reclamos hacia los altos ejecutivos de la compañía, que durante mucho tiempo decidió negar la situación. ¿Recuerdan cuando ejecutivos de la firma afirmaron públicamente que no existía malware en Android, retirándose de la conferencia sin brindar espacio a preguntas?
Para algunos, esta perspectiva parece tener sentido. Después de todo, es el usuario quien instala las aplicaciones y acepta los permisos, ¿verdad? Sin embargo, por definición, el malware es un código que realiza acciones perjudiciales para el usuario sin que este lo sepa y, ciertamente, muy pocas personas entienden qué están autorizando al instalar una aplicación, especialmente cuando existen técnicas de Ingeniería Social en medio. Si pudiésemos considerar aplicaciones benignas a todas las instaladas por los usuarios, resolveríamos de una vez el cibercrimen moderno.
No obstante, el malware móvil ha ido complejizándose para aprovechar vulnerabilidades en el sistema y lograr rootear los equipos, instalar otras aplicaciones y, aún peor, distribuirse a través de las tiendas oficiales sin ser detectado. Google ha aceptado de una vez por todas que esta problemática existe y ha comenzado a tomar cartas en el asunto.
2015: el boom del malware en la Play Store
El año 2015 representó un gran crecimiento en la cantidad de variantes maliciosas para plataformas móviles en tiendas oficiales. Por ejemplo, se hallaron más de 30 aplicaciones de tipo scareware disponibles para descarga desde la tienda oficial Google Play Store. Más de 600 mil usuarios de Android descargaron estas aplicaciones maliciosas, que se hacían pasar por trucos para el popular juego Minecraft mientras estaban activas.
También, más de 500 mil usuarios de Android resultaron víctimas de ataques de falsas apps de Google Play con funcionalidades de phishing que extraían credenciales de Facebook. ESET detecta estos troyanos como Android/Spy.Feabme.A.
Desde los laboratorios de ESET, se detectaron más de 50 troyanos clicker de sitios pornográficos que estaban disponibles para su descarga. Cuatro de ellos tenían más de 10 mil instalaciones y uno tenía más de 50 mil.
En particular, dentro de las muestras encontradas en la Play Store estaba Android/Mapin: un troyano backdoor que tomaba el control del dispositivo y lo convertía en parte de una botnet al mando del atacante. En algunas variantes de esta infiltración, debían transcurrir por lo menos tres días para que el malware alcanzara la funcionalidad completa de un troyano. Probablemente sea este retraso lo que le permitió al código pasar tanto tiempo sin ser detectado por el sistema de prevención de malware de Google. Según MIXRANK, una de sus variantes enmascarada como el famoso juego Plants vs Zombies 2 fue descargada más de 10 mil veces antes de eliminarse de la Play Store.
¿Por qué Play Store y no Apple Store?
La Play Store es un entorno preferido por muchos cibercriminales para intentar propagar sus amenazas y existen numerosos factores que favorecen la existencia de códigos maliciosos en ella. En primer lugar, sabemos que Android nuclea hoy aproximadamente el 80% de los dispositivos móviles en el mundo, lo cual significa una mayor cantidad de potenciales víctimas.
Un segundo factor es la rapidez de publicación. Resulta mucho más sencillo y económico crear una cuenta de desarrollador para Google y las aplicaciones son rápidamente publicadas en el mercado. Apple, en cambio, revisa cuidadosamente los ejecutables para evitar violaciones a derechos de autor en imágenes y sonidos (¡Atención! La tardanza en la publicación no se debe necesariamente a mayores controles de seguridad).
En Android, cualquier desarrollador puede crear una cuenta a un precio accesible, subir una aplicación y tenerla publicada dentro de las 24 horas. En contraposición, en iOS el costo de la membresía es superior a U$D 99 anuales y el período de espera hasta la publicación puede extenderse por semanas.
¿Qué hace Google para evitarlo?
Google refuerza constantemente las técnicas de detección presentes en su módulo para el análisis automático y detección de malware, pero la enorme cantidad de nuevas apps que diariamente se crean y la premura con que son liberadas dificultan el correcto análisis de cada una de ellas.
Los cibercriminales conocen muchas técnicas que complican la detección de códigos maliciosos móviles: bombas de tiempo, código dinámico ejecutado a través de reflexión, explotación de vulnerabilidades, empaquetadores, cifrado, strings ofuscadas, scripts en otros lenguajes de programación para la descarga remota del código malicioso, nuevas formas de C&C, antiemulación, rootkits… Nuevos mecanismos antianálisis surgen constantemente.
Mayormente, los ciberdelincuentes apuestan a la Ingeniería Social, esperando atentamente el lanzamiento oficial de apps populares para distribuir versiones falsas de estas, como ocurrió recientemente con Pokémon GO, Prisma o Dubsmash. La inmediatez con que estas aplicaciones maliciosas consiguen cientos y hasta miles de descargas es un motivo de preocupación entre usuarios de esta plataforma.
Además, la facilidad con la que alguien puede modificar un APK obtenido del mercado oficial para inyectar código malicioso y distribuirlo a través de sitios o mercados fraudulentos, sumado a la facilidad que tienen los usuarios para instalar archivos de fuentes no desconocidas, resulta en una mayor tasa de detecciones en comparación con otros sistemas móviles.
Entonces ¿es esta una tendencia a futuro?
Por desgracia, lo es. Sabemos que con Android Nougat se han tomado algunas medidas para limitar el control que las aplicaciones tienen sobre el sistema en un intento por detener la proliferación de ransomware. No obstante, mientras los usuarios sigan instalando cualquier aplicación sin considerar la seguridad de sus datos, los cibercriminales seguirán desarrollando técnicas para evadir la detección.
Esto remarca la importancia de la educación entre los usuarios y la importancia de que puedan discriminar en qué desarrolladores confiarán y los permisos que otorgarán a cada aplicación. Igualmente, nos lleva a preguntarnos qué acciones tomará Google para mitigar esta problemática: ¿destinará más recursos al análisis intensivo de una cantidad reducida de aplicativos o extenderá el tiempo de análisis, menoscabando la rapidez de publicación? Es una interrogante que solo el tiempo podrá responder.
