Poco después del descubrimiento de las vulnerabilidades QuadRooter, apareció un remedio para revertirlas en la tienda de aplicaciones Google Play. Desafortunadamente, ninguna de las dos aplicaciones llamadas “Fix Patch QuadRooter” desarrolladas por Kiwiapps Ltd. tenían la capacidad de parchear un sistema Android. Fueron eliminadas de la tienda de Google tras el aviso de ESET, dado que eran maliciosas y cargaban anuncios publicitarios indeseados en los equipos de sus víctimas. Además, una de ellas requería el pago de 0,99 euros.

A raíz de este descubrimiento, le hicimos algunas preguntas a Lukáš Štefanko, investigador de ESET especializado en malware para Android.

¿Qué tan grave es que hayas encontrado esas dos aplicaciones de parches falsos?

"es la primera vez que vimos este comportamiento en malware móvil"
En términos del daño que causaron, fue marginal. Solo alcanzaron un número limitado de descargas e incluso quienes las ejecutaron no experimentaron nada terrible. Esas apps simplemente mostraban publicidad a sus víctimas. Ese es todo el daño – aparte de ese costo de un euro para quienes elegían la versión paga.

Sin embargo, esta es la primera vez que vimos este comportamiento específicamente para malware móvil. Para ser claros, en el pasado vimos esta técnica en el mundo de Windows. En esa instancia, los atacantes engañaban a usuarios de tiendas en línea para que instalen un parche de seguridad falso para una vulnerabilidad crítica en la plataforma de e-commerce Magento. Este llamado “ShopLift bug” permitía a cibercriminales obtener acceso de administrador a tiendas vulnerables fácilmente. Uno de los ataques – que estuvo abierto un año entero luego de que la vulnerabilidad se corrigiera – radicaba en un falso parche que descargaba malware, el cual luego explotaba el mismo bug que se suponía que arreglaba.

Entonces, simular ser un parche podría ser una cubierta creíble...

Sí, y eso es lo realmente interesante; apunta a una nueva audiencia aquellos que se preocupan por la seguridad de su sistema.

En el ecosistema Android, los disfraces más comunes de las apps maliciosas están conectados con juegos populares: versiones gratuitas, tutoriales, trucos... francamente, la seguridad no es una prioridad para aquellos que son víctimas en esos casos.

¿Esperas que los malintencionados empiecen a usar parches falsos en una escala masiva?

Ojalá no. De todas formas, deberíamos hacer que la gente esté al tanto de esta amenaza.

“Una app no puede actuar como un parche. Si promete un arreglo en tu sistema, es un engaño”
Lo que me preocupa, por ejemplo, es que los parches falsos, además de tener el potencial de atraer la atención de los usuarios, tienen una razón válida para requerir cada permiso posible.

Y eso es cierto – se supone que si deben arreglar el sistema, nadie se opondría a otorgarles permisos excesivos... el problema es que las personas no saben que una app no puede actuar como un parche. Si una aplicación promete hacer un arreglo en tu sistema, es un engaño. Y punto.

¿Podrías resaltar esto en el artículo?

Sí, llamará a gritos desde la página. Esperemos que funcione. Y por cierto, ¿cómo pueden los usuarios corregir las vulnerabilidades de QuadRooter si los parches falsos no funcionan?

Lo importante es que QuadRooter necesita ser ejecutada en forma de aplicación. Es una amenaza solo si tienes "Fuentes desconocidas" habilitado en los ajustes e instalas manualmente una app de origen desconocido. Por otro lado, si tienes la funcionalidad de Android “Verify Apps” habilitada (viene así por defecto en todas las versiones desde 4.2 Jelly Bean) estás protegido. Cuando trates de instalar una app usando el exploit de QuadRooter, Android mostrará el mensaje de que la instalación ha sido bloqueada, y no te dejará ignorar la amenaza para seguir instalando la aplicación.

Eso está muy bien, pero es una última línea de defensa mientras el sistema sigue vulnerable, al menos técnicamente, ¿verdad?

Es cierto, pero instalar parches no es algo fácil en el ecosistema Android.

Desarrolladores de Android han preparado un verdadero parche para tres de esas cuatro vulnerabilidades de QuadRooter, y el cuarto está en desarrollo. Y en cuanto a parchear tu sistema, depende del fabricante de tu dispositivo. En el futuro previsible, la mayoría de los usuarios tendrá que confiar en la línea de defensa de Verify Apps.

Y no caer víctima de un ataque contextual.

Cierto. Mira, a menudo te enfrentas a noticias sobre un asombroso número de usuarios en peligro. Pero la importancia real de una amenaza no suele tener mucho que ver con esos números. Si sigues las reglas básicas de comportamiento seguro, estás razonablemente a salvo.

Dicho esto, con el correr el tiempo deberías observar y aprender nuevas lecciones. La de este caso es: si una aplicación promete hacer un arreglo en tu sistema, es un engaño.