La consolidación de Android como el sistema operativo más utilizado en los dispositivos móviles de la actualidad lo ha convertido en blanco de diversas amenazas que continúan creciendo, una tendencia que se ha visto en los últimos años.
De acuerdo con IDC, hasta el tercer trimestre de 2014, Android ocupaba el 84.4% del mercado de dispositivos móviles. Actualmente se estima que el número de smartphones y tabletas que tienen instalado este sistema operativo, supera los mil millones y que su uso seguirá en aumento, ya que ahora será posible encontrarlo en otros dispositivos inteligentes como relojes, televisores e incluso en automóviles.
De forma paralela, la cantidad y diversidad de la información que los usuarios almacenan, procesan o transmiten a través de estos dispositivos, cuando utilizan servicios de Internet como correo electrónico, redes sociales o banca en línea, contribuye a aumentar su importancia y en consecuencia, el interés de los cibercriminales por la plataforma móvil. Como resultado, en los últimos años se ha observado un incremento en el desarrollo de software malicioso que tiene como objetivo este popular sistema operativo.
Aunado al malware, en este artículo revisaremos otras amenazas enfocadas en Android, con el propósito de conocer los riesgos a los que está expuesto un usuario cuando utiliza esta tecnología. De esta manera, damos el primer paso en el camino para proteger nuestra información.
Malware desarrollado para Android
Una de las amenazas más relevantes es el software malicioso desarrollado de forma específica para esta plataforma. La cantidad, complejidad y diversidad del malware que se genera para Android ha crecido de manera considerable en los últimos años.
Nuevas familias de códigos maliciosos y sus variantes se desarrollan con distintos objetivos. Entre estos se encuentran troyanos SMS que suscriben al usuario a servicios de mensajería premium sin su consentimiento, botnets que buscan convertir en zombi al dispositivo móvil al tiempo que roban información, adware para el envío de publicidad no deseada o ransomware que cifra la información y solicita un pago como rescate para que el usuario pueda recuperar sus datos.
De acuerdo con el documento "Tendencias 2014: el desafío de la privacidad en Internet" de ESET Latinoamérica, en donde se estudiaron los registros de detección de software malicioso, en el año 2010 se identificaron solo tres familias de malware para Android, para 2011 fueron 51, a finales de 2012 se detectaron 63, mientras que en 2013 ya se habían identificado 79 familias.
Del mismo modo, se comenzaron a reportar subcategorías de troyanos que solo se identificaban en plataformas como Windows, tal es el caso de downloaders (que permiten descargar otras amenazas desde Internet para instalarlas posteriormente), droppers (que instalan otras amenazas que están incluidas dentro de este programa), clickers (para generar tráfico hacia sitios o avisos publicitarios) o bancarios (para obtener datos relacionados con entidades financieras).
Por ejemplo, el año pasado se identificó el primer caso de malware de la familia filecoder, un troyano (Simplocker) que una vez dentro del dispositivo, se encarga de buscar archivos como fotos, videos o documentos, luego los cifra y exige un pago para que el atacante pueda proporcionar la clave que permite descifrar la información del usuario.
Además, las variantes de cada familia han aumentado también, principalmente cuando se realizan ligeras modificaciones a un código malicioso conocido, con la intención de evadir la detección de las soluciones de seguridad o para agregar nuevas funcionalidades maliciosas.
Fragmentación de Android
Se trata de un importante problema en este sistema y se refiere al hecho de que no todos los dispositivos que funcionan con Android utilizan la misma versión, o al menos la más reciente. En ocasiones, las actualizaciones del sistema son retenidas por los fabricantes de los dispositivos para evitar problemas de compatibilidad, lo que evita que las correcciones de seguridad lleguen a los usuarios.
En otros casos se lanzan al mercado nuevos modelos de smartphones con versiones anteriores de la plataforma, debido principalmente a que se trata de desarrollos específicos para un tipo de dispositivo móvil.
Se han puesto en marcha distintas iniciativas que tienen como objetivo consolidar las versiones de Android de manera que la mayoría de los usuarios puedan hacer uso de la última versión, sin embargo, esto todavía no se logra. Como consecuencia, utilizar versiones desactualizadas se traduce en un importante riesgo de seguridad.
Con base en información publicada en el tablero de control de Android (dashboard) para las versiones de la plataforma, cada mes, durante un periodo de siete días, se actualizan los porcentajes de distribución de las distintas versiones utilizadas a partir del número de dispositivos que acceden a Google Play.
En esta recolección de datos que concluyó el 2 de marzo de 2015, la versión 5.0 (Lollipop) ocupa el 3.3%, mientras que la versión 4.4 (KitKat) alcanza 40.9% del total de dispositivos. Jelly Bean 4.1.x aparece con 17.3%, la versión 4.2.x con el 19.4% y la 4.3 con 5.9% de la distribución. En el informe todavía se puede encontrar la versión 2.2 (Froyo), que se mantiene en 0.4% del total de los equipos con Android instalado.
Sistemas operativos personalizados
Otro riesgo de seguridad en Android está relacionado con la modificación del sistema operativo cuando se personaliza. Los fabricantes de dispositivos o los operadores de telefonía móvil (carriers) modifican el sistema para agregar información de su compañía, incluso los usuarios también pueden realizar cambios en el aspecto de su teléfono a través de las capas de personalización o lanzadores (launchers).
Esta es una de las características por la cual algunas personas prefieren Android sobre otros sistemas operativos, debido a la flexibilidad para la modificación. Sin embargo, los cambios realizados pueden generar huecos de seguridad, ya que se realizan modificaciones, en muchas ocasiones sin saber lo que realmente sucede en el teléfono.
En una investigación realizada por FireEye, se reportó un ataque de phishing derivado de permisos ligados a la configuración de un lanzador de Android. Los investigadores identificaron que la modificación en los iconos de la pantalla principal del dispositivo no solo cambiaron de apariencia, sino que además dejaron de apuntar hacia las aplicaciones que deberían y en su lugar redirigían al usuario a una página web maliciosa.
Apps en repositorios de terceros
Una de las razones por la cual se ha extendido el uso de Android es la cantidad de aplicaciones desarrolladas para esta plataforma, lo que permite tener nuevas funcionalidades en el dispositivo. En ocasiones, con la idea de obtener de manera gratuita una aplicación de paga, los usuarios pueden descargarla desde sitios no oficiales, en donde es posible que una app haya sido modificada para realizar acciones maliciosas.
Por ejemplo, en una investigación realizada por el laboratorio de ESET Latinoamérica, se identificaron aplicaciones para móviles (principalmente juegos) que propagaban Boxer, un troyano SMS que afectó a 63 países, incluidos 9 de Latinoamérica. La aplicación podía descargarse de repositorios no oficiales (como un archivo apk) e instalarse en el teléfono.
Luego de que el usuario instala y juega con la aplicación, el programa maliciosos identifica el Código Móvil de País (Mobile Country Code) y el Código Móvil de Red (Mobile Network Code), datos numéricos utilizados de manera conjunta para conocer el país y los operadores de telefonía móvil, posteriormente envía mensajes que suscriben a servicios de mensajería SMS premium.
El usuario percibe las anomalías en su teléfono cuando debe pagar las cuentas por los servicios contratados sin su consentimiento, ya que toda la actividad maliciosa se realiza de forma oculta, bloqueando las notificaciones de contratación que las operadoras de mensajería envían a sus clientes.
Filtración de apps maliciosas en el repositorio oficial
Para la publicación de aplicaciones en Google Play es necesario registrar información de los desarrolladores y de la app antes de comercializarla, entre otras medidas, como la firma de las aplicaciones. A pesar de los esfuerzos por mantener la tienda libre de malware (por ejemplo con el desarrollo de Google Bouncer), existe el riesgo de que aplicaciones maliciosas puedan filtrarse en el repositorio oficial.
Cuando esto sucede, se verifica que se trata de una aplicación que contiene malware y se elimina de la tienda. Sin embargo, para este momento puede ser tarde, ya que al estar disponible en el repositorio oficial, puede ser descargada por los usuarios. En estos casos, el impacto depende del número de usuarios que hayan instalado la aplicación maliciosa en su dispositivo.
Esto sucedió con aplicaciones maliciosas encontradas en Google Play, que propagaban una amenaza denominada DroidDream, un código malicioso que operaba cuando el usuario no realizaba actividades con su smartphone, uniéndolo a una botnet. Se estima que afectó a 250,000 equipos, con base en el número de descargas que tuvieron estas aplicaciones.
Debido a su impacto, Google tuvo que llevar a cabo un procedimiento (denominado kill switch) para desinstalar de manera remota las aplicaciones maliciosas de los dispositivos infectados. Como último recurso y sin el consentimiento de los usuarios, se obtuvo acceso a los teléfonos móviles para remover las aplicaciones que contenían malware.
Recientemente se identificaron otras aplicaciones para Android del tipo RAT (troyanos de acceso remoto) que siguiendo el mismo principio, se hacían pasar por aplicaciones legítimas, como apps para llevar a cabo transacciones bancarias, monitorear el uso de datos, incluso antivirus para dispositivos móviles. Entre sus principales actividades se encontraba la recopilación de información del dispositivo infectado, conexiones a un servidor, descarga y ejecución de módulos con otras actividades maliciosas.
Vulnerabilidades en el software
Las vulnerabilidades que pueden presentarse para los dispositivos móviles son variadas, ya que pueden incluir debilidades en el sistema operativo, en las aplicaciones o en software que no es propio de la plataforma, pero que lo afectan de forma directa, como es el caso de Heartbleed, la falla en OpenSSL.
En cuanto al sistema operativo Android, generalmente las vulnerabilidades afectan de manera particular solo a algunas versiones del sistema y pueden ir desde permitir el acceso a la memoria física del dispositivo, hasta otorgar privilegios de administrador sobre el mismo.
En el caso de las aplicaciones, éstas también pueden incluir vulnerabilidades, como sucedió con InMobi, una aplicación utilizada para insertar publicidad en otras apps. Si la vulnerabilidad era explotada, un atacante podía enviar mensajes SMS o tener acceso a información sensible del usuario. El impacto es mayor debido a que otras aplicaciones utilizan esta herramienta para mostrar publicidad en sus propios desarrollos.
Por otro lado, con la aparición de HeartBleed se dio a conocer que la versión 4.1.1 (Jelly Bean) de Android estaba en riesgo debido a que utiliza una versión vulnerable de OpenSSL. Google emitió un parche de seguridad para esta versión en busca de reducir el problema. El inconveniente es que algunos equipos no soportarían la migración a una versión superior.
Entonces, ¿cómo protegerse de los riesgos?
Hemos enlistado estas amenazas junto con un recuento de sucesos para conocer los riesgos de seguridad a los que está expuesto un usuario de Android cuando utiliza su dispositivo móvil, ya que estar consciente de ellos es el primer paso para evitar o reducir sus consecuencias. Para proteger la información, es necesario conocer las características del dispositivo y configurarlo de acuerdo a las preferencias y necesidades, evitando en la medida de lo posible tener las opciones predeterminadas.
Es importante recordar que cuando algo suena demasiado bueno para ser cierto, es muy probable que sea malicioso, esto evitará que seas víctima de algún ataque de ingeniería social, ya que una cantidad importante de malware se distribuye a través de juegos recompilados, falsas soluciones de seguridad o aplicaciones con distintas utilidades que aparentan ser inofensivas. Además, se está convirtiendo en una necesidad contar con herramientas de seguridad en el dispositivo.
Finalmente, llevar a cabo una serie de buenas prácticas en el uso de los teléfonos inteligentes incluye, entre otras, la instalación y actualización de software contra códigos maliciosos, verificación de los permisos solicitados por las aplicaciones que se instalan en el teléfono, uso de cifrado, respaldo de información, actualización del sistema operativo o el uso de las últimas versiones de las aplicaciones firmadas por los desarrolladores. Estas medidas nos permitirán disfrutar de la tecnología en un ambiente más seguro.
