← Techstars Blog

Una regla fundamental de seguridad móvil puede expresarse como “no instalar aplicaciones de fuentes o almacenes desconocidos”.

La mayoría de los dispositivos móviles Android tienen un ajuste específico que limita las instalaciones de aplicaciones a la tienda de Google Play. Los expertos en seguridad aconsejan repetidamente no desactivar esta función. Sin embargo, durante los últimos años, hemos sido testigos de una plétora de casos que involucran aplicaciones móviles maliciosas que circulan en Google Play.

Este servicio, administrado por Google, se supone que es un refugio seguro para los usuarios que buscan herramientas para aumentar sus dispositivos móviles. En cambio, cada vez más sirve como vector de ataque para estafadores y actores de amenazas. Pasar por alto las barreras de seguridad de la tienda de juegos, un componente confiable del ecosistema de Google, otorga a los hackers acceso a una enorme superficie de ataque consistente en literalmente miles de millones de dispositivos activos mensuales en Android solo.

Más importante aún, detrás de cada dispositivo se encuentra un usuario, cuyos datos personales y financieros pueden estar en peligro. Y, si bien los usuarios están sujetos a una serie de riesgos al utilizar la tienda de juegos, las empresas y las marcas se enfrentan a problemas propios. Asimismo, las aplicaciones y proveedores legítimos se ven afectados negativamente por la debilitación de la marca y la reputación — el amor de los estafadores abusa de los nombres de marcas de confianza. Finalmente, Google se ve afectado por la declinación de confianza cada vez que se reporta la aplicación o el proveedor falso AF.

¿Está fallando Google en la protección de sus propios usuarios y hay una manera de superar los desafíos que enfrenta la plataforma?

En este artículo, vamos a esbozar las principales amenazas que provienen de aplicaciones maliciosas, la escala del problema, y algunas sugerencias básicas para mantener su dispositivo móvil seguro. También vamos a ver las medidas que Google y la industria de la seguridad están tomando para limpiar la tienda de juegos.

La tienda de Google Play: grandes problemas de plataforma

La estrategia de Google es construir un ecosistema completo y asegurarse de que los usuarios abracen sus soluciones al máximo. Además, saben qué ofrecer a los usuarios. Piense en el conjunto de servicios GSuite, que básicamente satisface las necesidades diarias de un equipo, desde la colaboración en Google Docs en la nube hasta la videoconferencia a través de hangouts. Todo esto está perfectamente integrado entre las diferentes plataformas: Chromebooks que funcionan con chromeos, teléfonos Nexus y tabletas de píxeles.

Los gigantes tecnológicos hoy en día se trata de proporcionar a los usuarios con un entorno completo que atiende a todas sus necesidades, ya sea para el trabajo, el ocio, o el estudio. Al aprovechar cada nicho de mercado que emerge a medida que avanzan las tecnologías, las compañías tecnológicas aseguran su base de usuarios, ingresos y cuota de mercado.

¿no lo crees? Basta con echar un vistazo a nuestro artículo sobre tendencias publicitarias en 2018, específicamente la parte en el creciente mercado de búsqueda de voz y los asistentes de Smart Home; verás todos los nombres conocidos entre los líderes de la industria.

Ahora hablemos de la búsqueda.

Los principales ingresos de Google provienen de ad Tech y de búsqueda, por lo que cuanto más tiempo pase un usuario en su plataforma, más búsquedas realizarán y más anuncios les servirán. Un buen ejemplo sería los anuncios en su cuenta de gmail-atendidos a usted y cada movimiento que usted haga en línea.

En el móvil, el sistema operativo Android de Google es una plataforma dominante que impulsaba un enorme 85% de la cuota de mercado en el primer trimestre de 2017, según IDC. El SO está basado en Linux y es parcialmente de código abierto, lo que significa que el código os desarrollado y mantenido por Google está disponible para otras partes, como los proveedores de dispositivos (Samsung, et al.). Esta apertura ha contribuido a la popularidad de Android y su dominio actual en el mercado.

Y esa contribución es significativa. El número de aplicaciones en la tienda de Google Play se estima alrededor de 3,5 millones a partir de diciembre de 2017, basado en los datos de statista. AppAnnie Mobile Analytics Company se basa en el número de descargas de aplicaciones superiores a 19 mil millones en el último trimestre de 2017.

Sin embargo, las nuevas aplicaciones se envían diariamente a la tienda de juegos y no todas son bien intencionadas. De hecho, hay un gran trozo de aplicaciones maliciosas, según el informe de Google. En 2017, Google eliminó más de 700.000 aplicaciones que violaron las políticas de Play Store, un aumento del 70% a partir de 2016. En el lado positivo, el 99% de las aplicaciones se identificaron antes de que los usuarios los instalaran, gracias a las nuevas técnicas de detección. Desafortunadamente, el 1% restante que se coló a través de las barreras sigue siendo un gran número dada la cantidad total de infractores.

 

¿Cómo se cuelan las aplicaciones peligrosas en la tienda de juegos?

Google enfatiza la accesibilidad de su plataforma, permitiendo a muchos desarrolladores poblar la tienda con las distintas aplicaciones que crean. A pesar de hacer Rica la experiencia de Android, la estrategia se dispara cuando se trata de mantener a los malos actores en la bahía. Cualquier persona puede unirse a la plataforma a través de la consola de desarrolladores y subir aplicaciones, después de completar 4 pasos básicos y pagar una cuota de $25 de inscripción. Francamente, este proceso no es demasiado complicado para los delincuentes cibernéticos (o cualquier otra persona), y probablemente alguna investigación adicional debería aplicarse en este paso.

Otra razón por la que las aplicaciones maliciosas pueblan la tienda de juegos es evasión. Los actores maliciosos emplean una variedad de técnicas para volar bajo el radar de Google. Una de ellas es la activación/ejecución retrasada de código malicioso, un método que es ampliamente utilizado por aplicaciones no deseadas que muestran anuncios intrusivos y ransomware por igual.

¿Cómo funciona la evasión?

Después de una instalación, la aplicación disfrazada de benigna no demuestra ningún tipo de actividad dañina o comportamiento sospechoso. Tan pronto como un conjunto de tiempo pasa, el código malicioso es ejecutado y desde allí podría desencadenar cualquier cosa, incluyendo ransomware. Este artículo describe una aplicación de ransomware-carrying que utilizó la activación retrasada, mientras que muchos esquemas de la detección se basan en la premisa que el malware demostrará su naturaleza inmediatamente.

Los autores de malware utilizan la ofuscación de código como una medida adicional para evadir la detección. Básicamente, el código malicioso se obstruye intencionalmente para ocultar su propósito real. Al utilizar varios métodos para “protegerse” del análisis estático, una forma de revisión utilizada por las herramientas de seguridad realizadas sin ejecutar el código, el código evita la detección.

Pero eso no es todo.

Suplantar aplicaciones de confianza es el método de elección para algunas de las aplicaciones más nefastas, como los troyanos bancarios, que regularmente plaga la tienda de juegos. Un caso prominente: este malware era un falso Mensajero de WhatsApp que fue descargado entre 1 y 5 millones veces. La aplicación falseada estaba utilizando una URL de desarrollador similar a la de la aplicación real, que permitía que ambos se quedaran en la tienda simultáneamente. La diferencia no fue notada por los usuarios. Por otra parte, después de la instalación, la aplicación falsa creó un icono inadvertible que le permitiría persistir en los dispositivos. Se informa de que esta aplicación falsa fue monetizada por la visualización de anuncios, pero podría haber cambiado a la distribución de cargas pesadas más graves. Curiosamente, la aplicación impostora tenía una calificación convincente y la cantidad de revisiones.

Recomendado para usted 

Webcast, 22 de marzo: automatización de la retención y la contratación de aplicaciones
Para mantener la persistencia en las aplicaciones de un dispositivo a menudo buscan privilegios extendidos, también conocido como “acceso de root”, y se convierten en una especie de “superusuario”. Cómo? Aplicaciones obtener acceso root ya sea repitiendo una solicitud hasta que el usuario lo permite (bastante sencillo) o mediante el uso de los kits de acceso root exploit para Android. Obtener acceso a root permite a un intruso espiar a través del almacenamiento de datos, interceptar comunicaciones, etc., básicamente convirtiendo el dispositivo en otro bot supervisado desde el centro de mando y control del atacante.

WhatsApp no está solo. Otras grandes marcas han sido suplantadas por malas aplicaciones recientemente.

Symantec reportó una App falsa de uber. Este caso es particularmente interesante porque explota la ingeniería social y los métodos de phishing junto con un truco completamente diseñado para evadir la sospecha. Con la parodia-Uber, una nueva cepa de malware conocido Android “FakeApp” estaba atrayendo a los usuarios en la entrega de las credenciales de inicio de sesión Uber con regularidad la visualización de una superposición de una falsa pantalla de la aplicación Uber, lo que incita al usuario a introducir su información. Al entrar en la información, se envió a los servidores de atacante, mientras que el FakeApp abrió la aplicación real Uber, mostrando la ubicación del usuario que normalmente se produce con la aplicación real. La aplicación maliciosa logró esto invocando un enlace profundo para abrir una pantalla específica de la aplicación Uber real.

 

Falsos Uber Deep vinculación a la interfaz de real App, después de haber recogido las credenciales de usuario de parodiar la pantalla de inicio de sesión fuente: Symantec

Las principales amenazas que puede encontrar en la tienda de juegos

Hemos esbozado pocos métodos que los adversarios usan para infiltrarse en la tienda y en los dispositivos móviles. Ahora echemos un vistazo más de cerca a los tipos de amenaza más comunes.

Troyanos SMS

Se trata de malware que se encarga de la funcionalidad de mensajería, enviando de forma encubierta los mensajes código a los números premium a expensas del usuario, drenando los fondos en la cuenta. Puede ser entregado junto con una aplicación aparentemente normal modificada por Crooks o instalada por un usuario desprevenido de una fuente dudosa. A menudo los troyanos de SMS bloquean la confirmación de “suscripción” de estos números premium y mantienen un perfil bajo en el dispositivo infectado. La pared de 2017 costoso malware es un buen ejemplo de estos troyanos.

Troyanos bancarios

Este es un tipo de malware que se infiltra en la tienda de Google Play con bastante regularidad. Su intención es interceptar y recolectar datos financieros sensibles infiltrando el dispositivo móvil de la víctima. Los ataques de phishing son a menudo un punto de entrada para este tipo de amenaza, que se produce a través de diferentes vectores: SMS, IM, correo electrónico, y, por supuesto, la tienda de juegos o tiendas de terceros Android.

Las aplicaciones troyanos espían a los usuarios, registran los datos ingresados en sitios bancarios o aplicaciones lanzadas en dispositivos comprometidos y generan pop-ups imitando formularios de inicio de sesión para servicios legítimos como correo electrónico y Paypal (como con el caso Uber). Los hackers pueden tener en sus manos los fondos de las víctimas, así como información de identificación personal (IPI), como SSN, dirección física, etc. Al obtener permisos para usar contactos y conexiones de red, pueden propagarse a otros dispositivos o descargar cargas útiles adicionales, al igual que en el caso troyano BankBot, que apunta a una lista de 160 aplicaciones bancarias mediante la iniciación de superposiciones de legítimos aplicaciones bancarias para robar credenciales.

Aplicaciones falsas

Estas aplicaciones a menudo se disfrazan como productos de seguridad. Al igual que con otras categorías de aplicaciones, su “monetización” puede variar desde adware, generando ingresos desde anuncios intrusivos, a malware modular, entregando cargas útiles de varios tipos y cambiando según las características de un dispositivo.
Sophos Security describe un caso llamado “Super antivirus 2018”, un falso programa AV en la tienda de juegos que en realidad no lleva ninguna herramienta de detección, además de un. Archivo XML que contiene una lista de 500 aplicaciones, muchas de ellas legítimas, para mostrar en resultados de escaneo falsos. Este producto atrajo entre 10.000 a 50.000 descargas, pero fue sólo un señuelo cuyo verdadero propósito era promover otra aplicación de seguridad y rendimiento falsos, “Security Elite”, a través de anuncios servidos durante el escaneo. Sabes que algo inestable está sucediendo cuando los adjetivos como “Super” están en el nombre de un producto AV del que nunca has oído hablar, y está ofreciendo una función de “limpieza de basura”. La App promovida acumuló un asombroso 50 millones instala durante un período de 3 meses.

Cryptomining malware

Un subconjunto de aplicaciones falsas que se está haciendo más popular como cryptocurrencies crecer en valor y convertirse en un método de pago cada vez más popular, tanto entre los vendedores legítimos y hackers poblando la web oscura. A primera vista estas aplicaciones demuestran un propósito benigno y a menudo vienen de forma gratuita, pero su verdadera intención es secuestrar los recursos computacionales de dispositivo – un activo crucial, requerido para la minería cryptocurrencies para los autores de malware. El investigador de Sophos Labs Pankaj Kohli describió 19 programas mineros de cryptocurrency aumentados con código js que permitió la minería de Monero y otros cryptocurrencies en su ejecución. Todos ellos se han encontrado en la tienda de Google Play algunas de las versiones sofisticadas, incluso se utiliza el estrangulamiento de la CPU para evitar los efectos secundarios notables de la carga de la CPU inducida por la minería, como el sobrecalentamiento y descarga de la batería.

 

¿Qué hace Google sobre todo el malware?

Una medida introducida por la compañía es la funcionalidad de protección de Google Play que realiza el escaneo antes de la instalación y de nuevo después de haber instalado las aplicaciones. Además, Google informó el uso de máquina de aprendizaje para mejorar la detección de aplicaciones sospechosas en su presentación a la tienda de juegos. Google Play Protect ha reducido la aplicación maliciosa instala en un 50% de año en año en 2017 y los premios verificado por el juego proteger insignia. Por muy buena que sea, evidentemente hay más espacio para mejorar, basándose en el impacto masivo del malware que hemos descrito anteriormente.

Investigadores de diversas empresas de AV también contribuyen a la causa. Google incluso inició un programa de recompensas de seguridad para motivar a los profesionales de white Hat a capturar proveedores y aplicaciones maliciosas. Además, para ayudar a limpiar la tienda, Google agregó una característica de marcación para los usuarios, combinó esfuerzos renovados para educarlos acerca de las amenazas.

Sin embargo, parece improbable que Google pase por alto su dedicación a mantener la tienda de juegos más abierta a favor de imponer regulaciones estrictas y un largo proceso de aprobación similar al que utiliza la tienda Apple.

Consejos para salvaguardar su dispositivo móvil y sus datos

  • Instalar un producto anti-malware y manténgalo actualizado.
  • Asegúrese de que su dispositivo Android tiene los últimos parches y no está ejecutando una versión obsoleta de Android. Los proveedores que utilicen el sistema operativo Android pueden tener una programación de actualizaciones diferente, incluso si es la última versión del sistema operativo, así que asegúrate de comprobar si hay actualizaciones regularmente.
  • Asuma siempre los riesgos; no existe tal cosa como una aplicación 100% segura.
  • No te apresures. Tómese su tiempo para estudiar la aplicación antes de descargar. Revise el sitio del editor, el rango y las revisiones.
  • Prestar una atención adicional al instalar una aplicación de una marca bien conocida (recordar la aplicación falsa fingiendo ser WhatsApp?)

Después de la instalación, compruebe los permisos de la aplicación en “detalles del permiso”. Desconfíe de las aplicaciones que solicitan demasiados permisos para su propósito. Por ejemplo, si una aplicación de fondo de pantalla solicita acceso a su SMS, teléfono, libreta de direcciones y conexiones de red, puede utilizar este acceso para la segmentación de anuncios o un propósito más dañino. Asegúrese de comprobar qué permisos adicionales requiere una aplicación durante las actualizaciones, puede intentar obtener derechos elevados después de la instalación, especialmente en los casos en los que la solicitud de actualización aparece repetidamente después de la decadencia.

 

Falsa aplicación Flash pidiendo demasiado. “esto te puede costar dinero” la notificación es colocada por Android

Al igual que con los casos de phishing en las computadoras de escritorio, Evite hacer clic en los enlaces que recibe en SMS y IM, especialmente si el remitente es desconocido o el mensaje le está instando a hacerlo. Es una estafa.

No Descargue aplicaciones fuera de la tienda de Google Play o de una tienda de terceros, a menos que esté absolutamente seguro sobre la tienda y el proveedor. Tu móvil AV debe estar encendido todo el tiempo.

 

Fuente: https://www.business2community.com/mobile-apps/googles-play-store-safe-02024696

Erwin Salas