Google ha publicado recientemente su informe sobre la seguridad del ecosistema Android correspondiente al año 2017. La compañía del buscador ofrece una visión sobre el panorama del malware presente contra su sistema operativo móvil, indicando que troyanos, spyware y los descargadores hostiles han acaparado un porcentaje importante de las amenazas móviles.
En el informe sobre puede apreciar una disminución en la cantidad de Aplicaciones Potencialmente Dañinas (PHA). En lo que se refiere al porcentaje que ha acaparado cada tipo de amenaza instalada desde fuera de Google Play sobre el total de instalaciones, vemos que los troyanos han bajado del 2,15% al 0,27%, los descargadores hostiles han subido del 0,14% al 0,19%, las escaladas de privilegios han pasado del 0,09% al 0,19%, el rooting del 0,33% al 0,14%, el fraude mediante SMS del 0,20% al 0,11% y las puertas traseras han experimentado una notable disminución, pasando del 0,28% al 0,03%. Como vemos, parece que Google ha conseguido cierto éxito en su lucha contra las PHA.
Sobre la cuota que ha acaparado cada tipo de amenaza, vemos que los troyanos se han hecho con el primer puesto con un 27,2%, seguidos de los descargadores hostiles con un 19,4%, las escaladas de privilegios con un 18,1%, el rooting con un 14,3% y el fraude de SMS un 11,1%.
Principales Aplicaciones Potencialmente Dañinas (PHA) contra Android en 2017
Chamois
Chamois es la primera familia amenazas que aparece en el informe 2017 de Google sobre las amenazas contra Android.
Mientras que muchas variantes de esta familia fueron neutralizadas en 2016, en 2017 surgió una nueva variante. Para evitar su detección, esta última ha empleado una serie de técnicas como ofuscación de código, evitar las notificaciones de usuario y no aparecer en la lista de aplicaciones instaladas. En muchas ocasiones las aplicaciones de Chamosis han venido preinstaladas en la imagen del sistema, engañando a los usuarios para que hagan clic en los anuncios mostrando gráficos engañosos para cometer fraude de WAP (protocolo de aplicaciones inalámbricas) o SMS.
IcicleGum
IcicleGum es un spyware cuyas aplicaciones se apoyan en diferentes versiones del SDK de publicidad Igexin para ofrecer soporte de carga de código remoto. Sus aplicaciones utilizan esta biblioteca de carga de código para obtener ficheros DEX cifrados a través de HTTP desde servidores de mando y control. Los ficheros son entonces descifrados y cargados mediante una clase reflexiva para leer y enviar registros de llamadas de teléfonos y otros datos a ubicaciones remotas.
Algunos desarrolladores que han incluido Igexin no son conscientes de que los riesgos del SDK y que podrían no tener control del código malicioso que se carga y ejecuta, ya que esto es decidido de forma dinámica por el servidor de mando y control basándose en la configuración de la información recibido de cada dispositivo.
BreadSMS
BreadSMS es un extendido fraude vía SMS cuya familia empezó a ser seguida por Google en 2017. Sus aplicaciones componen y envían mensajes de texto premium a números sin consentimiento del usuario. En algunos casos, las aplicaciones de BreadSMS también implementan suscripciones basadas en SMS fraudulentos y despliegan de forma silenciosa al usuario servicios ofrecidos por sus proveedores de servicios telefónicos. Las aplicaciones están vinculadas a un grupo de servidores de mando y control cuyas direcciones IP cambian frecuentemente y que son usadas para ofrecer las aplicaciones a los números de teléfono mediante SMS y mensajes de texto.
JamSkunk
JamSkunk es una familia de fraude de peaje compuesta por aplicaciones que suscriben a los usuarios a servicios sin su consentimiento. Las aplicaciones inhabilitan la Wi-Fi para forzar a que el tráfico vaya a través de la tarifa de datos del usuario y hacer que contacten con el servidor de mando y control para obtener de forma dinámica un código que intenta eludir los pasos de verificación de la suscripción al servicio WAP.
Esta PHA se dedica a monetizar sus abusos mediante facturación del WAP, un método de pago que funciona a través de las conexiones de datos móviles y permite a los usuarios registrarse fácilmente y pagar a nuevos servicios mediante una cuenta existente. Una vez que la autenticación haya sido saltada con éxito, las aplicaciones de JamSkunk inscriben el dispositivo a servicios que el usuario puede no notar hasta que reciba y lea la próxima factura.
Expensive Wall
Se trata de una familia de aplicaciones dedicadas a realizar fraudes mediante SMS que afectó a una gran cantidad de dispositivos en 2017. Utilizaban ofuscación de código para ralentizar el análisis y eludir su detección, y se apoyaba en el puente JS2Java para permitir a código JavaScript ser cargado dentro de Webview para llamar a métodos de Java en la manera en que las aplicaciones de Java lo hace. Después de su lanzamiento, las aplicaciones de Exprensive Wall conectaban con servidores de mando y control para buscar el nombre de un dominio. Este dominio es entonces contactado mediante una instancia de Webview que carga una página web y ejecuta el código JavaScript que llama a los métodos de Java para comprometer y enviar mensajes SMS premium o hacer clic sobre anuncios sin consentimeinto del usuario.
BambaPurple
Se trata de una familia de aplicaciones de fraude de peaje en dos fases que intenta engañar a los usuarios para que lo instalen haciéndose pasar por una aplicación popular. Después de la instalación, la aplicación inhabilita la Wi-Fi y fuera al dispositivo a usar conexiones 3G, para luego redirigir a una unas páginas de suscripción sin el conocimiento del usuario. Los clics a las suscripciones se hacen usando JavaScript descargado e intercepta los mensajes SMS entrantes de las suscripciones para evitar que el usuario pueda darse de baja.
En la segunda fase, BambaPurple instala una aplicación de puerta trasera que pide al dispositivo privilegios de administración y suelta un fichero .dex. Este ejecutable comprueba para asegurarse de que no está siendo depurado, descarga más aplicaciones sin consentimiento del usuario y muestra publicidad.
KoreFrog
Es una familia de aplicaciones troyano que piden permiso para instalar paquetes y luego otras aplicaciones en el dispositivo sin consentimiento del usuario. Las aplicaciones del sistema pueden ser inhabilitadas por el usuario, pero no pueden ser desinstaladas fácilmente. Las aplicaciones de KoreFrog operan como demonios en ejecución en segundo plano para suplantar a Google y otras aplicaciones del sistema mediante nombres e iconos engañosos para evitar su detección. La familia de PHA KoreFrog también ha servido publicidad, además de las aplicaciones.
Gaiaphish
Es una gran familia de aplicaciones troyano que ha apuntando contra tokens de autenticación almacenados en el dispositivo para abusar de los privilegios del usuario para varios propósitos. Estas aplicaciones usan cadenas de URL codificadas en base 64 para evitar la detección de los servidores de mando y control en los que confía para descargar los ficheros APK. Estos ficheros contienen aplicaciones de phishing que intentan robar los tokens de la autenticación GAIA que conceden al usuario permisos para acceder a los servicios de Google. Con esos tokens, las aplicaciones de Gaiaphish son capaces de generar spam y publicar contenidos automáticamente.