El malware se hace móvil: causas, consecuencias y curas

Transcripción

1 El malware se hace móvil: causas, consecuencias y curas Por Vanja Svajcer, investigador jefe de SophosLabs Los ordenadores de sobremesa son el principal objetivo de los programas maliciosos de software, popularmente conocidos como malware. Pero los ciberdelincuentes están fijando su punto de mira cada vez más a menudo en los teléfonos inteligentes y otros dispositivos móviles. A pesar de las medidas preventivas (como el "jardín vallado" de Apple o la aplicación "Bouncer" de Google para Android), los programas maliciosos afectan tanto a la plataforma ios como Android. En este monográfico analizamos paso a paso las políticas y las estrategias específicas de cada plataforma que puede utilizar para proteger los datos y evitar la entrada de programas maliciosos en los dispositivos móviles.

2 Los teléfonos inteligentes cobran auge como vectores de amenazas A finales de 2011, las suscripciones a servicios móviles alcanzaban los millones 1, dejando muy claro que los dispositivos móviles están sustituyendo rápidamente a los ordenadores personales tanto en el hogar como en el trabajo. En nuestra vida diaria dependemos de los teléfonos inteligentes y las tabletas para todo lo relacionado con Internet, desde visitar páginas web a realizar compras electrónicas o transacciones bancarias. Dada esta dependencia, los dispositivos móviles se han convertido en un vector de amenazas en auge listo para que los ciberdelincuentes lo aprovechen. Además, están abiertos a nuevos tipos de ataques. Por ejemplo, los delincuentes suelen utilizar aplicaciones maliciosas para móviles para enviar mensajes de texto a números de teléfonos móviles de tarifas especiales y acumular cargos sin permiso. Conforme los dispositivos móviles se utilicen cada vez más para realizar pagos, es muy probable que cobren la misma importancia como vector de amenazas. En agosto de 2012 las cadenas norteamericanas de cafeterías rivales Starbucks 2 y Dunkin Donuts 3 empezaron a aceptar pagos a través de dispositivos móviles de ios y Android habilitados. La solución de pagos móviles de Starbucks utiliza carteras digitales, 4 tecnología que permite a las empresas aceptar transacciones móviles seguras y enviar ofertas, cupones, puntos y recibos a los teléfonos inteligentes de los clientes. Estas iniciativas acelerarán sin duda el uso diario de las carteras digitales y demás métodos de pago móvil. Pero también atraerán a los creadores de programas maliciosos. El negocio de la ciberdelincuencia Hace algunos años, los programas maliciosos parecían proceder de grupos de hackers poco organizados, encerrados en pequeñas oficinas y dedicados a rastrear sitios web en busca de vulnerabilidades que aprovechar. Hoy en día, la finalidad de casi todos los programas maliciosos es proporcionar dinero a los ciberdelincuentes. Durante los últimos 10 años, la creación de programas maliciosos se ha convertido en una multinacional ilegal organizada. 1 Global Mobile Statistics 2012 Part A: Mobile Subscribers; Handset Market Share; Mobile Operators 2 Starbucks to Accept Square Mobile Payments 3 Doughnut App Arrives: Dunkin' Donuts Accepts Mobile Payments 4 Digital Wallets Are the Next Phase of the Payments Industry Transformation Monográficos de Sophos. Octubre de

3 Mobile Malware Timeline AppleiOS Android OS Ikee Aurora Feint Uploads iphone contacts to remote server. Later disclosed as part of game match-up functionality Storm Shares device phone number with remote server, used as UID to identify users Spreads over the air targeting jailbroken ios device with a default SSH password Pjapps Enrolls device in a botnet used to send distributed attacks and collect sensitive device information FakePlayer Silently sends SMS messages to costly services in Russia Rootcager Maliciously bundled with legitimate apps to trick end users, steals sensitive device information. Infects thousands of users Bgserv Poses as Rootcager cleanup tool, sends device IMEI and phone number to server in China Los rufianes van donde huele a dinero. Allí donde acude la gente, llegan también los granujas Data: An Intense Look at the Mobile Computing Threat presentation by Joshua Wright, SANS Institute/ Information Week/reference #92190 En un artículo publicado en agosto de 2012 en InfoWorld, 6 el experto de seguridad informática Roger Grimes señaló que los grupos de ciberdelincuencia están empezando a organizarse y a contratar programadores y hackers aficionados a tiempo completo. Hoy en día, estas actividades ilegales disponen de departamentos de recursos humanos y equipos de gestión de proyectos. El objetivo de estas organizaciones de varios niveles orientadas a servicios ya no es el hacktivismo político ni llevar a cabo ataques de denegación de servicio. Su misión es robar dinero y propiedad intelectual tanto a particulares como a empresas. En el corazón de estos grupos se encuentran los "mercenarios del malware" (según los bautiza Grimes), los creadores de programas maliciosos que trabajan a diario para desarrollar aplicaciones con las que traspasar medidas de seguridad, atacar a clientes específicos o conseguir determinados resultados. Y al igual que los creadores independientes de malware de hace años, estos grupos ilegales siguen vendiendo sus programas en el mercado negro a través de foros de reñidas subastas. En la actualidad, los ciberdelincuentes están creando programas maliciosos especialmente diseñados para atacar dispositivos móviles. Se utilizan fundamentalmente dos métodos para obtener dinero de los usuarios desprevenidos: programas maliciosos bancarios y estafas a través de mensajes SMS de tarifas especiales. 5 Your Smartphone: A New Frontier for Hackers 6 IT's 9 Biggest Security Threats Monográficos de Sophos. Octubre de

4 Programas maliciosos de banca Los timadores han creado un sector muy especializado en torno a la obtención de información de autenticación utilizada para acceder a instituciones financieras a través de Internet. Al principio, los ataques se basaban en simples programas de registro de pulsaciones que obtenían los nombres de usuario y las contraseñas. Pero la evolución de las técnicas ha dado lugar al juego del gato y el ratón entre bancos y delincuentes. Los programas maliciosos para móviles como Spyeye y Zeus (también conocidos como Spitmo y Zitmo) atacan a los usuarios que visitan los sitios web configurados por los creadores del malware, sus patrocinadores o sus socios. Si el usuario que visita el sitio malicioso utiliza un navegador web de Windows, el sitio pone en marcha la versión para Windows del malware. Si el usuario visita un sitio web malicioso desde un navegador para móviles, el malware pone en marcha las versiones para móviles de Zeus o Spyeye. En cualquier caso, el sitio web es capaz de identificar la plataforma utilizada. Para los usuarios de dispositivos Android, el sitio web malicioso lanza un paquete de Android (archivo APK). Esta aplicación está diseñada para robar los números de autenticación de las transacciones móviles asociados con las operaciones bancarias, es decir, las contraseñas temporales que los bancos envían a los usuarios a través de mensajes SMS. Zeus intercepta todos los mensajes SMS entrantes y los retransmite a un sitio web o a un número de teléfono controlado por el creador del ataque. Además, Zeus permite controlar la configuración del malware mediante solicitudes HTTP o mensajes SMS. Por ejemplo, el delincuente puede cambiar el número de destino de los mensajes SMS reenviados (por ejemplo, de un banco) con solo enviar un mensaje SMS especialmente formateado. Zeus también ataca dispositivos que utilizan otros sistemas operativos para móviles, como BlackBerry OS. Estafas de mensajes SMS de tarifas especiales En lugar de solicitar datos de tarjetas de crédito o intentar extraer dinero directamente de cuentas bancarias, muchos creadores de programas maliciosos para teléfonos móviles utilizan servicios de mensajería SMS de tarifas especiales para obtener ganancias. Una vez instalada, la aplicación maliciosa disfrazada de aplicación pirateada para dispositivos Android puede incluir un pequeño componente adicional: un módulo que empezará a enviar mensajes SMS a números de tarifas especiales a cargo del usuario. Para obtener más información sobre las estafas a través de mensajes SMS de tarifas especiales, descargue el monográfico El dinero que esconden los programas maliciosos. Monográficos de Sophos. Octubre de

5 Por qué es más seguro ios que Android La plataforma Android de Google se ha convertido en un objetivo más habitual de los creadores de programas maliciosos para móviles que el ios de Apple, probablemente, a causa de su popularidad: con más de 1 millón de activaciones al día, los teléfonos inteligentes Android cuentan con un 59% de la cuota de mercado. 7 Sin embargo, la vulnerabilidad relativa de Android frente a ios radica en el nivel de control que los proveedores poseen sobre los productos y el mercado de desarrollo y distribución de aplicaciones. Los creadores de programas maliciosos para móviles saben muy bien que la mejor forma de infectar el mayor número de dispositivos posible es atacando los mercados centrales de aplicaciones. Los ciberdelincuentes introducen aplicaciones que ocultan funciones maliciosas (camufladas) para intentar que las técnicas de detección del proceso de evaluación de aplicaciones del proveedor (por ejemplo, Google Bouncer) no las descubran. Tan solo en 2011, Google eliminó más de 100 aplicaciones maliciosas de su tienda de aplicaciones. Google descubrió 50 aplicaciones infectadas con un mismo programa malicioso conocido como Droid Dream, que tenía la capacidad de poner en peligro datos personales. 8 Sin embargo, Google no siempre ha actuado a tiempo para evitar infecciones. Los usuarios descargaron una aplicación dañina más de veces hasta que la empresa la retiró del mercado de aplicaciones. 9 Tasa de exposición a las amenazas Android 60 PC TER Android TER Australia Brazil United States Others Malaysia Germany India France United Kingdom Iran La tasa de exposición a las amenazas (TER) mide el porcentaje de dispositivos en un país con algún tipo de alerta, a menudo malware pero no siempre. La tendencia, como muestra este gráfico, es a la equiparación de la tasa de exposición a las amenazas entre en ordenadores y dispositivos móviles. Fuente: SophosLabs 7 A Top 10 List of Android Phones 8 Aftermath of the Droid Dream Android Market Malware Attack 9 Your Smartphone: A New Frontier for Hackers Monográficos de Sophos. Octubre de

6 Apple e ios El estricto control en la tienda de aplicaciones de Apple, donde las aplicaciones se evalúan en su totalidad antes de estar a disposición de los clientes, ha evitado que los usuarios de ios sufrieran infecciones generalizadas de programas maliciosos. Como punto de distribución centralizada, la tienda de aplicaciones proporciona a los usuarios la confianza de saber que Apple ha probado y aprobado las aplicaciones que descargan. Las pruebas de que haya aparecido malware en la tienda de aplicaciones son, cuando menos, escasas, ya que Apple no suele proporcionar dicha información de motu propio. Sin embargo cabe suponer que, puesto que Apple no pone interfaces API a disposición de los desarrolladores, el sistema operativo ios presenta menos vulnerabilidades. Pero ios no es totalmente invulnerable. Buen ejemplo de ello es el caso de Charlie Miller, un investigador de seguridad que creó de forma deliberada una aplicación sospechosa y la envió a Apple. En un principio, Apple la aprobó, provocando la revelación de un defecto en ios. En cuanto Apple descubrió que se trataba de una aplicación sospechosa, la empresa suspendió la cuenta del desarrollador durante un año. 10 Google y Android Al igual que Apple, Google ofrece un mercado centralizado de aplicaciones para móviles denominado Google Play. Sin embargo, la posibilidad de instalar aplicaciones de terceros en Android contrarresta dichos esfuerzos. Algunos son proveedores conocidos y de confianza (como Amazon), pero otros no, y están ubicados en focos de creación de programas maliciosos como Rusia o China. Los desarrolladores ilegales desmontan y decompilan aplicaciones populares como Angry Birds, y publican versiones maliciosas disponibles de forma gratuita. Blackmart es uno de los mercados alternativos para este tipo de aplicaciones pirateadas o clonadas, también conocidas como PJApps. Las herramientas utilizadas para piratear aplicaciones legítimas permiten añadir funciones y volver a empaquetarlas. Las aplicaciones reempaquetadas suelen incluir componentes no deseados como marcos publicitarios o funciones maliciosas. 10 Apple Suspends Veteran Researcher From ios Dev Program for Exploiting a Bug Monográficos de Sophos. Octubre de

7 Otra de las familias de programas maliciosos especiales para Android descubiertas por Sophos es DroidSheep, una herramienta utilizada por los ciberdelincuentes para rastrear el tráfico de red y obtener acceso a cuentas en línea de sitios web conocidos. Los hackers que utilizan DroidSheep pueden acceder a sitios sin conexiones seguras con las cuentas de las víctimas. DroidSheep permite rastrear el tráfico de red inalámbrico y robar tokens de autenticación que los ciberdelincuentes utilizan para hacerse pasar por otra persona. Sitios conocidos como Yahoo, Google y Facebook son compatibles con conexiones HTTPS, que las herramientas como DroidSheep no pueden infiltrar. La familia de programas maliciosos para Android más prolífica se conoce con el nombre de Boxer. En abril de 2012, cuando apareció la conocida aplicación de intercambio de fotografías Instagram en la plataforma Android, 11 los creadores de programas maliciosos para móviles no tardaron en darse cuenta y copiaron el contenido del sitio para crear uno falso y malicioso que ofrecía incluso aplicaciones falsificadas. Una vez instalada, la aplicación envía mensajes SMS a servicios de tarifas especiales concentrados principalmente en países de Europa del Este como Rusia, Ucrania y Kazajistán, con los que los ciberdelincuentes obtienen comisiones rápida y fácilmente a costa de los usuarios. Principales familias de malware Andr/Boxer-D 30% Andr/Boxer-A 11% Andr/Gmaster-A 5% Andr/Boxer-C 4% Andr/Newyearl-B 4% Andr/Kmin-C 3% Andr/Opfake-F 3% Andr/KongFu-A 3% Andr/Opfake-G 2% Andr/FakeIns-A 2% Others 33% Un tercio de las amenazas en Android pertenecen a la familia Boxer. Fuente: SophosLabs 11 Fake Instagram App Slings SMS Trojan Onto Android Gear Monográficos de Sophos. Octubre de

8 El malware para móviles en cifras El número de amenazas, especialmente para la plataforma Android, sigue aumentando. En 2011 SophosLabs detectó 81 veces más programas maliciosos para Android que en 2010, un aumento del 8.000%. En 2012 SophosLabs ha observado ya 41 veces más programas maliciosos que en 2011, una tasa de crecimiento de cerca del 4.100%. Amenazas detectadas en Android y JavaME 100 JavaME Android A mediados de 2011, el número de amenazas descubiertas en JavaME casi se equiparaba al de amenazas en Android. A mediados de 2012, el número de amenazas en Android superaba ampliamente al de amenazas en JavaME. Fuente: SophosLabs 10 consejos para evitar malware en dispositivos móviles Ahora que hemos identificado las causas y los problemas relacionados con los programas maliciosos para móviles, es hora de establecer los métodos para evitarlos. Lo más importante es recuperar el control tanto de los dispositivos como de las aplicaciones. Aquí tiene 10 consejos que pueden ayudarle a proteger a los usuarios de dispositivos móviles y a evitar infecciones de programas maliciosos Informe a los usuarios sobre los riesgos Los dispositivos móviles son ordenadores y deben protegerse como tales. Los usuarios deben ser conscientes de que las aplicaciones y los juegos pueden ser maliciosos, y tener siempre en cuenta de dónde proceden. Por regla general, si una aplicación solicita más información de la necesaria para su funcionamiento, no es aconsejable instalarla Tips for Protecting Mobile Users Monográficos de Sophos. Octubre de

9 2. Tenga en cuenta la seguridad de las redes inalámbricas utilizadas para acceder a los datos de la empresa Normalmente, las redes inalámbricas (por ejemplo, Wi-Fi) son poco seguras. Por ejemplo, si un usuario accede a datos de la empresa a través de una conexión Wi-Fi de un aeropuerto, la información puede quedar expuesta a usuarios maliciosos que rastreen el tráfico inalámbrico en ese mismo punto de acceso. Las empresas deben desarrollar políticas de uso aceptable, proporcionar tecnología de VPN y exigir que los usuarios utilicen estos túneles seguros para conectarse. 3. Establezca e imponga políticas para el uso de dispositivos personales en el trabajo El uso de dispositivos personales en el trabajo resulta beneficioso tanto para las empresas como para los usuarios, pero puede provocar riesgos adicionales. Decida cómo controlar los dispositivos administrados propiedad de los usuarios que necesitan acceder a la red corporativa. Los trabajadores suelen ser la mejor defensa contra los robos de datos delicados. Los empleados que utilizan sus propios dispositivos móviles deben atenerse a las políticas que hacen posible que la empresa cumpla los requisitos normativos en todo momento. 4. Impida el uso de dispositivos liberados El desbloqueo de dispositivos (o jailbreaking) consiste en eliminar las limitaciones de seguridad impuestas por el proveedor del sistema operativo. Al liberar o desbloquear un dispositivo, es posible acceder a todas las funciones del sistema operativo, pero también se destruye el modelo de seguridad y se permite que todas las aplicaciones (incluidas las maliciosas) puedan acceder a los datos propiedad de otras. En pocas palabras, no es aconsejable permitir el uso de dispositivos desbloqueados en las empresas. 5. Mantenga actualizados los sistemas operativos de los dispositivos No es tan fácil como parece. En el ecosistema de Android, las actualizaciones pueden verse bloqueadas tanto por Google (encargado de actualizar el sistema operativo) como por el fabricante del dispositivo (que puede decidir publicar actualizaciones solamente para los últimos modelos) o el proveedor de los servicios móviles (que puede no aumentar el ancho de banda de la red para permitirlas). Si no se actualiza el sistema operativo, el dispositivo queda expuesto a que se aprovechen posibles vulnerabilidades. Infórmese sobre los diferentes proveedores de servicios móviles y fabricantes de dispositivos para saber cuáles aplican actualizaciones y cuáles no. 6. Cifre los dispositivos El riesgo de perder un dispositivo sigue siendo mayor que el riesgo de sufrir una infección. Al cifrar los dispositivos en su totalidad para protegerlos, es muy difícil que un usuario no autorizado pueda acceder a los datos y robarlos. Además, es imprescindible configurar contraseñas seguras tanto en el dispositivo como en la tarjeta SIM. Monográficos de Sophos. Octubre de

10 7. Las políticas de seguridad móvil deben estar integradas en la estrategia de seguridad general Los departamentos informáticos deben encontrar un equilibrio entre la libertad de los usuarios y la facilidad de gestión del entorno informático. Los dispositivos que no cumplen las políticas de seguridad no deben tener permiso para conectarse a la red de la empresa ni acceder a los datos corporativos. Los departamentos informáticos deben informar a los usuarios sobre los dispositivos permitidos. Además, es aconsejable utilizar herramientas de gestión de dispositivos móviles para imponer las políticas de seguridad. 8. Instale aplicaciones de fuentes de confianza y plantéese la posibilidad de crear un almacén empresarial de aplicaciones Permita la instalación de aplicaciones exclusivamente a partir de fuentes de confianza como Google Play o la tienda de aplicaciones de Apple. También es aconsejable crear un almacén empresarial para distribuir aplicaciones personalizadas de la empresa y aplicaciones de consumo aprobadas. El proveedor de seguridad elegido puede ayudarle a configurar el almacén y aconsejarle sobre las aplicaciones más seguras. 9. Ofrezca alternativas de intercambio en la nube Los usuarios de dispositivos móviles necesitan almacenar datos a los que acceder desde cualquier dispositivo y pueden utilizar servicios sin el consentimiento del departamento informático. Las empresas deben plantearse la posibilidad de crear un servicio seguro de almacenamiento en la nube que los usuarios puedan utilizar sin peligro. 10. Anime a los usuarios a instalar programas anti-malware en los dispositivos Aunque existen programas maliciosos para ios y BlackBerry, las interfaces de dichos sistemas operativos no son compatibles con soluciones anti-malware. Sin embargo, los dispositivos Android se enfrentan a los riesgos de infección más altos y ya existen programas de seguridad especiales. Asegúrese de que todos los dispositivos Android están protegidos con programas anti-malware. Use of Mobile Device Management Software to Enforce Security Policy Does your organization use mobile device management software to set and enforce a single security policy across different types of devices? Yes 33% Don t know 6% No, and we have no plans to do so 25% Not yet, but we re evaluating/piloting 36% Source: InformationWeek 2011 Strategic Security Survey of 1,084 business technology and security professionals, March 2011 Monográficos de Sophos. Octubre de

11 Sophos Mobile Control Gestión de dispositivos móviles para mejorar la usabilidad y la protección Sophos Mobile Control 2.5 ofrece una amplia gama de herramientas para evitar que los dispositivos móviles se conviertan en una amenaza para el negocio. Los usuarios quieren utilizar sus propios teléfonos inteligentes y tabletas, y con Sophos, podrá permitírselo. Hemos mejorado la facilidad de uso de nuestra solución y hemos añadido funciones nuevas que le ofrecen todos los datos que necesita con solo un vistazo. Prepare a los usuarios más rápido Si lo desea, puede utilizar los grupos ya configurados en Active Directory. Por ejemplo, puede asignar de forma automática dispositivos recién registrados en SMC y aplicarles las políticas adecuadas Así podrá preparar a los usuarios más fácilmente y que puedan volver al trabajo más rápido. Más resultados con menos clics Los administradores prefieren no dedicar demasiado tiempo a la gestión de dispositivos móviles. Por eso, hemos mejorado la fluidez de las operaciones y los inventarios muestran los datos en forma de gráficos circulares para que pueda ver el estado actual más fácilmente y trabajar más rápido. Asegúrese de que cumple las normativas en todo momentolas tecnologías móviles cambian constantemente y es necesario asegurarse de que los dispositivos no dejan de cumplir las normativas. Nuestra comprobación mejorada del cumplimiento no solo realiza más pruebas, sino que le permite establecer la gravedad de las infracciones. Configúrela para que avise al usuario o para que lleve a cabo las soluciones que considere oportunas. Distribuya y controle las aplicaciones y los datos SMC ya es compatible con las aplicaciones administradas de ios. Así podrá distribuir aplicaciones (tanto en App Store como desarrolladas de forma interna) directamente a los usuarios de ios. Además, permite eliminar de forma segura aplicaciones administradas y los datos que contienen si el usuario abandona la empresa o el dispositivo deja de cumplir las políticas. Sophos Mobile Control Consiga una prueba gratuita de 30 días Ventas en el Reino Unido: Teléfono: Correo electrónico: sales@sophos.com Ventas en España: Teléfono: (+34) Correo electrónico: comerciales@sophos.com Ventas en Norteamérica: Línea gratuita: Correo electrónico: nasales@sophos.com Boston (EE. UU.) Oxford (Reino Unido) Copyright Sophos Ltd. Todos los derechos reservados. Todas las marcas registradas pertenecen a sus respectivos propietarios. Monográficos de Sophos 10.12v1.dNA