Millones infectados con app Android... ¿o no?
Durante el fin de semana, varios sitios web levantaron la historia de Symantec sobre apps troyanizadas en el Android Market oficial. Esto pasa de vez en cuando, pero lo que atrajo la atención de todo el mundo fue que dijeron que que el número de descargas parecía ser entre uno y cinco millones, un número bastante grande.
Basado en lo que conocemos hasta el momento, pienso que cometieron un error, pero si busca a alguien que critique a Symantec, no va a encontrar a esa persona aquí. A mi me parece que lo que detectaron fue una nueva versión de una plataforma de publicidad, desarrollada para permitir a los desarrolladores de Android monetizar sus apps... no un troyano, diseñado para robar información o convertir al dispositivo de la víctima en parte de una botnet Android.
Pienso que es un error fácil de cometer. La primer versión, la cual también fue probablemente inocente, tenía un par de características extra, tales como, si recuerdo correctamente, la capacidad de descargar módulos adicionales. Este probablemente fue el comportamiento que les hizo catalogarlo en primera instancia como un troyano, y pienso que eso se quitó en esta versión. El código, sin embargo, fue probablemente suficientemente parecido como para disparar las firmas difusas de Symantec, y provocó que lo examinaras más de cerca.
Una vista de una de las alegadas apps troyanizadas hoy se muestra así:
Symantec también ha sido criticada por exagerar los números, declarando de uno a cinco millones. Están simplemente citando los números del Android Market. Si uno mira esta app, solo esta muestra un rango de uno a cinco millones [de instalaciones].
Dado que encontraron muchas apps usando lo que pensaron era un troyano, los números estimados podrían haber sido mucho mayores.
Lo que hace esto es destacar la dificultad de determinar que son exactamente los troyanos. Con los virus y los gusanos es fácil, porque se propagan solos. Si uno observa un código que se propaga pos si mismo, es un virus. Con un troyano, sin embargo, hay solo tres formas de decir que es un troyano:
Cuando se tienen cientos de miles de apps, que vienen de todo el mundo, de cualquiera de los numerosos y desconocidos desarrolladores, es sencillamente difícil descubrir cuando algo ha cruzado la linea desde la publicidad agresiva hacia lo categóricamente malicioso.
Todo lo que esto significa es que, en esta ocasión, probablemente no hay nada por lo cual preocuparse, pero no significa que nunca vaya a pasar nada.
A diferencia de iPhone y de BlackBerry, Android es esencialmente un modelo de distribución descentralizado. Google intenta controlar el mercado (marketplace) oficial, pero los usuarios pueden descargar aplicaciones de cualquier parte. Hay demasiados mercados "alternativos" y sitios de warez (trabajos con copyright distribuidos sin pagar regalías ni honorarios) que ofrecen versiones "gratis" de programas comerciales. Lo que la mayoría de la gente no se da cuenta es que las apps Android son sencillamente archivos zip, y que es verdaderamente sencillo descomprimirlos, agregarle algún troyano, volverlo a comprimir y ponerlo en el sitio de warez, enmascarándolo como una copia legítima de la apps original.
Por encima de todo eso, la plataforma de desarrollo Android es barata y bien comprendida. Veinticinco años de historia de virus han demostrado que "barato" y "bien comprendida" son de lo requisitos necesarios para que una plataforma tenga virus. Puesto de otra forma, muchas plataformas, incluyendo los mainframes, podrían tener virus, excepto que esos no cumplen con aquellos dos requerimientos.
Android es una maravillosa, útil y fascinante plataforma, pero resulta que es una buenísima idea solo descargar nuestras apps de compañías reconocidas.
Traducción: Raúl Batista - Segu-Info
Autor: Roger Thomson - Investigador en Jefe de amenazas emergentes de ICSA Labs
Fuente: Help Net Security
Basado en lo que conocemos hasta el momento, pienso que cometieron un error, pero si busca a alguien que critique a Symantec, no va a encontrar a esa persona aquí. A mi me parece que lo que detectaron fue una nueva versión de una plataforma de publicidad, desarrollada para permitir a los desarrolladores de Android monetizar sus apps... no un troyano, diseñado para robar información o convertir al dispositivo de la víctima en parte de una botnet Android.
Pienso que es un error fácil de cometer. La primer versión, la cual también fue probablemente inocente, tenía un par de características extra, tales como, si recuerdo correctamente, la capacidad de descargar módulos adicionales. Este probablemente fue el comportamiento que les hizo catalogarlo en primera instancia como un troyano, y pienso que eso se quitó en esta versión. El código, sin embargo, fue probablemente suficientemente parecido como para disparar las firmas difusas de Symantec, y provocó que lo examinaras más de cerca.
Una vista de una de las alegadas apps troyanizadas hoy se muestra así:
Symantec también ha sido criticada por exagerar los números, declarando de uno a cinco millones. Están simplemente citando los números del Android Market. Si uno mira esta app, solo esta muestra un rango de uno a cinco millones [de instalaciones].Dado que encontraron muchas apps usando lo que pensaron era un troyano, los números estimados podrían haber sido mucho mayores.
Lo que hace esto es destacar la dificultad de determinar que son exactamente los troyanos. Con los virus y los gusanos es fácil, porque se propagan solos. Si uno observa un código que se propaga pos si mismo, es un virus. Con un troyano, sin embargo, hay solo tres formas de decir que es un troyano:
- Uno debe observarlo haciendo algo que no debería, tal como registrar el pulsado de las teclas, enviar mensajes SMS a servicios premium, o descargar otros módulos sin pedir permiso, ó
- Uno debe hacer ingeniería inversa del código lo suficiente para poder ver si tiene código que podría hacer algo que no debiera, ó
- Que nuestro escáner antivirus diga que es algo malo.
Cuando se tienen cientos de miles de apps, que vienen de todo el mundo, de cualquiera de los numerosos y desconocidos desarrolladores, es sencillamente difícil descubrir cuando algo ha cruzado la linea desde la publicidad agresiva hacia lo categóricamente malicioso.
Todo lo que esto significa es que, en esta ocasión, probablemente no hay nada por lo cual preocuparse, pero no significa que nunca vaya a pasar nada.
A diferencia de iPhone y de BlackBerry, Android es esencialmente un modelo de distribución descentralizado. Google intenta controlar el mercado (marketplace) oficial, pero los usuarios pueden descargar aplicaciones de cualquier parte. Hay demasiados mercados "alternativos" y sitios de warez (trabajos con copyright distribuidos sin pagar regalías ni honorarios) que ofrecen versiones "gratis" de programas comerciales. Lo que la mayoría de la gente no se da cuenta es que las apps Android son sencillamente archivos zip, y que es verdaderamente sencillo descomprimirlos, agregarle algún troyano, volverlo a comprimir y ponerlo en el sitio de warez, enmascarándolo como una copia legítima de la apps original.
Por encima de todo eso, la plataforma de desarrollo Android es barata y bien comprendida. Veinticinco años de historia de virus han demostrado que "barato" y "bien comprendida" son de lo requisitos necesarios para que una plataforma tenga virus. Puesto de otra forma, muchas plataformas, incluyendo los mainframes, podrían tener virus, excepto que esos no cumplen con aquellos dos requerimientos.
Android es una maravillosa, útil y fascinante plataforma, pero resulta que es una buenísima idea solo descargar nuestras apps de compañías reconocidas.
Traducción: Raúl Batista - Segu-Info
Autor: Roger Thomson - Investigador en Jefe de amenazas emergentes de ICSA Labs
Fuente: Help Net Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!