PDF de programación - Situación del malware para Android

Situación del malware para dispositivos Android



1







Autor
Asier Martínez Retenaga

Este estudio ha sido elaborado con la colaboración de Jesús Díaz Vico y Héctor R. Suárez por
parte de INCIBE y Francisco López Hernández y Javier Rascón Mesa por parte de HISPASEC.



Febrero 2015

La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo una licencia Reconocimiento-No
comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar públicamente esta obra
bajo las condiciones siguientes:

•
Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INCIBE o CERTSI como a su sitio web: http://www.incibe.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INCIBE presta apoyo a dicho tercero o apoya el uso que hace de su obra.

•
uso no tenga fines comerciales.

Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones
puede no aplicarse si se obtiene el permiso de CERTSI como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/



Situación del malware para dispositivos Android



2





ÍNDICE

1

2

3

4

5

SITUACIÓN ACTUAL

SOBRE EL ESTUDIO

MODELO DE SEGURIDAD DE ANDROID

EL FORMATO APK

ANÁLISIS DE MUESTRAS
Tipos de ficheros
5.1.
APKs Firmadas
5.2.
APKs monetizadas
5.3.
SDKVersion
5.4.
Tiempo de exposición a la amenaza
5.5.
Plataforma de desarrollo
5.6.
Nombre del package
5.7.
Package Name existentes en Google Play
5.8.
Permisos
5.9.
5.10.
Services
5.11. Receivers
Providers
5.12.
5.13.
Activities
5.14. Complejidad
Peligrosidad
5.15.
5.16.
Idioma por defecto
Idiomas alternativos
5.17.
5.18.
Palabras más utilizadas
5.19. Conexiones establecidas
5.20. Detecciones de Antivirus
5.21.
5.22.

Tipo de malware
Privacidad

6

CONCLUSIONES

ANEXO 1 – COMPARATIVA DE LIBRERÍAS DE MONETIZACIÓN



5

9

10

13

15
15
16
18
25
27
29
30
31
33
39
39
40
41
41
42
43
44
46
47
49
50
51

53

57



Situación del malware para dispositivos Android



3



ANEXO 2 – LISTADO DE MOTORES ANTIVIRUS

ANEXO 3 – LISTADO DE MÉTODOS QUE AFECTAN A LA PRIVACIDAD

ÍNDICE DE ILUSTRACIONES

REFERENCIAS



58

60

61

63



Situación del malware para dispositivos Android



4

1 SITUACIÓN ACTUAL

Como reflejan los siguientes ejemplos, Android se ha convertido en la plataforma móvil más
atacada por parte de los cibercriminales.

•

•

•

•

El informe de malware correspondiente al segundo trimestre de 2014 elaborado por
Kaspersky Lab, indica que Android acapara el 99% de los programas maliciosos
móviles.
El informe «Cisco’s 2014 Annual Security Report» indica, de igual modo, que el 99% de
malware para plataformas móviles está orientado a Android.
Kindsight Security Labs estima que hay 15 millones de dispositivos móviles infectados
con malware en todo el mundo, casi cuatro millones más que a finales de 2013, de los
cuales el 60% utilizan sistema operativo Android.
El informe «State of Mobile App Security» de Arxan revela que existen versiones
maliciosas del 97% del TOP 100 de aplicaciones de pago y el 80% del TOP 100 de
aplicaciones gratuitas de Android, la cuales, son distribuidas por un gran número de
mercados alternativos.

Situación del malware para dispositivos Android

5



• El informe «Cheetah Mobile’s security report» refleja que han identificado más de 2,2

millones de aplicaciones maliciosas correspondientes a la plataforma Android.

• El informe «Security Threat Report 2014» de Quick Heal revela que el malware para

Android ha aumentado un 600% desde 2012.
Este hecho es debido principalmente a seis factores:

1. La mayoritaria elección por parte de los usuarios de Android como plataforma móvil:

ya existen más de 900 millones de dispositivos.

2. Como se puede comprobar en el sistema de seguimiento de incidencias o «Android
Open Source Project - Issue Tracker», la plataforma tiene multitud de fallos. Del mismo
modo, los controles de seguridad que incorpora no son 100% fiables. Algunas de las
noticias más relevantes al respecto son las siguientes:

­

Investigadores de BlueBox dieron a conocer «MasterKey», una vulnerabilidad
que fue posteriormente detallada en la conferencia «Android: One Root to Own
Them All», en la Black Hat USA 2013. El fallo de seguridad permitía incluir
código arbitrario en cualquier APK firmada por un desarrollador sin alterar la
firma. Para ello, se debía incluir en la APK dos ficheros con el mismo nombre,
de modo que la verificación de Android se aplicaba únicamente sobre el
primero, ejecutando posteriormente el segundo.

­ Un investigador chino hizo pública una vulnerabilidad mediante la cual era
posible modificar el contenido de una APK sin que lo detecten los mecanismos
de validación de Android. Pese a que dicha vulnerabilidad es difícil de explotar
y sólo se da en ciertos casos (modificando aquellos ficheros classes.dex con un
tamaño inferior a 64kb), podría permitir a un atacante obtener información
sensible del usuario afectado.
Investigadores de Bluebox hicieron pública la vulnerabilidad conocida como
«FakeID», que ha sido posteriormente detallada en la charla «Android Fake ID
Vulnerability», en la Black Hat USA 2014. La vulnerabilidad, que lleva afectando
a usuarios desde enero del año 2010, consiste en que el instalador de paquetes
de Android no comprueba la cadena de certificación, de modo que si se falsea
el emisor del certificado de una aplicación, Android no se percatará de tal
hecho y lo tomará como un certificado válido.

­

­ El investigador Rafay Baloch hizo pública una vulnerabilidad que afecta al
navegador por defecto presente en cerca del 75% de los dispositivos Android.
Esta vulnerabilidad permite eludir la política de SOP «Same Origin Policy», de
manera que es posible obtener tanto información del resto de las páginas
abiertas en el navegador como acceder a las cookies, y en el caso de que no
estén protegidas, utilizarlas para suplantar a los usuarios afectados o
secuestrar sus sesiones.



Situación del malware para dispositivos Android



6



3. Los controles de seguridad del servicio «Google Bouncer» a la hora de aceptar la

publicación de nuevas aplicaciones en Google Play no son infalibles.

4. La explotación de dichos fallos supone un gran beneficio económico con una mínima
inversión. Se puede obtener gran cantidad de información sensible como fotografías,
emails, cuentas y contraseñas, SMS, grabaciones, etc. que posteriormente puede ser
vendida en el mercado underground para robos de identidad, chantajes, etc. Así
mismo, la suscripción a servicios SMS Premium reporta grandes ganancias a los
ciberdelincuentes, o incluso la subcontratación de servicios característicos de una
botnet como por ejemplo ataques de denegación de servicio, o mailings masivos
pertenecientes a campañas de phishing, o los 0days en Android por los que, según la
revista Forbes, se llega a pagar entre 30 mil y 60 mil dólares.

5. Un alto porcentaje de las aplicaciones para Android no se desarrollan utilizando
metodologías cuya máxima sea el «security by design». Así mismo, no se utilizan otras
como OWASP u OASAM, las cuales permiten evaluar la seguridad de las aplicaciones y
tienen como objetivo identificar los peligros correspondientes a la seguridad de
dispositivos móviles y proporcionar los controles necesarios en el desarrollo para
reducir su impacto y la probabilidad de explotación de los mismos. Atendiendo al
informe «Predicts 2014: Mobile Security Won't Just Be About the Device» de Gartner
más del 75% de las aplicaciones desarrolladas a lo largo del 2015 fallarán las pruebas
de seguridad básicas. En este aspecto, no ayudan demasiado ciertas opciones por
defecto de algunos de los componentes de las aplicaciones de Android. Por ejemplo,
si no configura lo contrario, un «provider», permite que la información que comparte
una aplicación sea accesible tanto por el sistema como por aplicaciones de terceros,
salvo que se establezca el atributo android:exported=”false”.
Así mismo, es importante tener en cuenta que a la hora de desarrollar una aplicación
se acostumbra a reutilizar código; no vamos a reinventar la rueda. Según un informe
de la compañía Codenomicon publicado en RSA Conference USA 2014, entre el 80% y
el 90% del software desarrollado para dispositivos móviles se realiza a partir de código
reutilizado. En la mayoría de los casos no se tienen en cuenta los fallos de seguridad
que puede tener el código reutilizado.

6. Los usuarios no son conscientes del peligro real y, en muchos casos, no toman las
medidas necesarias para mantener su seguridad y privacidad. El informe «Mobile
Security 2015: The Enterprise at Risk» indica que el 34% de los usuarios no toma ningún
tipo de medida relacionada con la seguridad de sus dispositivos.

Todo esto provoca