Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/07/2013

8 consells per a determinar si una aplicació per a Android és legítima

La següent publicació està escrita prenent en consideració els consells mencionats en el post “Is your new app what it seems? How to spot the latest Android scams disponible en We Live Security”.

Com s’ha mencionat en ocasions anteriors, l’augment en l’ús de telèfons intel·ligents i tauletes tàctils per a fer tràmits bancaris, revisar correu electrònic, entrar en xarxes socials, entre altres accions que requerixen el maneig d’informació sensible, han posicionat esta tecnologia no sols com útil i flexible, sinó també com un blanc predilecte dels ciberdelinqüents. En esta línia i d’acord amb allò que s’ha expressat en el document Tendencias 2013: Vertiginoso crecimiento de malware para móviles, l’augment de codis maliciosos i altres amenaces per a plataformes mòbils es manté en alça. Igual passa amb les tècniques d’enginyeria social que apliquen els atacants i que evolucionen constantment per a manipular els usuaris d’este tipus de dispositius. Per a disminuir la possibilitat de descarregar aplicacions de mòbil falses o malicioses, s’han desenrotllat huit consells que es detallen a continuació:

1. Compte amb una aplicació anhelada que arriba abans d’hora: els ciberdelinqüents es mantenen al corrent de les últimes novetats i dates de llançaments, per tant, utilitzen estes excuses per a propagar aplicacions malicioses camuflades com legítimes i que són llançades abans d’hora. En esta línia, i considerant que BlackBerry Messenger serà llançat per a altres plataformes, es va publicar una aplicació que simulava ser este programa de missatgeria i que es van descarregar almenys cent mil usuaris. Encara que no es va tractar d’un codi maliciós, era una aplicació falsa que distribuïa publicitat i que òbviament no complia la funció de missatger.

2. Compte amb versions gratis d’aplicacions de pagament: moltes vegades, els atacants s’aprofiten de la popularitat d’una aplicació de pagament i n'oferixen una versió gratis però modificada per a incloure-hi components maliciosos. Les accions poden variar des de l’enviament de missatges SMS Premium fins a convertir el dispositiu en zombi, és a dir, que pot ser controlat remotament per un ciberdelinqüent.

3. Massa bo per a ser veritat?: els usuaris d’Android han advocat per tindre una versió del reeixit joc per a PC FTL. Considerant això, els atacants van pujar una aplicació que simulava ser este videojoc. En les crítiques també va ser possible observar que les qualificacions del suposat joc eren positives, però el programa fals obligava l’usuari a avaluar-lo com a excel·lent. A pesar que l’aplicació va ser donada de baixa, és important parar atenció a aquells programes que són dissenyats per a una plataforma específica i que, sense avís previ, són desenrotllats per a un altre sistema operatiu. Així mateix, la quantitat d’estreles tampoc és un mesurador fiable sobre la legitimitat d’una aplicació mòbil.

4. Pense que està comprant en llocs com Mercado Libre: quan els usuaris utilitzen llocs de compres i vendes com Amazon, Mercado Libre, entre altres, solen cerciorar-se que el venedor siga confiable, tinga comentaris positius, etc. Amb les botigues d’aplicacions passa igual. En esta línia, és important que l’usuari es fixe en qui és el desenvolupador del programa, el lloc web de l’empresa, els comentaris d’altres persones, etc.

5. No es deixe enganyar per llocs d’ofertes: hi ha una gran quantitat de llocs que oferixen aplicacions per a Android que són de pagament de forma suposadament gratuïta. Molts d’eixos portals solen camuflar-se com a llocs de crítiques, però les opinions i característiques del programa solen ser copiades i apegades de Google Play. Cal tindre extrema precaució amb pàgines que oferixen títols populars per a Android debades. És recomanable utilitzar només botigues oficials com Google Play a pesar que s’han reportat casos de codis maliciosos que han sigut pujats a este repositori.

6. Las aplicacions bones també poden tornar-se malicioses: una aplicació aparentment inofensiva pot contindre enllaços que dirigixen cap a contingut maliciós. En este sentit, hi hagué una aplicació que oferia a l’usuari la possibilitat de comprar diverses tipografies addicionals, però este enllaç dirigia cap a la descàrrega d’un programa espia. Una aplicació per si sola pot ser inofensiva, però els enllaços inclosos en esta poden ser maliciosos.

7. Fixe's en tots els permisos de seguretat: Android mostra en pantalla tots els permisos que sol·licita una aplicació en el moment d'instal·lar-se. En el cas d’observar una quantitat excessiva de permisos per a una aplicació la funció de la qual és senzilla (fons de pantalla, editors de foto, etc.), és recomanable evitar instal·lar el programa.

8. “Verify Apps” de Google pot ajudar: a partir de la versió 4.2 d’Android, Google va incloure una funcionalitat destinada a detectar aplicacions falses i malicioses. Per a activar esta característica s’ha d'entrar en Ajustos en Seguretat i modificar l’opció corresponent.

CSIRT-CV