Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/12/2014
Arriba una nova amenaça per a Android: coneix a Fakedebuggerd
Els atacs dirigits a Android no paren d’augmentar i evolucionen ràpidament i constant. La seua elevada quota de mercat i el fet que molts usuaris continuen utilitzant versions obsoletes i vulnerables del sistema operatiu perquè no és possible una actualització dels seus dispositius, el convertixen en un objectiu molt interessant per als delinqüents.
Fa unes setmanes, l’empresa de seguretat xinesa 360 va publicar un estudi sobre una nova amenaça per a Android. Esta amenaça, coneguda com Fakedebuggerd, utilitza tècniques de ferramenta d’intrusió per a aconseguir persistència en el sistema i dificultar la seua eliminació, aprofitant-se a més de dos coneguts exploits per a Android 4.x (FramaRoot i TowelRoot), que permeten executar codi amb privilegis d’usuari primari.
Vectors d’infecció
Tal com hem vist en casos anteriors, pareix que el principal vector d’infecció es troba en la descàrrega d’aplicacions modificades pels delinqüents. Així doncs, diversos usuaris afectats per este programari maliciós van observar que tenien instal·lades aplicacions com ara llanternes o calendaris que no recordaven haver instal·lat.
A l’hora d’intentar desinstal·lar estes aplicacions els usuaris es van trobar amb la impossibilitat de fer-ho. Inclús comptant amb privilegis d’usuari primari, les aplicacions tornaven a aparéixer en el sistema al cap de poc. Esta característica convertix Fakedebuggerd en una amenaça amb major perillositat que la mitjana de programari maliciós que veiem normalment en Android.
L’ús dels exploits FramaRoot i TowelRoot també proporciona als atacants un ampli nombre de víctimes potencials, ja que afecten un gran nombre de mòbils Android amb versions anteriors a la 5.0 Lollipop i inclús, en el cas de FramaRoot, alguns dels fabricants de mòbils més coneguts.
Robatori d’informació
Pareix que el principal objectiu d’este programari maliciós és el robatori d’informació privada del dispositiu infectat. Així, Fakedebuggerd recopila informació com el tipus i el nom de la xarxa a què es connecta el dispositiu, les telefonades rebudes i enviades, informació de la targeta SIM, com l’IMEI o el microprogramari del telèfon (adreça Mac, informació de la CPU, versió del sistema del mòbil), etc.
Esta informació pot resultar crucial a l’hora de fer atacs dirigits a certes empreses, ja que proporciona dades molt útils sobre els dispositius dels empleats, que poden actuar com a porta d’entrada a la informació confidencial d’una companyia. A més, gràcies a les seues capacitats de ferramenta d’intrusió, pot ocultar-se i passar desapercebut en els mòbils corporatius utilitzats pels empleats durant molt de temps.
Protegir-nos de Fakedebuggerd
A pesar de tractar-se d’una amenaça avançada per a Android, les mesures per a evitar veure’s afectat continuen sent les mateixes que amb la resta d’amenaces:
- Evitar descarregar aplicacions de llocs de tercers o desenvolupadors que no tinguen una reputació contrastada. Si utilitzem el dispositiu en un entorn corporatiu, instal·lar únicament les aplicacions autoritzades pels administradors de sistemes.
- No polsar sobre enllaços rebuts per missatgeria, SMS, correus, etc., si no sabem a on ens dirigixien, i inclús si ens adrecen a una web legítima, sospitar si s’intenta descarregar algun fitxer o instal·lar qualsevol tipus d’actualització.
- Comptar amb una solució de seguretat en el dispositiu que permeta detectar estes amenaces no sols per la base de firmes, sinó també pel seu comportament.
Conclusió
Fakedebuggerd és només una mostra més de com el programari maliciós avançat que hem vist durant anys en sistemes d’escriptori va migrant ràpidament a l’entorn mòbil. Ja hem analitzat casos de ransomware portats a telèfons intel·ligents, però l’ús de ferramentes d’intrusió fa un pas més en la complexitat de les amenaces orientades a infectar estos dispositius.
A pesar que esta amenaça pareix estar orientada al mercat xinés, no hem d’abaixar la guàrdia, ja que és molt fàcil per als delinqüents adaptar-la a altres mercats i convertir-la en global. Com més víctimes potencials, major benefici per als delinqüents. És per això que hem d’estar alerta i evitar que el nostre smartphone siga una d’eixes víctimes.