ESTÁ CLARO que los dispositivos móviles manejan información sensible de nuestras vidas y eso los convierte en un blanco atractivo para los cibercriminales. Es por eso que, desde el Laboratorio de Investigación de ESET Latinoamérica, compañía líder en la detección proactiva de amenazas informáticas, comparten de qué manera funciona el malware en dispositivos móviles para que puedan protegerse.
Android es el sistema operativo móvil más utilizado en el mundo, ya que concentra actualmente el 76% del mercado. “Hay diversas versiones activas del sistema, donde el 90% de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre Oreo. Esta cantidad de usuarios y la variedad del ecosistema vuelve a la plataforma el blanco perfecto para cibercriminales, provocando que las detecciones de códigos maliciosos para Android representen el 99% de todo el malware para móviles.”, menciona Denise Giusto Bilic, especialista en Seguridad Informática del Laboratorio de Investigación de ESET Latinoamérica
Para la propagación de un código malicioso en Android, por ejemplo, ESET explica que el primer paso es la propagación de la amenaza, es decir, lograr que ese ejecutable malicioso alcance el entorno de la víctima. Para conseguir esto, los atacantes se valen de un conjunto de estrategias:
Vulnerabilidades: la explotación de fallos de seguridad a través de los diversos estratos de la arquitectura móvil es uno de los vectores utilizados para lograr la ejecución de código malicioso en el entorno de la víctima. Esta explotación puede referirse a fallos en el hardware, como ocurrió con QuadRooter: un conjunto de fallos que años atrás dejó vulnerables a 900 millones de dispositivos con Android y procesadores Qualcomm. Similarmente, el firmware puede estar expuesto a huecos de seguridad, tal como se demostró en 2018 cuando investigadores encontraron decenas de fallos en las versiones de fábrica de varios modelos de equipos con Android.
Otra posibilidad son las aplicaciones de usuario que se instalan en los equipos y no siempre se ciñen a estándares de desarrollo seguro e, incluso de hacerlo, no están exentas de incluir puertas de entrada al sistema. Un ejemplo reciente fue el fallo de WhatsApp que permitía lograr una sesión remota en el equipo víctima mediante la recepción de un GIF específicamente creado para detonar funcionalidad maliciosa. Esta misma app sufrió también un fallo que habilitaba la instalación de spyware en los teléfonos de los usuarios.
Malware en tiendas oficiales: las tiendas oficiales dejaron de ser completamente seguras, por lo que una app no es legítima solo por distribuirse en una tienda oficial. Un reporte de ElevenPaths concluyó que las apps maliciosas permanecen un promedio de 51 días en Google Play, llegando en algunos casos a permanecer por 138 días.
Los atacantes no solo se aprovechan de la posibilidad de subir malware a la tienda oficial, sino que además encuentran maneras de sacar provecho de aquellas aplicaciones legítimas que no se distribuyen mediante Google Play. El caso ejemplar de los últimos años fue Fortnite, un juego con más de 250 millones de usuarios en el mundo, cuyos desarrolladores decidieron no distribuir a través de Google Play. Además de las vulnerabilidades encontradas en el instalador de Fortnite que permitían la instalación de malware, la sola falta de esta app tan popular catapultó a los usuarios hacia tiendas de terceros y sitios de dudosa reputación accesibles mediante una búsqueda web.
Campañas en redes sociales: engaños que pretendían permitir cambiar el color de WhatsApp, hacer videoconferencias cuando aún no existía tal funcionalidad o elaborados sistemas de estafas geolocalizadas que funcionaban mediante supuestos cupones de canje fueron algunas de las más notables campañas en teléfonos móviles. El fin, usualmente, es lograr que el usuario descargue e instale una aplicación, ceda sus datos o termine suscripto a un servicio de mensajería premium por el cual se le cobrará sin su conocimiento.
Troyanos y scareware: las estafas dedicadas a asustar a los usuarios para lograr que se precipiten a ingresar a un enlace, descargar una amenaza o aceptar un permiso siguen vigentes. Muchas aplicaciones falsas buscan hacerse pasar por soluciones de seguridad y prometen al usuario ser las únicas capaces de desinfectar su terminal. El hecho de camuflarse como herramientas de protección brinda a los ciberdelincuentes ciertas ventajas, una de las cuales es escudarse bajo una figura de confianza, de modo que el usuario no dudará en otorgar a la aplicación permisos de administrador del terminal.