Malware Para Movile Amenazas Y Prevencion

Proteja lo que más valora.

Proteja lo que más valora.

Malware para móviles: Amenazas y prevención Zhu Cheng

www.mcafee.com

Malware para móviles: Amenazas y prevención Hoy en día, llevar encima un teléfono móvil inteligente (“smartphone”) equivale a llevar un potente equipo informático en el bolsillo. Un número cada vez mayor de los teléfonos disponibles en el mercado actual, no sólo incluyen una cámara, sino que también ofrecen acceso en línea completo, teclado y otras muchas funciones que hasta ahora eran exclusivas del PC.1 Sin embargo, esta capacidad y comodidad no van asociadas solamente a ventajas. Al igual que nuestros equipos de sobremesa y portátiles, estos teléfonos móviles también están expuestos a amenazas de seguridad. Lo irónico de la evolución de esta tecnología lo encontramos en el hecho de que a medida que aumenta el número de funciones que incluyen estos teléfonos, más vulnerables se vuelven frente los mismos tipos de amenazas que hacen estragos en nuestros equipos portátiles y de sobremesa. Los sistemas operativos más habituales que encontramos instalados en teléfonos móviles y asistentes digitales personales (PDA) son Microsoft Windows Mobile y Symbian. Windows Mobile 2003 y Windows Mobile 6 están basados en Windows Mobile, que emplea una estrategia de kernel de código fuente compartido. La interfaz de usuario S60 de Nokia está basada en Symbian, un sistema operativo desarrollado y mantenido por Symbian Ltd. (Otros muchos productos utilizan el sistema S60, por ejemplo, teléfonos de Samsung, Panasonic, Siemens y Lenovo.) Debido a la sencillez de su entorno de desarrollo y a la política de código fuente compartido que ha adoptado Microsoft para Windows Mobile cada vez más fabricantes de teléfonos utilizan en sus dispositivos este sistema operativo. Del mismo modo, se espera que estas atractivas funciones atraigan cada vez a más creadores de malware, por lo que los usuarios deberían tomarse muy en serio los problemas de seguridad relacionados con los teléfonos móviles. En este documento, abordaré las vulnerabilidades que presentan los teléfonos inteligentes equipados con Windows Mobile. La mayoría de estas vulnerabilidades se encuentran también en las PDA con Windows Mobile. De acuerdo con los datos sobre detecciones y las modelizaciones relativas a amenazas comunicadas por McAfee Avert® Labs, hace ya algún tiempo que esperábamos que se produjera un rápido crecimiento del malware para móviles. Si bien esta tendencia aún no se ha confirmado, no vemos razón alguna para bajar guardia.2 ¿Cuáles son las principales causas que justifican el aumento del riesgo en dispositivos Windows Mobile? El precio de los teléfonos móviles sigue bajando y cada vez son más los proveedores que fabrican estos dispositivos. Con la política de kernel de código fuente compartido de Windows Mobile, los creadores de malware tienen ahora más fácil conocer en profundidad el sistema operativo. Los usuarios de los teléfonos móviles tienden a guardar una gran cantidad de datos privados en sus dispositivos. Esta situación resulta enormemente atractiva para los autores de malware que anticipan importantes ganancias financieras a través del robo de identidad o la apropiación de información de tarjetas de crédito. El aumento de las capacidades del hardware implica el desarrollo de nuevas funcionalidades para el sistema operativo, que ofrecen a su vez nuevas oportunidades de ataque a los autores de malware. En la medida en que el desarrollo de software en Windows Mobile y Win32 es muy similar, a los autores de malware para Win32 les resulta más fácil hacer que sus creaciones sean compatibles con entornos móviles. 1

http://telephia.com/html/Smartphonepress_release_template.html

2

http://www.mcafee.com/us/about/press/corporate/2006/20061129_080000_f.html

1

Malware para móviles: Amenazas y prevención

www.mcafee.com

¿Qué funciones entrañan un mayor riesgo? Consideramos que las mayores amenazas para los teléfonos móviles se observan en las siete áreas siguientes: Mensajes de texto Contactos Vídeo Transcripciones telefónicas Registro de llamadas Documentación Desbordamientos del búfer

Mensajes de texto Windows Mobile ofrece una interfaz API de desarrollo que incluye funciones para el envío y el bloqueo de mensajes. Los virus u otros tipos de malware pueden aprovechar estas funciones para apoderarse de la información personal del usuario y causar los correspondientes estragos en su vida y en su economía. Los investigadores de McAfee Avert Labs han observado ejemplos de phishing a través de SMS (también conocido como "SMiShing"), que parecen ser cada vez más numerosos.3 Un ejemplo es el malware que emplea interfaces API de mensajes de texto para enviar mensajes falsos a las personas incluidas en la lista de contactos del usuario. La técnica es similar a la falsificación de correo electrónico, pero en este caso existe una mayor probabilidad de éxito debido a la falta de concienciación entre las víctimas sobre este tipo de amenaza. Si confiamos en un mensaje entrante simplemente porque conocemos el número de teléfono del remitente, entonces somos vulnerables ante cualquier persona de nuestra lista de contactos que haya sido infectada por malware, que podría fácilmente enviar mensajes falsos. Para los usuarios sería muy difícil distinguir un mensaje de texto maligno. El malware también puede utilizar interfaces API de mensajes de texto para aplicar cargos a los teléfonos móviles a través de la puerta de enlace de pago de SMS. Ya existe un ejemplo en el que teléfonos móviles Java, incluidos los que utilizan las plataformas S60 de Nokia y Windows Mobile, han sido víctimas de esta amenaza.4 Este troyano envía mensajes de texto especiales a un proveedor de servicios ubicado en Rusia con cargo a la tarjeta prepago del teléfono móvil de los usuarios. No es descabellado pensar que estos ataques se van a producir contra dispositivos Windows Mobile a medida que éstos se implanten de forma más generalizada. Desafortunadamente, la amplitud de la plataforma Windows Mobile abre la puerta a otras oportunidades de ataques potenciales. Según el Kit de desarrollo de software (SDK) de Windows Mobile, un desarrollador de aplicaciones podría escribir un programa utilizando el código de muestra MapiRule y cargarlo con el fin de implementar el bloqueo de mensajes de texto. Gracias a que Microsoft ya proporciona una plataforma MapiRule en el kit SDK, el desarrollador sólo tiene que realizar algunas modificaciones para utilizarla como una DLL. La figura siguiente muestra el proceso de gestión de mensajes de texto antes y después de la instalación de MapiRule. Tras la instalación, MapiRule actúa como un filtro entre los mensajes cortos y el programa de mensajes de texto, tmail. De esta forma, un programador podría interrumpir el proceso de gestión de mensajes cortos eliminando o reenviando mensajes, o bien a través de otras operaciones actuando como intermediario. El malware podría utilizar esta función para instalar una DLL en el teléfono móvil del usuario con el fin de bloquear el mensaje corto e interrumpir la comunicación normal, responder a los mensajes o bien reenviar mensajes. Si las empresas utilizaran los mensajes SMS para sus comunicaciones, se crearía una vía para interceptar datos corporativos.

3

http://www.avertlabs.com/research/blog/?p=75 http://www.f-secure.com/weblog/archives/archive-042007.html#00001173

4

http://vil.nai.com/vil/content/v_138726.htm

2

Malware para móviles: Amenazas y prevención

www.mcafee.com

Antes de instalar MapiRule Mensaje corto

Después de instalar MapiRule Mensaje corto

Bandeja de entrada

Opciones de MapiRule

No hacer nada y reenviar Modificar mensaje y reenviar Eliminar mensaje

Bandeja de entrada

El uso de código de MapiRule con SMS permite a los piratas crear una amenaza de tipo “intermediario”.

Dicho esto, aunque el peligro es real, no hay motivos para alarmarse. La tecnología para el bloqueo de mensajes cortos de MapiRule emplea un puerto fijo proporcionado por Microsoft, de forma que los usuarios pueden determinar fácilmente si se ha instalado una DLL en sus sistemas Windows Mobile. Para instalarla en este puerto, el malware debe registrar el módulo de filtrado de la DLL y añadir la clave CLSID de la DLL en: [HKEY_LOCAL_MACHINE\Software\Microsoft\Inbox\Svc\SMS\Rules] y definir la asignación de la clave como 1; por ejemplo: "{3AB4C10E-673C-494c-98A2-CC2E91A48115}"=dword:1 Esta asignación de clave indica que MapiRule ha instalado una DLL de filtrado en el sistema. Sin embargo, los usuarios no deben eliminar nada debajo de esa entrada, ya que es posible que haya DLL cuya instalación no se haya producido como consecuencia de actividad de malware. Si el usuario elimina las claves equivocadas, se puede producir un error general en un programa importante. Si encuentra una clave de este tipo, intente solucionarlo con el software antivirus de su teléfono móvil.

Contactos En un entorno empresarial, una de las utilidades más importantes de un teléfono inteligente es la lista de contactos. El robo de los datos de contactos puede tener consecuencias nefastas tanto para los empleados como para la propia empresa. Como hemos mencionado, el malware para móviles puede “robar” una lista de contactos y enviar mensajes cortos que contenga malware o un vínculo a malware. Y puede ser aún peor; el malware podría comprimir los datos de sus contactos y enviarlos a un tercera persona malintencionada. Muchos usuarios de teléfonos inteligentes aprovechan las herramientas de copia de seguridad de los contactos de los teléfonos, que normalmente utilizan llamadas de programación como IPOutlookItemCollection, IFolder e IContact de la API Pocket Outlook Object Model que incluye el kit SDK de Windows Mobile. Para los desarrolladores de malware sería muy fácil obtener y modificar estos datos de contactos y enviar los resultados a otro destinatario.

Vídeo La mayoría de los teléfonos móviles vienen equipados con una cámara de fotos y vídeo. El malware para móviles podría utilizar las API de Microsoft para hacerse con el control del teléfono y utilizar la cámara para hacer fotos, aunque probablemente le resultaría difícil conseguir un buen ángulo cuando el malware utilizara la cámara. Esto hace que las posibilidades de sufrir un ataque automatizado a través de la cámara sean muy reducidas. Sin embargo, la seguridad de las fotos y el vídeo almacenados en el dispositivo sí corre un cierto riesgo. El malware podría buscar todos los archivos JPG utilizando la API de archivos y enviárselos a un tercero malintencionado a través de la red inalámbrica. Aunque normalmente el tamaño de los archivos de imágenes es grande, el ancho de banda es más que suficiente en cualquier país que cuente con una red para móviles 3G bien desarrollada.

3

Malware para móviles: Amenazas y prevención

www.mcafee.com

Transcripciones telefónicas ¿Y si su teléfono móvil se convirtiera de repente en una grabadora? Gracias a la API de grabación de voz del móvil, el malware puede convertir un teléfono en una grabadora. Microsoft aplica funciones de audio Waveform para grabar y reproducir archivos WAV, según el kit SDK de Windows Mobile. Debido a las analogías entre Windows Mobile y Windows, muchos códecs e interfaces API de grabación que utiliza Windows pueden aplicarse a Windows Mobile, y sirven como referencia a los autores de malware para móviles. Por ejemplo, cuando probamos el teléfono móvil Dopod, descubrimos que la calidad de grabación era muy alta, incluso cuando el teléfono estaba en el bolsillo del usuario. No obstante, la capacidad de almacenamiento de los teléfonos móviles es limitada por lo que el malware no puede grabar indefinidamente. Sí puede, sin embargo, enviar el archivo grabado a un agresor a través del correo electrónico o de MMS (Multimedia Message Service), un servicio parecido a la mensajería SMS. Si el ataque se combinara con la tecnología de intercepción de SMS que hemos descrito, el malware podría utilizar SMS para activar la función de grabación, con lo que el teléfono actuaría como una grabadora que podría encenderse y apagarse de forma remota.

Registro de llamadas La lista del registro de llamadas puede ser de un gran valor, y los programas malignos pueden leer esta información. Los usuarios deben vigilar sus registros de llamadas y no estaría de más que eliminaran cada cierto tiempo las entradas no necesarias con el fin de reducir las consecuencias de una posible infección.

Documentación Muchos usuarios de teléfonos móviles leen y guardan archivos Word, Excel o PDF en sus teléfonos, especialmente en dispositivos PocketPC. Pero el malware también puede apoderarse de estos archivos, de nuevo gracias a la API de archivos. Es bastante posible que los archivos con las extensiones *.doc, *.xls y *.pdf se conviertan en blanco habitual de los creadores de malware para móviles. Los usuarios de teléfonos móviles deben extremar las precauciones cuando guarden datos corporativos confidenciales o archivos personales en sus teléfonos.

Desbordamientos del búfer Los desbordamientos del búfer también pueden causar graves daños a los dispositivos móviles. En la conferencia Xcon 2005, ya asistimos a una presentación sobre la actividad de los piratas informáticos en Windows Mobile.5 Durante la charla se expusieron sugerencias para el desarrollo de código shell, así como código de ejemplo.

Cómo evitar los ataques de malware para móviles Para proteger la API de Windows Mobile, Microsoft emplea de forma predeterminada un sistema de certificados. Sólo los programas que poseen un certificado firmado pueden realizar llamadas a las API de teléfonos móviles. Este sistema funciona bien hasta que un usuario desea añadir un programa no firmado. Una forma de sortear esta medida de seguridad predeterminada es utilizar una herramienta como SDA_ApplicationUnlock de Novosec, que desactiva completamente la función de protección mediante certificados de seguridad en los móviles. El riesgo de esta desactivación radica en que reduce inevitablemente la seguridad del dispositivo. Una vez que se desactiva, cualquier programa—incluido el malware—puede utilizar las llamadas de API. Nuestro consejo es sencillo: no utilice este tipo de programas si quiere que su teléfono móvil esté protegido. (Para obtener más información, lea el artículo de Microsoft acerca de la seguridad de las aplicaciones Windows Mobile 5.0.6)

5

http://www.phrack.org/issues.html?issue=63&id=6#article

6

http://msdn2.microsoft.com/en-us/library/ms839681.aspx

4

Malware para móviles: Amenazas y prevención

www.mcafee.com

Prevenir mejor que curar La mejor forma de proteger su dispositivo móvil es mantenerlo a salvo del malware. Adopte para su teléfono móvil las mismas precauciones que tomaría para su equipo portátil o de sobremesa Windows. Las herramientas antivirus y antimalware que previenen las infecciones son más eficaces que los productos que se limitan a detectar o limpiar los virus. Una vez que un malware infecta un móvil, puede ser complicado eliminarlo. Es mejor utilizar una combinación de software antivirus basado en PC (con análisis en tiempo real activado) y un software antivirus para móviles. En lo que se refiere a la navegación, los usuarios de móviles deben tomar las mismas precauciones que en sus equipos informáticos. Asimismo recomendamos que los usuarios sólo acepten programas que cuenten con firmas digitales, es decir, programas que han pasado la prueba de certificado y que han sido desarrollados por proveedores de software comercial legítimos.

Instalación de software de gestión de procesos Los programas de gestión de procesos permiten a los usuarios avanzados localizar los procesos sospechosos en su teléfono móvil y detenerlos. Windows Mobile no puede ejecutar demasiados procesos debido a limitaciones de hardware. Por este motivo, conviene incluir en un registro todos los procesos en ejecución cuando tenga la certeza de que el móvil no está infectado. A partir de entonces, podrá detectar fácilmente cualquier proceso malintencionado y detenerlo aplicando las medidas que recomienda el software antivirus para móviles.

Cuidado con Wi-Fi y Bluetooth Desactive Wi-Fi y Bluetooth cuando esté en el exterior. Estas funciones se pueden aprovechar fácilmente para enviar virus o código malintencionado. Además, un "rastreador" podría interceptar información confidencial cuando estas funciones están activadas. El lugar más seguro para utilizar estas funciones es su casa o sitios de confianza.

Copias de seguridad frecuentes Las listas de contactos son extremadamente importantes para su empresa y para usted personalmente. Si se pierden o se las roban, las consecuencias pueden ser desastrosas. Es recomendable realizar con frecuencia copias de seguridad de los datos almacenados en los dispositivos móviles. De esta forma, aunque el dispositivo esté infectado, podrá recuperar la configuración predeterminada del teléfono para limpiar el sistema.

Instalación de software antivirus para móviles La mayoría de los principales proveedores de software de seguridad cuentan ya con una versión para móviles de sus soluciones antivirus, y muchas operadoras y fabricantes de móviles incluyen en la actualidad software antivirus de forma predeterminada. Ya es hora de ofrecer a su teléfono inteligente la misma protección que ofrece a su sistema de sobremesa.

No guarde datos de la empresa en su móvil Guarde las fotos o los archivos confidenciales en discos extraíbles. No los guarde en un dispositivo móvil. Los teléfonos móviles y las PDA nunca son seguros. El número de desarrolladores que crean malware para móviles con fines lucrativos es cada vez mayor. Y no hay síntomas de que el peligro vaya a desaparecer.

5

Malware para móviles: Amenazas y prevención

www.mcafee.com

Conclusión Los teléfonos móviles que utilizan el sistema operativo Windows Mobile son prácticos y cada vez más populares. Sin embargo, debido a la gran cantidad de interfaces API, la falta de concienciación de los usuarios en relación a la seguridad y el atractivo poder del incentivo económico, los creadores de malware no cesan en su actividad, en tanto en cuanto la relación riesgo/beneficio les es favorable. La mayoría del malware para móviles hoy día no presenta un riesgo importante para los usuarios, pero esto no significa que debamos bajar la guardia. Por el momento, podemos decir que nos encontramos en los albores de una tendencia, que según nuestro criterio, está llamada a perdurar. Probablemente la situación empeorará, así que es fundamental extremar las precauciones cuando utilicemos nuestros teléfonos móviles.

Zhu Cheng es científico de investigación en McAfee Avert Labs (Beijing). Cuando no está escribiendo código para el producto Network Access Control (NAC) de McAfee o inmerso en la búsqueda de malware para móviles, se dedica a jugar al ping-pong.

McAfee, Inc. 3965 Freedom Circle Santa Clara, CA 95054, USA 888.847.8766 www.mcafee.com

© 2004-2007 McAfee, Inc. Ninguna parte de este documento puede reproducirse sin el permiso expreso y por escrito de McAfee, Inc. La información de este documento se proporciona únicamente con fines educativos y para la conveniencia de los clientes de McAfee. La información contenida en este documento está sujeta a cambios sin previo aviso y se proporciona “tal cual” sin garantía en cuanto a su precisión o aplicación a una situación o circunstancia en particular. McAfee, Avert y Avert Labs son marcas comerciales o marcas comerciales registradas de McAfee, Inc. en EE.UU. u otros países. Todos los demás nombres y marcas son propiedad de terceros.

6