Los spyware son códigos maliciosos que tienen por característica principal el robo de información del sistema infectado. Suelen tomar datos confidenciales de los usuarios y enviarlos a un atacante para algún fin delictivo. Por lo general, suelen estar enmascarados bajo alguna técnica de Ingeniería Social, simulando ser alguna aplicación de utilidad. Pero, ¿las aplicaciones populares también suelen enviar información sin que el usuario lo sepa?

Esta pregunta viene a colación a un interesante estudio realizado por el Wall Street Journal, que analizó las características de 101 populares aplicaciones para dispositivos móviles y publicó los (¿escalofriantes?) resultados en una nota titulada Your Apps Are Watching You (“Tus aplicaciones te están espiando”). Como bien indica el artículo fuente en sus primeras lineas, “pocos dispositivos conocen tanto sobre las personas como los dispositivos móviles”, y este dato no es pasado por alto por las empresas desarrolladoras de software que, aparentemente, y según el informe, algunas están cruzando la raya al enviar información sensible desde el dispositivo hacia el fabricante, sin el consentimiento del usuario.

El estudio fue realizado sobre aplicaciones para iPhone y Android, y los números son concluyentes. Por ejemplo, 56 de las 101 aplicaciones envían el ID del dispositivo móvil (también conocido como IMEI) a terceros, en todos los casos sin que el usuario haya aceptado el envío de dicha información. Algunos otros datos interesantes extraídos del artículo:

• Las aplicaciones para iPhone transmitían más información que aquellas para Android.
• Entre las aplicaciones que enviaban más información, aparece TextPlus 4, una popular aplicación para envío de mensajes de texto en iPhone. Esta envía el IMEI a ocho compañías publicitarias con el código de área del teléfono, junto con la edad del usuario y el género a dos de ellas.
• Las versiones para iPhone y Android de Pandora, una popular aplicación de música, envían edad, género, geo localización y número de teléfono a varias redes publicitarias.
• Ambas versiones del juego Paper Toss envían información al menos a cinco compañías. Grindr, una aplicación de iPhone para conocer parejas homosexuales, envía información a tres compañías.

Es posible visualizar un reporte detallado y completo sobre las aplicaciones que se analizaron, y qué tipo de información enviaba cada una de ellas al fabricante, sin el consentimiento del usuario. Muchas de las empresas involucradas declararon en su defensa que “la información no es personal ya que no puede ser asociada a una persona” o certificaron que “siempre se pide permiso al usuario“, aunque el estudio diga lo contrario. Algunas otras prefirieron el silencio. Ninguna de las respuestas es muy alentadora. Quien mejor resumió la historia fue Michael Backer, de la Mobile Marketing Association, quien declaró:

En el mundo móvil, no hay anonimato.

En resumen, el informe pone en evidencia cómo muchas empresas de software están realizando acciones sin el consentimiento del usuario, muy similares a las realizadas por malware convencional, como es el caso del spyware.

Pero es el caso aún, cuando varias de estas aplicaciones están legitimadas en los sitios web de los fabricantes de los sistemas operativos, aumentando la gravedad del caso, ya que este hecho aumenta la confianza del usuario sobre las mismas.

Entonces, ¿está legitimado el spyware en los dispositivos móviles? Como bien indica el informe, en muchos casos no son solo aplicaciones meramente maliciosas, diseñadas con estos fines, sino muchas veces populares programas están “robando” información del usuario de forma oculta.

Muchas de estas aplicaciones están legitimadas por los propios usuarios, por las empresas que las fabrican o por la misma industria, y por lo tanto la linea entre si son o no códigos maliciosos es demasiado fina, incluso muchas de ellas entrarían en la categoría de Grayware. Informes como este certifican que, más allá de la educación del usuario y de la existencia de herramientas de detección de malware para dispositivos móviles, como ESET Mobile Security, es necesaria e indispensable la decisión de las empresas desarrolladores de software para no crear aplicaciones que extraigan información del usuario de forma innecesaria, rozando la delgada linea entre una aplicación legítima y el spyware. Sin lugar a dudas, el único perjudicado es el usuario.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Malware
5 Comments »

Las plataformas móviles han crecido a un ritmo increíble durante el este último tiempo y continuarán creciendo, es por ello que los desarrolladores de códigos maliciosos van poco a poco pisando más fuerte en estas plataformas. En esta ocasión compartimos con ustedes el análisis de un código malicioso cuya función es el envío de mensajes de texto sin el conocimiento del usuario.

El archivo en cuestión es un .jar, con lo cuál es posible ejecutarlo en equipos móviles que utilizan Symbian, el sistema operativo para dispositivos móviles más utilizados de la actualidad. La aplicación se enmascara en un programa para editar fotografías pero sin saberlo realiza el envió de mensajes de texto.

En primer instancia, para analizar cómo funciona, este código malicioso fue instalado en un emulador, y en él se pudo ver el comportamiento con cierto nivel de detalle en detalle. Sus funcionalidades eran básicas, al iniciarlo se observa un visor de la cámara y una vez se ha realizado una captura se puede seleccionar alguno de los cuatro botones: A,B,C, y D

Ante la ejecución de cualquier de las opciones (y también la primera vez que se ejecuta el programa), este solicita por permisos para el envío de mensajes de texto. Ahora, ¿por qué un programa de fotos solicita estos permisos? La respuesta es sencilla, para enviar mensajes de texto sin el consentimiento del usuario a determinados números de teléfonos con el fin de que el desarrollador del código malicioso obtenga algún beneficio económico.

Como se mencionaba anteriormente, al momento de ejecutar por primera vez la aplicación solicita autorización para el envío de SMS, y este es el punto en el cual el usuario debería desconfiar de la aplicación:

Si en este momento el usuario elije darle permisos a la aplicación para enviar un mensajes al número que solicita, se está exponiendo al envío de mensajes a un número desconocido que le puede significar un costo. Esta amenaza es detectada con el nombre J2ME/TrojanSMS.Jifake.AT por ESET Mobile Security, la solución de seguridad con protección antivirus para dispositivos móviles.

Está claro que el mismo programa es quien debería de llamar la atención del usuario al solicitar estos permisos ya que lo hace de una manera directa, pero a veces la falta de educación del usuario ante las amenazas existentes lo expone más de lo necesario y es por ello que incluso en plataformas móviles es recomendable contar con una solución antivirus. Esto, en conjunto con una concientización por parte del usuario acerca del uso seguro de dispositivos móviles minimiza el riesgo de comprometer el equipo. En un siguiente post le mostraremos más en detalle cómo es que se encuentra compuesto el código de esta aplicación y genera los mensajes de texto.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware
No Comments »