Sin titubear, las soluciones de seguridad son un enorme aliado en la lucha contra el cibercrimen. Conforme la cantidad de malware móvil aumenta, las soluciones móviles juegan un papel cada vez más esencial en la protección de nuestros móviles inteligentes y ya va quedando claro por qué razón son precisas.
Mientras que corre la voz sobre las amenazas que pueden tomar control de estos teléfonos inteligentes, muchos se apuran a instalar aplicaciones de seguridad… o bien, por lo menos, aplicaciones que afirman serlo.
Como lobo con piel de oveja
Muchas aplicaciones falsas procuran mentir usuarios haciéndose pasar por soluciones de ESET y otras compañías de seguridad. El hecho de ocultarse como herramientas de protección brinda a los ciberdelincuentes ciertas ventajas, una de las que es ampararse bajo una figura de confianza, de tal modo que el usuario no vacilará en entregar a la aplicación permisos de administrador del terminal.
Este permiso es requerido por las aplicaciones auténticas de seguridad para instalar y desinstalar otras aplicaciones, administrar claves de acceso, restaurar el sistema a un estado de factoría, forzar la aplicación de políticas de seguridad móvil y mudar demás configuraciones relacionadas con la protección de los datos.
A cargo de un atacante, este permiso es generalmente empleado para bloquear la pantalla del equipo y también impedir que el usuario desinstale la aplicación maliciosa, sirviendo para la creación de ransomware móvil. Para contrarrestar esto, las modificaciones de seguridad de Android setenta Nougat redujeron las atribuciones de este permiso; sin embargo, solo el 0,7 por ciento de los dispositivos en el planeta usa el día de hoy esa versión.
Un claro ejemplo de lo precedente es Android/Locker.B: una variación de ransomware que simula ser la versión móvil de una famosa solución de seguridad. Tras ser instalada, empieza una supuesta comprobación del equipo y después solicita permisos de administrador, donde podemos estimar ciertos rastros de la falsedad de la aplicación:
Al conseguir el permiso, una alarma señalará al usuario que mientras que se efectuaba el escaneo de ficheros se ha encontrado material ilegal en su equipo y que, por lo tanto, ha sido bloqueado por Europol hasta el momento en que se realice el pago de la multa pertinente.
Claro que, como ocurre siempre y cuando descompilamos este género de aplicaciones, damos con un fácil algoritmo encargado de simular la detección de infecciones. Ciertos falsos AV van un paso más allí y tienen un lista de falsas firmas de malware para resultar más creíbles.
Algo que podemos preguntarnos es cuántas otras soluciones han sido creadas con este certificado de desarrollador. Para esto vamos a conseguir el hash del certificado a través de keytool.
Cuando conseguimos los datos del certificado, procedemos a buscar coincidencias en Koodous y nos damos con una larga lista de ficheros APK, básicamente variaciones de estos 3 bultos, todos detectados como malware.
