Intel Security ha presentado su último informe de amenazas, McAfee Labs Threats Report: June 2016 que, entre otras cosas, explica la dinámica de intercomunicación entre aplicaciones móviles, en la que los delincuentes manipulan dos o más aplicaciones para orquestar ataques a los propietarios de los smartphones.
McAfee Labs ha observado este tipo de comportamientos en más de 5.056 versiones de 21 aplicaciones diseñadas para proporcionar servicios como transmisión de vídeo, control del estado de salud y planificación de viajes.
El hecho de que los usuarios no estuvieran ejecutando periódicamente actualizaciones de software esenciales en estas 21 aplicaciones móviles alimentó la posibilidad de que las versiones anteriores de las mismas pudieran ser utilizadas para actividades maliciosas.
Estas aplicaciones móviles llevan a cabo una actividad nociva de manera conjunta, mediante el aprovechamiento de las capacidades de comunicación entre aplicaciones comunes a los sistemas operativos móviles.
Estos sistemas operativos incorporan muchas técnicas para aislar aplicaciones en sandboxes, a la vez que restringen sus capacidades y controlan a un nivel bastante detallado de qué permisos gozan. Aun así, las plataformas móviles también permiten a las aplicaciones comunicarse entre sí, a través de entornos aislados. Mientras trabajan juntas, estas aplicaciones, que se conectan de forma ilegal, pueden aprovechar estas capacidades de comunicación para propósitos de fines dudosos.
McAfee Labs ha identificado tres tipos de amenazas a las que pueden dar lugar estas comunicaciones entre aplicaciones móviles:
– Amenazas a la información: Una aplicación con acceso a información sensible o confidencial colabora voluntaria o involuntariamente con otra o más aplicaciones para enviar información fuera del dispositivo en el que se encuentra.
– Amenazas financieras: Una aplicación envía información a otra aplicación que puede ejecutar transacciones financieras o hacer llamadas financieras API para lograr objetivos similares.
– Mal uso del servicio: Una aplicación controla un servicio del sistema y recibe información u órdenes desde una o más aplicaciones diferentes para planificar u orquestar una variedad de actividades maliciosas.
Para que esta “intercomunicación” entre aplicaciones móviles tenga lugar, es necesario que al menos una de las aplicaciones que intervienen en el proceso cuente con el permiso para acceder a la información o servicios restringidos, que una aplicación sin este permiso cuente con acceso al exterior del dispositivo y que tengan la capacidad de comunicarse entre ellas. Cualquier aplicación podría estar colaborando a propósito o involuntariamente debido a una fuga accidental de datos o a la inclusión de una “malicious library” o de un kit de desarrollo de software malicioso.
“Cuando se mejora la detección también se invierten mayores esfuerzos en la mejora de las técnicas de engaño”, ha afirmado Vincent Weafer, vicepresidente McAfee Labs group de Intel Security.“Nuestro objetivo es hacer que resulte cada vez más difícil para las aplicaciones maliciosas el hacerse un hueco en nuestros dispositivos personales, a través del desarrollo de herramientas más inteligentes y técnicas de detección de aplicaciones móviles que hacen uso de este tipo de conexiones” añade Weafer.
El informe de McAfee Labs analiza las mejoras en la investigación para crear herramientas, que inicialmente se utilizaban de forma manual pero que con el paso del tiempo han pasado a estar automatizadas para detectar la conexión ilegítima entre aplicaciones móviles. Una vez identificadas, estas aplicaciones conectadas ilegalmente y con propósitos “maliciosos” pueden ser bloqueadas mediante tecnología de seguridad móvil. El informe ofrece una gran variedad de sugerencias para que los usuarios puedan minimizar los efectos de estas conexiones ilegítimas entre aplicaciones móviles.
El informe de este trimestre también se centra en el regreso del troyano W32 / Pinkslipbot, también conocido como Qakbot, Qbot, Qbot. Este troyano irrumpió en escena en 2007 y pronto se ganó la reputación malware dañino capaz de robar datos bancarios, contraseñas de correo electrónico y certificados digitales con potencial para causar un alto impacto.
El malware Pinkslipbot resurgió a finales de 2015, con características mejoradas, como el anti-análisis y las capacidades de encriptación multi-capa que han frustrado los esfuerzos de los investigadores de malware ya que disecciona e invierte sus técnicas de ingeniería. El informe ofrece también detalles acerca de la auto-actualización que el troyano es capaz de llevar a cabo así como del mecanismo de exfiltración de datos, y el esfuerzo de McAfee Labs para monitorizar infecciones de Pinkslipbot y del robo de credenciales en tiempo real.