Siguiendo con las interesantes conferencias que se dieron la semana pasada en el marco de la RSA Conference, una de las charlas que más ha dado que hablar ha sido la que ofreció el ingeniero de Android Adrian Ludwig al respecto de la situación del malware (o Aplicaciones Potencialmente Peligrosas como él prefería llamarlas) en Android.
Diversos términos para una misma definición
Resulta curioso que este ingeniero decidiera usar este término para referirse a las (elija su término preferido) amenazas, malware, código malicioso, virus, etc., que pueblan el ecosistema Android. Independientemente del término usado, no dejan de ser aplicaciones que realizan actividades no deseadas en nuestro sistema y que pueden ocasionarnos problemas en mayor o menor medida.
Comentaba también Adrian que prefería no usar la palabra malware por sus connotaciones y que preferían llamarlas Aplicaciones Potencialmente Peligrosas o referirse a ellas por cualquiera de las alrededor de 20 subcategorías en las que clasifican los códigos maliciosos. Esta catalogación está muy bien, pero no debería utilizarse para tratar de minimizar una amenaza bien real y que afecta a más usuarios de los que Google comentó en su presentación.
Haciendo números
En esa charla se ofrecieron datos de un estudio realizado por Google en el que, según sus cifras, se demostraba que “era más probable ser alcanzado por un rayo que infectar un dispositivo Android”. Siguiendo esa lógica, en nuestros laboratorios deberíamos tener trabajando al mismísimo Thor, dios del trueno (y hacker en sus ratos libres) puesto que analizamos varias muestras de malware, perdón, Aplicaciones Potencialmente Peligrosas para Android, al día.
Lo que está claro es que Google trata de lavar un poco la imagen de inseguridad de su sistema operativo, líder en dispositivos móviles, y eso es algo perfectamente comprensible. Tampoco vamos a entrar a discutir la exactitud de las cifras presentadas en el estudio o si estas muestran una aproximación real extrapolable a todos los usuarios de Android en cualquier lugar del planeta. De eso ya se ha encargado nuestro compañero y amigo Sergio de los Santos en su excelente post publicado en el blog de Eleven Paths.
Firmas de virus vs. dominios maliciosos
Uno de los aspectos más interesantes comentados por Sergio en su post es la metodología usada por Google para calcular el número de sistemas infectados respecto a una muestra de varios millones. Google parte de la base de que cada sistema Android infectado realiza comunicaciones con centros de mando y control ubicados en dominios controlados por los delincuentes y que Google tiene en una lista negra. Esto no se cumple siempre y es posible encontrar malware que funcione de forma autónoma sin enviar datos a ningún centro de mando, de la misma forma que es perfectamente posible que el dominido malicioso no esté contemplado en la lista negra manejada por Google.
Esta aproximación es válida, pero resulta incompleta para afrontar todas las variedades de malware presentes actualmente en sistemas Android. Además, se debería revisar dónde se tomaron las muestras, puesto que existe mucha diferencia entre la cantidad y el tipo de malware analizado dependiendo de la zona geográfica en la que nos encontremos. No son lo mismo las infecciones que encontramos en países asiáticos (propagadas por tiendas no oficiales y con muchos casos de troyanos que envían SMS Premium) que en Europa (con cada vez más casos de ransomware que secuestran nuestro dispositivo).
Por otra parte, las soluciones antivirus existentes para el sistema Android no solo confían en las bases de firmas que se lanzan periódicamente para detectar nuevas amenazas. Al igual que en sus versiones para sistemas de escritorio, existe una heurística que es capaz de detectar nuevas amenazas basándose en patrones de comportamiento y análisis de código. Obviamente, con la situación actual nunca se podrá obtener el 100 % de detección de amenazas pero sí contar con un buen nivel de protección.
Conclusiones
Está claro que Google barre para casa y este estudio intenta demostrar que la inseguridad de su plataforma Android no es tal. Por desgracia para cientos de millones de usuarios en todo el mundo, existen amenazas reales que infectan miles de dispositivos cada día. Tampoco sirve de nada presentar nuevas capas de seguridad en un sistema como Android que evoluciona constantemente si una buena parte de sus usuarios no van a poder actualizar su versión.
Este problema de actualización es, en realidad, uno de los mayores motivos por los cuales el malware orientado a Android supone más del 90 % del detectado para todas las plataformas móviles. Con millones de usuarios vulnerables y sin posibilidad de solucionar los agujeros de seguridad de sus dispositivos móviles, son un blanco perfecto para los cibercriminales.
Por desgracia, no está solo en manos de Google (quien continuamente realiza esfuerzos para mejorar Android) solucionar este problema, sino que las operadoras y los usuarios también deben poner su granito de arena. Y esto empieza por admitir las vulnerabilidades y tratar de mitigarlas.