La evolución que está teniendo el malware orientado a dispositivos móviles está siendo vertiginosa en los últimos meses. La penetración en el mercado de los smartphones de una gran cantidad de nuevos dispositivos cada vez con mayores prestaciones ha hecho que los ciberdelincuentes estén dedicando mayores esfuerzos en atacar este tipo de dispositivos. En este mismo blog hemos comentado durante las últimas semanas varias amenazas orientadas a teléfonos móviles y no deberíamos sorprendernos si 2011 nos trae múltiples alertas de seguridad en estos dispositivos.
El mercado de dispositivos móviles es algo que evoluciona rápidamente y si, hace apenas un par de años, Symbian era la plataforma dominante, en la actualidad Android ha tomado el relevo, seguido por otros sistemas operativos como iOS. Pero todos estos sistemas usados en teléfonos móviles no son tan diferentes de los que usamos en nuestros sistemas de escritorío. Así pues, Android está basado en Linux, iOS se basa en Mac OS y Windows Mobile toma como base a Windows. Es por ello que resulta factible para los ciberdelincuentes adaptar amenazas ya existentes en sistemas operativos de sobremesa para aprovechar las peculiaridades de los dispositivos móviles.
El caso que hoy nos ocupa es una prueba de concepto mostrada en la convención de seguridad Shmoocon, celebrada durante la semana pasada en Washington. En dicha charla, el investigador Georgia Weidman nos explica como controlar una botnet de dispositivos móviles con sistema Android usando mensajes SMS de forma transparente al usuario. Hasta ahora habíamos visto algún ejemplo de malware que agregaba funcionalidades de Botnet como Geinimi, pero siempre que se estuviese usando una conexión de datos. El uso de SMS tiene una serie de beneficios como son la dificultad de detectarlos por las soluciones de seguridad (al no existir un tráfico continuo de datos), la tolerancia a los fallos (si el envío de un SMS falla se volverá a intentar enviar) y el ahorro de la batería del móvil infectado (al no consumir tanto por no estar conectado a la red de datos) lo que permite tenerlo bajo control durante más tiempo.
La arquitectura de una botnet de este tipo es similar a las que estamos acostumbrados a ver en equipos de sobremesa pero con la incorporación de los llamados centinelas. En el nivel superior tenemos al botmaster, que controla la red de dispositivos móviles infectados. El botmaster puede cambiar con frecuencia de terminal y usa tarjetas prepago para evitar ser detectado fácilmente mientras envía las ordenes a los dispositivos centinela. Este segundo nivel dentro de la botnet se compone de dispositivos que llevan tiempo infectados y transmiten las instrucciones recibidas desde el dispositivo que controla la red al resto de dispositivos infectados que se encuentran en el escalón más bajo de la botnet. Por último, los dispositivos zombies se limitan a recibir las ordenes que les transmiten los centinelas (nunca contactan directamente con el botmaster) y ejecutan ataques, DDoS, envían spam o realizan cualquier otra operación que se les ordene.
Como vemos, una estructura botnet típica pero aplicada a terminales móviles y con algunas limitaciones. Una de ellas es inherente de los mensajes SMS y es que las instrucciones proporcionadas no pueden sobrepasar los 160 caracteres. Asimismo, el envío de SMS desde los terminales centinela se realiza de forma transparente pero se facturan como lo haría un SMS normal, por lo que, revisando la factura telefónica puede descubrirse un uso fraudulento de nuestro móvil.
Obviamente, para poder infectar nuestro terminal móvil primero se ha de poder acceder a él y ejecutar código malicioso, pero viendo las vulnerabilidades que existen actualmente y las que se descubren continuamente en la mayoría de dispositivos móviles, no creemos que eso sea mucho impedimento para los ciberdelincuentes.
Las amenazas para móviles siguen progresando a pasos agigantados y ya están al mismo nivel que las presentes en sistemas de escritorio. Es solo cuestión de tiempo que nuestros teléfonos móviles vean como las amenazas para ellos se multiplican por lo que, desde el laboratorio de ESET en Ontinet.com, aconsejamos proteger aquellos dispositivos que dispongan de soluciones de seguridad con una de ellas y evitar instalar aplicaciones de dudosa procedencia.
Josep Albors