Al observar la actividad de varios grupos de ciberdelincuentes, los investigadores de la empresa de seguridad Kaspersky Lab detectaron actividad inusual en un script malicioso, en un sitio web infectado, que está poniendo en riesgo a los usuarios de Android.
El script normalmente activa la descarga de exploits de Flash para atacar a usuarios de Windows. Sin embargo, en algún momento ha cambiado de manera que puede comprobar el tipo de dispositivo que sus víctimas están utilizando, y busca específicamente la versión 4 o anterior de Android. Al notar el peligro, los expertos decidieron investigar más a fondo.
Infectar un dispositivo Android es mucho más difícil para los delincuentes que infectar una PC con Windows. El sistema operativo Windows– y muchas de sus aplicaciones generalizadas– contiene vulnerabilidades que permiten que el código malicioso se ejecute sin ningún tipo de interacción con el usuario.
Esto no es generalmente el caso con el sistema operativo Android, ya que cualquier instalación de aplicación requiere confirmación por parte del propietario de un dispositivo Android. Sin embargo, las vulnerabilidades en el sistema operativo se pueden explotar para eludir esta restricción y, de acuerdo con el descubrimiento de los investigadores durante su investigación, esto realmente sucede.
El script es un conjunto de instrucciones especiales para su ejecución en el navegador, el cual viene incrustado en el código de la página web infectada.
El primer script fue descubierto mientras estaba buscando dispositivos que funcionaban con las versiones antiguas del sistema operativo Android. Otros dos scripts sospechosos también se detectaron subsecuentemente.
El primero de ellos es capaz de enviar un SMS a cualquier número de teléfono móvil, mientras que el otro crea archivos maliciosos en la tarjeta SD del dispositivo atacado. Ese archivo malicioso es un Troyano, y tiene la capacidad de interceptar y enviar mensajes SMS. Ambos scripts maliciosos son capaces de realizar acciones de forma independiente al usuario de Android: uno sólo tendría que visitar de vez en cuando un sitio web infectado, para verse comprometido.
Esto fue posible porque los ciberdelincuentes han utilizado exploits para muchas vulnerabilidades en las versiones Android 4.1.x y anteriores – CVE-2012-6636, CVE-2013-4710 y CVE-2014-1939 en particular. Las tres vulnerabilidades fueron parchadas por Google entre 2012 y 2014, pero el riesgo de su explotación todavía existe.
Por ejemplo, debido a las características del ecosistema de Android, muchos proveedores que producen dispositivos basados en Android están poniendo a disposición las actualizaciones de seguridad necesarias con demasiada lentitud. Algunos no publican actualizaciones en absoluto debido a la obsolescencia técnica de un modelo en particular.
“Las técnicas de explotación que hemos encontrado durante nuestra investigación no son nada nuevas sino tomadas de pruebas de concepto, publicadas con anterioridad por los investigadores de sombrero blanco. Esto significa que los proveedores de dispositivos Android deben tener en cuenta el hecho de que la publicación de pruebas de concepto conducirá inevitablemente a la aparición de exploits “armados”. Los usuarios de estos dispositivos merecen ser protegidos con las correspondientes actualizaciones de seguridad, incluso cuando los dispositivos ya no se vendan”, dijo Víctor Chebyshev, experto en seguridad de Kaspersky Lab.
Con el fin de protegerse de ataques de descarga automática (drive-by-download attacks), los expertos de Kaspersky Lab aconsejan lo siguiente:
- Mantén actualizado el software del dispositivo basado en Android mediante la activación de la función de actualización automática;
- Restringe la instalación de aplicaciones de fuentes alternativas a Google Play, especialmente si va a administrar una colección de dispositivos utilizados en redes corporativas;
- Utiliza una solución de seguridad comprobada.
