FireEye hizo una
presentación en Black Hat USA – evento de seguridad digital más importante del
mundo – mostrando cómo los hackers utilizan brechas en la información enviada
por las bibliotecas de anuncios de aplicativos para Android para realizar ATPs.
A través de la interceptación de los contenidos, los atacantes pueden obtener
el control completo de un aparato con el sistema operativo, desde el robo de
SMS hasta grabaciones de video por la cámara del dispositivo.
Aunque los malwares son raros en Google Play, el
sistema tiene vulnerabilidades, tales como bibliotecas de anuncios que pueden
tener fugas de información personal del usuario. Explorando las brechas, un
atacante puede interceptar esas informaciones y localizar objetivos precisos
como Presidentes, Directores y Gerentes de una empresa en particular o incluso
celebridades y personas. FireEye denomina a este ataque como “Sidewinder
Targeted Attacks”.
Detalle del probable ataque
Detalle del probable ataque
- El concepto se basa en los misiles Sidewinder que pueden localizar un objetivo y alcanzarlo de manera guiada. Con el mismo comportamiento, el hacker invade una red y espera la señal de la víctima procedente de las bibliotecas de anuncios. Una vez que tiene un objetivo a la vista, el hacker puede iniciar la base del ataque APT.
- Por medio de ataques sofisticados, el atacante puede controlar una serie de funciones del celular como en la siguiente figura que muestra la interfaz de un malware:
- A la izquierda, un panel comanda el dispositivo de la víctima. Las funciones incluyen:
- Carga de archivos.
- Control de la cámara y el micrófono para grabar audio / video.
- Manipulación del portapapeles (que almacena las contraseñas de Android).
- Enviar SMS.
- Realizar conexiones;
- Implementar bootkit (malware activado en la inicialización de Android).
- Instalar aplicaciones.
- El panel derecho muestra la información robada. En este caso, una pantalla, una lista de las aplicaciones instaladas, el portapapeles (donde se puede robar todas las contraseñas tecleadas en el dispositivo), una foto tomada por la cámara principal, una grabación de audio y un video con la ubicación GPS interceptada de una biblioteca de anuncios. Además, el panel también muestra la ubicación exacta de la víctima en Google Maps.
- Basado en todas estas informaciones precisas, un grupo de objetivos VIP puede fácilmente ser identificado.
Recomendaciones
Fuente: Diarioti.com
- FireEye advierte que millones de usuarios de Internet están bajo la amenaza de ataques Sidewinder y recomienda que los editores de las bibliotecas de anuncios mejoren la seguridad a través de certificados y cifrado del tráfico de red. Aún así, de acuerdo con FireEye, los editores también tienen que tener cuidado con qué interfaces privilegiadas están expuestas a los proveedores de publicidad, en el caso de los anuncios maliciosos o atacantes que secuestran los canales de comunicación.
- En cuanto a eso, FireEye recomienda que la propia Google endurezca aún más la estructura de seguridad.
