Estas aquí
Internet Móviles Seguridad 

Viejos dispositivos Android en riesgo de descargar y ejecutar malware de forma automática

Alberto Marín Morán ,
Scripts maliciosos buscan compatibilidad con la versión 4 o anterior de Android y son capaces de interceptar y enviar mensajes SMS sin el conocimiento del usuario

Sunrise, FL, 11 de mayo de 2016. Al observar la actividad de varios grupos de ciberdelincuentes, los investigadores de Kaspersky Lab han detectado actividad inusual en un script malicioso, en un sitio web infectado, que está poniendo en riesgo a los usuarios de Android. El script normalmente activa la descarga de exploits de Flash para atacar a usuarios de Windows. Sin embargo, en algún momento ha cambiado de manera que puede comprobar el tipo de dispositivo que sus víctimas están utilizando, y busca específicamente la versión 4 o anterior de Android. Al notar el peligro, los expertos de Kaspersky Lab decidieron investigar más a fondo.

Infectar un dispositivo Android es mucho más difícil para los delincuentes que infectar una PC con Windows. El sistema operativo Windows– y muchas de sus aplicaciones generalizadas– contiene vulnerabilidades que permiten que el código malicioso se ejecute sin ningún tipo de interacción con el usuario. Esto no es generalmente el caso con el sistema operativo Android, ya que cualquier instalación de aplicación requiere confirmación por parte del propietario de un dispositivo Android. Sin embargo, las vulnerabilidades en el sistema operativo se pueden explotar para eludir esta restricción y, de acuerdo con el descubrimiento de nuestros investigadores durante su investigación, esto realmente sucede.

El script es un conjunto de instrucciones especiales para su ejecución en el navegador, el cual viene incrustado en el código de la página web infectada. El primer script fue descubierto mientras estaba buscando dispositivos que funcionaban con las versiones antiguas del sistema operativo Android. Otros dos scripts sospechosos también se detectaron subsecuentemente. El primero de ellos es capaz de enviar un SMS a cualquier número de teléfono móvil, mientras que el otro crea archivos maliciosos en la tarjeta SD del dispositivo atacado. Ese archivo malicioso es un Troyano, y tiene la capacidad de interceptar y enviar mensajes SMS. Ambos scripts maliciosos son capaces de realizar acciones de forma independiente al usuario de Android: uno sólo tendría que visitar de vez en cuando un sitio web infectado, para verse comprometido.

Esto fue posible porque los ciberdelincuentes han utilizado exploits para muchas vulnerabilidades en las versiones Android 4.1.x y anteriores – CVE-2012-6636, CVE-2013-4710 y CVE-2014-1939 en particular. Las tres vulnerabilidades fueron parchadas por Google entre 2012 y 2014, pero el riesgo de su explotación todavía existe. Por ejemplo, debido a las características del ecosistema de Android, muchos proveedores que producen dispositivos basados en Android están poniendo a disposición las actualizaciones de seguridad necesarias con demasiada lentitud. Algunos no publican actualizaciones en absoluto debido a la obsolescencia técnica de un modelo en particular.

«Las técnicas de explotación que hemos encontrado durante nuestra investigación no son nada nuevas sino tomadas de pruebas de concepto, publicadas con anterioridad por los investigadores de sombrero blanco. Esto significa que los proveedores de dispositivos Android deben tener en cuenta el hecho de que la publicación de pruebas de concepto conducirá inevitablemente a la aparición de exploits «armados». Los usuarios de estos dispositivos merecen ser protegidos con las correspondientes actualizaciones de seguridad, incluso cuando los dispositivos ya no se vendan», dijo Víctor Chebyshev, experto en seguridad de Kaspersky Lab.

Con el fin de protegerse de ataques de descarga automática (drive-by-download attacks), los expertos de Kaspersky Lab aconsejan lo siguiente:

  • Mantenga actualizado el software del dispositivo basado en Android mediante la activación de la función de actualización automática;
  • Restrinja la instalación de aplicaciones de fuentes alternativas a Google Play, especialmente si va a administrar una colección de dispositivos utilizados en redes corporativas;
  • Utilice una solución de seguridad comprobada. Kaspersky Internet Security for Android y Kaspersky Security for Mobile con Gestión de Dispositivos Móviles son capaces de detectar cambios en la tarjeta SD del dispositivo en tiempo real, y por lo tanto protege a los usuarios contra los drive-by-download attacks descritos anteriormente.

Lea más sobre drive-by-download attacks contra dispositivos basados en Android en Securelist.com

Acerca de Kaspersky Lab

Fundada en 1997, Kaspersky Lab es una empresa global de ciberseguridad. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras críticas, gobiernos y consumidores de todo el mundo. El portafolio de seguridad integral de la compañía incluye protección líder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran. 

Más información en http://latam.kaspersky.com

Artículos relacionados

Dejar un comentario