Dispositivos Android obsoletos, en riesgo de ejecutar malware de forma automática

Dispositivos Android obsoletos, en riesgo de ejecutar malware de forma automática

Dispositivos Android obsoletos, en riesgo de ejecutar malware de forma automática - kaspersky-lab_android-1

Al observar la actividad de varios grupos de ciberdelincuentes, los investigadores de Kaspersky Lab han detectado actividad inusual en un script malicioso, en un sitio web infectado, que está poniendo en riesgo a los usuarios de Android. El script normalmente activa la descarga de exploits de Flash para atacar a usuarios de Windows. Sin embargo, en algún momento ha cambiado, de manera que puede comprobar el tipo de dispositivo que sus víctimas están utilizando, y busca específicamente la versión 4 o anterior de Android. Al notar el peligro, los expertos de Kaspersky Lab decidieron investigar más a fondo.

Infectar un dispositivo Android es mucho más difícil para los delincuentes que infectar una PC con Windows. El sistema operativo Windows, y muchas de sus aplicaciones generalizadas, contiene vulnerabilidades que permiten que el código malicioso se ejecute sin ningún tipo de interacción con el usuario. Esto no es generalmente el caso con el sistema operativo Android, ya que cualquier instalación de aplicación requiere confirmación por parte del propietario del dispositivo. Sin embargo, las vulnerabilidades en el sistema operativo se pueden explotar para eludir esta restricción y, de acuerdo con el descubrimiento de nuestros investigadores durante su trabajo indagatorio, esto realmente sucede.

El script es un conjunto de instrucciones especiales para su ejecución en el navegador, el cual viene incrustado en el código de la página web infectada. El primer script fue descubierto mientras estaba buscando dispositivos que funcionaban con las versiones antiguas del sistema operativo Android. Otros dos scripts sospechosos también se detectaron subsecuentemente. El primero de ellos es capaz de enviar un SMS a cualquier número de teléfono móvil, mientras que el otro crea archivos maliciosos en la tarjeta SD del dispositivo atacado. Ese archivo malicioso es un Troyano, y tiene la capacidad de interceptar y enviar mensajes SMS. Ambos scripts maliciosos son capaces de realizar acciones de forma independiente al usuario de Android.

Esto fue posible porque los ciberdelincuentes han utilizado exploits para muchas vulnerabilidades en las versiones Android 4.1.x y anteriores –CVE-2012-6636, CVE-2013-4710 y CVE-2014-1939 en particular-. Las tres vulnerabilidades fueron parchadas por Google entre 2012 y 2014, pero el riesgo de su explotación todavía existe. Por ejemplo, debido a las características del ecosistema de Android, muchos proveedores que producen dispositivos basados en Android están poniendo a disposición las actualizaciones de seguridad necesarias con demasiada lentitud. Algunos no publican actualizaciones en absoluto debido a la obsolescencia técnica de un modelo en particular.

“Las técnicas de explotación que hemos encontrado durante nuestra investigación no son nada nuevas, sino tomadas de pruebas de concepto, publicadas con anterioridad por los investigadores de sombrero blanco. Esto significa que los proveedores de dispositivos Android deben tener en cuenta el hecho de que la publicación de pruebas de concepto conducirá inevitablemente a la aparición de exploits ‘armados’. Los usuarios de estos dispositivos merecen ser protegidos con las actualizaciones correspondientes de seguridad, incluso cuando los dispositivos ya no se vendan”, opinó Víctor Chebyshev, Experto en Seguridad de Kaspersky Lab.

Con el fin de protegerte de ataques de descarga automática (drive-by-download attacks), los expertos de Kaspersky Lab aconsejan lo siguiente:

  • Mantén actualizado el software del dispositivo basado en Android mediante la activación de la función de actualización automática
  • Restringe la instalación de aplicaciones de fuentes alternativas a Google Play, especialmente si vas a administrar una colección de dispositivos utilizados en redes corporativas
  • Utiliza una solución de seguridad comprobada. Kaspersky Internet Security for Android y Kaspersky Security for Mobile con Gestión de Dispositivos Móviles son capaces de detectar cambios en la tarjeta SD del dispositivo en tiempo real, y por lo tanto protege a los usuarios contra los drive-by-download attacks descritos anteriormente.

Lee más sobre drive-by-download attacks contra dispositivos basados en Android en Securelist.com.