Casi a tono con el estreno en Argentina de IT Capítulo 2 y con el lanzamiento de su Security Bulletin mensual, parece que el sistema operativo de Alpahbet alias Google está pasando por una semana de terror. Veamos porqué.

1 - NUEVA VULNERABILIDAD ZERO DAY

El bug causante de esta vulnerabilidad se encuentra localizado en el código del driver 'v4l2' (Video 4 Linux 2), uno de cuyos componentes no valida la existencia y tipo de un objeto antes de realizar cualquier operación sobre el mismo. Esta falla puede ser explotada por el atacante mediante acceso físico o mediante ingenieria social para obtener elevación de privilegios a 'kernel mode' y hacerse con el control del núcleo del sistema operativo de nuestro dispositivo Android.

Si bien se le ha asignado una calficación CVSS de 7.8, cuando Google fue contactado por primera vez respecto a este tipo de vulnerabilidad (en Marzo de 2019) no se dieron tiempos estimativos de parcheo para la misma y a pesar de que se ha lanzado el Android Security Bulletin para el mes de Septiembre (el cual soluciona 2 vulnerabilidades críticas que permitirían ejecución de código remoto), esta vulnerabilidad específica aún no cuenta con un parche de software y las medidas de mitigación de riesgo sólo pueden ser aplicadas a nivel corporativo con un NGFW (Next Generation Firewall), EDR o web proxy que posea políticas/reglas para control de aplicaciones de Android y su tráfico de red.

2 - PROLIFERACIÓN DE BRATA

BRATA, o BRazilian RAT Android, es una familia de herramientas de acceso remoto para Android (RAT, por sus siglas en inglés) que ha ido creciendo desde su primera aparición en Enero 2019.

- ¿Y qué hace BRATA de malicioso?- se preguntarán ustedes.
En esencia, BRATA es un keylogger muy avanzado que recolecta y retransmite información sensible en tiempo real y apunta, más concretamente, hacia la información bancaria. De acuerdo con los investigadores de Kaspersky Labs, BRATA no sólo puede hurtar el número de tu cuenta. Puede hurtar archivos, nombres de usuarios, contraseñas, tokens de 2FA, hasta espiar tus SMS y llamadas.

- ¿Y cómo logra BRATA infectar nuestro dispositivo?
BRATA puede instalarse en los dispositvos Android 5.0 (Lollipop) o superiores de las siguientes formas:

  • enmascarandose como una actualización legítima de la aplicación de mensajería instantánea 'WhatsApp' en el store de Google Play o en otras tiendas de aplicaciones
  • utilizando notificaciones push de sitios web comprometidos
  • mensajes spam via SMS o WhatsApp
  • enlaces patrocinados en búsquedas de Google
  • ingeniería social

3 - MALWARES 'JOKER' Y 'FUNKYBOT'

Estos nuevos malwares son una combinación de troyano y spyware, en el caso de 'Joker' sido descargado por más de 450.000 usuarios incautos como si fueran apps de Google Play legítimas (24 de ellas ya bloqueadas para ser exactos), y no han podido ser detectados por ninguna app de seguridad móvil.

'Joker' se instala en el dispositivo como una app legítima de Google Play, pero ejecuta varios procesos en segundo plano. Entre estos procesos, están la descarga de código dinámico y comandos sobre HTTP, las llamadas de retorno de JavaScript a Java y la ejecución un archivo DEX el cual contiene código malicioso para el sistema operativo. Estos procesos hacen que el malware sea más díficil de detectar mediante herramientas convencionales para análisis de código estático. De concretarse la infección, el malware podrá espiar tus SMS y tus llamadas telefónicas y por si no fuera poco, al cabo de unos días, el mismo malware termina suscribiendote a servicios premium que luego reclaman el correspondiente pago.

'FunkyBot' tiene un comportamiento muy similar pero más sofisticado y selectivo, ya que descarga 2 archivos DEX (uno que impersona la app legítima y el otro que contiene el código malicioso), el packer del DEX infectado elige el payload específico para la versión de Android sobre la que se está ejecutando, obtiene las direcciones de descarga de una cuenta de Instagram sin fotos, tiene un mecanismo de persistencia en el SO, luego de realizar el fingerprinting del dispositivo reemplaza a la aplicación SMS original del fabricante y utilizando el método 'runCode' de Java apunta especificamente a SMS y códigos de segundo factor de autenticación (2FA).

Si bien Google Play remueve frecuentemente las apps ilegítimas de su tienda, estas aún pueden ser descargadas de otras tiendas de aplicaciones o pueden llegar en la forma de un archivo legítimo por lo que la única forma de prevenir la infección es prestando atención, siendo cautelosos con las aplicaciones que instalamos en nuestro dispositivo Android y revisando los permisos/privilegios que le damos a todas nuestras aplicaciones.

Si querés sabes más sobre cómo mantener tu dispositivo seguro, estate atentx a nuestros canales, que en breve estaremos publicando más material práctico al respecto.