MALWARES POTENCIALES

En los últimos días ha sido noticia la detección de un “potencial
malware” en la App Store. Se supone que esto quiere decir que un juego
legítimo podría ser un malware o tener un comportamiento malicioso en
un momento dado. Esta definición, aunque extraña, esconde una serie
de hechos interesantes.

En resumen, la situación era la siguiente. Un juego llamado “Simply
Find It”, muy reputado en la AppStore, fue detectado por el antivirus
BitDefender para iOS como Trojan.JS.iframe.BKD. Otros antivirus para
iOS, no sospechaban de ella. Se continuó explorando la aplicación y
se encontró que el fichero de audio Payload/SpotDiffHD.app/day.mp3
contenía la referencia

iframe src=http://x.asom.cn

en su interior. Por lo que en realidad, la aplicación solo contenía un
enlace a una URL históricamente conocida por repartir malware intentando
infectar a los navegadores que la visitaban. La URL se encuentra
desactivada desde hace tiempo y además se le conoce por alojar malware
para Windows. ¿Qué hacía ahí esa URL, en una aplicación para iOS
reputada y reconocida que, además, no hacía daño real al teléfono?

Preguntar a Apple, como de costumbre, no servía de mucho. Su
oscurantismo en los métodos de “filtrado” en la AppStore es absoluto, y
ni ellos ni el responsable del juego arrojaron luz en el asunto. Solo se
podía especular sobre que el archivo mp3 sí que estaba o había estado
infectado de alguna forma, pero no había sido analizado por Apple por no
considerarse “ejecutable”.

Especulaciones y conclusiones

Poco más se puede decir sobre esta “anécdota”. El juego no representa
amenaza alguna para los usuarios de iOS, y aunque se activase de nuevo
la URL, puede que nunca lo sea. Pero hay más especulaciones y
conclusiones que se pueden sacar.

La primera puede estar relacionada una vez más con los motores antivirus
y sus detecciones. La voz de alarma la lanza un antivirus “demasiado”
sensible. Esto es el mayor enemigo de los motores y en la que se juegan
su reputación. Una tasa aceptable de falsos positivos es difícil de
establecer, pero lo cierto es que los antivirus prefieren “dejar pasar”
a que “deje de funcionar”, o sea, una tasa de falsos positivos lo más
baja posible, aun a costa de que se cuele malware. Pero, ¿se trata este
caso concreto de un falso positivo? En realidad es posible que el
fichero mp3 se encontrara alojado en un momento dado en un Windows
infectado y se le incrustaran metadatos de alguna URL maliciosa. Una
situación muy parecida se dio en 2008 con los plugins de Firefox (a un
fichero HTML de una extensión se le añadió JavaScript malicioso durante
el tiempo que se alojó en un Windows). Bitdefender avisó de que, al
menos, algo raro había pasado, lo que puede ser correcto, pero desde
luego para un usuario no técnico, la alerta no queda clara y puede
provocar más confusión que beneficio. Esta lucha entre la simplificación
para el usuario, la detección eficaz, y mantener a raya los falsos
positivos, es el pan de cada día para la mayoría de casas antivirus…
y dudamos de que ninguna haya encontrado la solución deseada aún.

Otra conclusión es la que venimos advirtiendo desde hace muchos años,
por ejemplo, en esta una-al-día de 2008: “Hoy goodware, mañana no sé”.
En un modelo interconectado, el concepto de malware es difícil de
definir, no en sus acciones (que pueden estar más o menos claras) sino
en el tiempo. No es que se haya encontrado un “potencial malware” en la
AppStore, es que cualquier aplicación cuya lógica se traslade al
servidor puede cambiar su comportamiento en el sistema y ser goodware
hoy, pero no sabemos cómo ni qué hará mañana. “La nube”, la lógica en
remoto, llegó al malware antes que a los titulares de los blogs. Con
esto los creadores consiguen despistar a los analistas. Solo se activan
ante eventos concretos, y desplazan el payload a una dirección URL o
secuencias de comandos que esperan a través de cualquier protocolo. El
archivo en sí puede ser de lo más inocente, excepto cuando recibe un
estímulo adecuado. Si a esto unimos que para ahorrar recursos, tanto los
laboratorios o motores en local no suelen analizar dos veces una muestra
a menos que su hash, ubicación, etc. haya cambiado, tenemos que un
malware puede pasar desapercibido mucho tiempo si tiene la paciencia
necesaria… y precisamente paciencia y tiempo es de lo que disponen los
creadores de malware profesional y dirigido (conocidos como APT) tipo
FinFisher y otros que aún desconocemos. Si aguardas pacientemente a
enviar los estímulos adecuados a tu muestra, puede que quede olvidada y
catalogada como “inocente” durante un largo periodo.

En resumen, el malware “potencial” sí que existe, y en él caben
infinidad de definiciones. En el caso concreto del juego para iOS,
parece que ni siquiera podría llegar a ser técnicamente una amenaza, por
lo que no resulta precisamente paradigmático para definir el gran
problema, real, que sufren las casas hoy en día para catalogar el
malware. Pero sí es un “aviso” perfecto de cómo, en un futuro, es más
que probable que alguien consiga eludir el filtro del AppStore
distribuyendo una aplicación inocente… pero solo “en principio”.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.