Este nuevo ataque podría hacer imposible identificar malware en Android

Ataque de malware en Android

Un equipo de investigadores de Oxford y Cambridge ha sido el último en unirse a un coro de voces que ha hecho sonar la alarma en un nuevo ataque llamado Intra-Library Collusion (ILC). Este ataque podría hacer que la identificación del malware en Android sea mucho más difícil en el futuro próximo. Esto podría provocar un enorme problema para los usuarios de este sistema operativo para móviles y tabletas. Podrían ver la imposibilidad de identificar malware que ataque a sus dispositivos.

Dificultad para detectar malware en Android

El equipo de investigación ha descrito este ataque de la ILC en un documento de investigación publicado el mes pasado. Lo titularon “Intra-Library Collusion: Una pesadilla potencial de privacidad en los teléfonos inteligentes”.

Un ataque de ILC se basa en la amenaza utilizando las bibliotecas para entregar el código malicioso. Esto en lugar de aplicaciones independientes de Android llenas de todos estos comandos maliciosos.

Las aplicaciones suelen requerir permisos para todas las operaciones que necesitan realizar. Un ataque ILC se basa en la difusión de las acciones maliciosas en varias aplicaciones que utilizan la misma biblioteca.

Cada aplicación obtiene diferentes permisos y el código malicioso empaquetado en una aplicación puede utilizar código compartido de otras aplicaciones, con privilegios más altos, para realizar operaciones maliciosas.

Alerta de malware en Android

Ventaja para los atacantes

La ventaja (para los autores de malware) es que los investigadores que analizan los dispositivos comprometidos verían la amplitud de las actividades maliciosas, pero excluirían ciertas aplicaciones como fuente de la infección porque no poseen todos los permisos necesarios para ejecutar el ataque.

Para su investigación, los expertos analizaron 15.052 de las aplicaciones Android más populares instaladas en 30.444 dispositivos.

Los resultados mostraron que actualmente las bibliotecas más populares distribuidas entre las diferentes aplicaciones son publicidad y analíticas relacionadas, como son los SDK ofrecidos por Facebook (11,9%), Google (9,8%), Flurry (6,3%) y otros.

Los investigadores sostienen que las compañías de publicidad y analítica sin escrúpulos podrían explotar los SDK que proporcionaron a los desarrolladores de aplicaciones para recopilar datos de los dispositivos de los usuarios mediante ataques ILC.

Del mismo modo, un atacante podría entregar una aplicación malintencionada que pide poco o ningún permiso. Ésta aprovecha Google, Facebook y otros SDK instalados en aplicaciones legítimas para llevar a cabo un comportamiento similar al spyware mediante la recolección de datos de ubicación, información de llamadas, acceso al micrófono, o el almacenamiento del dispositivo para espiar a los usuarios y recuperar archivos.

El vector de ataque ILC (también conocido como Mobile App Collusion) no es algo nuevo. Otros investigadores han analizado el tema en el pasado, y algunos han advertido que también ocurre en iOS.

Empresas de publicidad y analítica

En la actualidad, el peligro inmediato proviene de las empresas de publicidad y analítica. Pero no es difícil imaginar que los vendedores de software espía y vigilancia implementen ILC en el futuro próximo.

Además, debido a que las operaciones malintencionadas se distribuyen entre distintas aplicaciones, Google no puede detectar aplicaciones compatibles con ILC cuando se suben a Play Store. Por ello tendrá que renovar sus controles de seguridad para detectar futuras amenazas. Ahora mismo, la única forma de detectar ataques ILC es mediante una revisión manual del código.

Ver información original al respecto en Fuente