La cruda realidad del Market de Android

Últimamente el ‘mercado’ del malware para dispositivos móviles está al alza, ha pasado de discretas pruebas de concepto a sofisticadas piezas capaces de hacer rotos considerables.

Existe una creencia muy extendida sobre la confiabilidad del market de Android, me he encontrado con mucha gente que tiene su móvil sobre-saturado de aplicaciones de diversa índole y ante mi pregunta: ¿Pero no te da miedo instalar tantas cosas? La respuesta suele ser: Tranquilo, me lo he bajado del Market -sic-

Pero, ¿Es el market ese lugar confiable y seguro donde las aplicaciones están probadas? Para responder esta pregunta hemos hecho un experimento empírico que despeje toda duda.

Introduciendo una aplicación malware en el market

El primer paso consiste en darse de alta en el Market, con una cuenta Google es suficiente, después de eso, tan solo hay que pagar un canon de unos 20 euros para poder subir aplicaciones. Completado ese paso ya tienes la posibilidad de hacer upload de aplicaciones.

El siguiente paso es construir una aplicación malware, para ello he contado con el gran Luis Delgado(colaborador habitual del blog) que ha programado dos aplicaciones: Quote IT y Quote IT-Slim

Quote It es una de esas típicas aplicaciones en apariencia inocentes que ofrece la posibilidad de obtener ‘frases divertidas’ y mostrarlas al usuario, muy al estilo de las aplicaciones tipo ‘Galleta de la fortuna’. La aplicación es 100% funcional solo que, además de hacer eso hace ‘mas cosas’.

Quote It necesita para funcionar conexión a Internet ya que necesita ‘bajarse las frases’ para ello emplea una petición http GET hacia un servidor bajo nuestro control. Además, mientras realiza su función legítima, también es capaz de extraer los contactos de la agenda del teléfono, cifrarlos (empleando el algoritmo 3DES), y en la misma petición hacia el servidor, introducir la información como una aparentemente inocente cookie de sesión, de forma que en cada conexión, un dato privado viaja hacia el servidor. En aras de no causar daños reales, la aplicación auto-censura la información (cambia datos por asteriscos *) cuando la envía hacia fuera [El objetivo del estudio no es causar daños a terceros]

El permiso de acceso a la agenda telefónica se justifica ante el usuario por la capacidad ‘social’ de la aplicación de compartir las frases con otros usuarios vía correo electrónico.

Quote It-Slim tiene la misma funcionalidad pública pero diferente payload de malware, en este caso lo que hace es troyanizar el sistema y abrir el puerto 8080 del teléfono móvil desde el cual, usando un cliente especial, se pueden introducir comandos en el sistema, acceder a ficheros o cambiar configuraciones de forma remota.

Y ahora la pregunta del millón: ¿Hemos podido subir y publicar dichas aplicaciones? La respuesta es: SI, nadie nos ha puesto problema alguno, las aplicaciones se subieron al market y estuvieron disponibles por varios días.

Una vez terminado el estudio retiramos ambas aplicaciones del Market.


Quote It

Quote It Slim

Lo divertido del asunto es que dichas aplicaciones, sin promoción alguna, en tan solo 3 días fueron descargadas por decenas de personas, incluso en varios casos hasta nos reportaron fallos que ¡nos ayudaron a solucionar bugs!

Y esta es la cruda realidad del Market de Android.

Fuente: SecurityByDefault

 

 

 

Share

This entry was posted in aprendizaje, concienciar, ing. social, moviles, robo, seguridad, tools. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.