Frecuentemente los usuarios son culpabilizados de dar permisos innecesarios a aplicaciones maliciosas en Facebook u otras plataformas móviles. Sin embargo, la verdad es que la lista de permisos no proviene necesariamente de un requerimiento malintencionado -especialmente en esta época, en la que el malware está apareciendo a diario y con frecuencia utilizando enfoques nunca antes pensados.
Para probar este punto, un conjunto de investigadores de la City University of Hong Kong y de la Indiana University, han desarrollado un troyano para el sistema operativo móvil Android, que requiere de muy pocos permisos y aparentemente es inofensivo; se utiliza para extraer números de tarjetas de crédito y números PIN de las conversaciones del teléfono, los cuales son enviados vía otro troyano a un servidor remoto.
El primer troyano es llamado Soundminer, el cual realiza un seguimiento de las llamadas telefónicas y tiene la capacidad de identificar cuando un número PIN o de tarjeta de crédito es transportado a través de la conversación. Automáticamente esta parte de la comunicación es reproducida y enviada a un servidor utilizando el troyano Deliverer.
Además, los números no necesitan haber sido pronunciados para ser identificados por Soundminer, se pueden obtener también a partir del teclado numérico. El tono que cada tecla produce al ser presionada es registrado por el micrófono y “traducido”, para posteriormente ser enviado al servidor remoto.
Los investigadores desarrollaron intencionalmente estos dos troyanos para esta prueba de concepto, siendo el objetivo principal hacer indetectable la aplicación tanto para los usuarios como para el software antivirus.
Los permisos necesarios para ejecutar Soundminer y Deliverer no se diferencian de los usados por muchas otras aplicaciones, pero si se combinan, la lista de privilegios podría aumentar la sospecha de los usuarios (y del vendedor). Por lo tanto, Soundminer sólo pide permiso para grabar audio y Deliverer para tener acceso completo a Internet.
La comunicación entre dos aplicaciones maliciosas y la transferencia de los datos se considera de bajo-perfil. Los investigadores también tomaron en cuenta que las opciones de transmisión de la información pueden ser limitadas por Android, por lo que exploraron y cubrieron varios canales para lograrlo.
Demostraron que la alteración de la configuración de la vibración y del sonido, así como los estados de pantalla y otras modificaciones que suelen ejecutar las aplicaciones, se pueden utilizar para el intercambio sigiloso de información entre dos aplicaciones. Este intercambio, la grabación de Soundminer y el envío de Deliverer, no fueron detectados por dos soluciones antivirus como acciones maliciosas, ni las aplicaciones como malware.
“Observamos que a pesar de usar los números de tarjetas de crédito como prueba de concepto, la misma técnica se puede aplicar para obtener otra información valiosa, como los números PIN, números de seguridad social, frases como el nombre de soltera de su madre, entre muchas otras cosas”, escribieron los investigadores.
Fuente: Help Net Security ESC/GC
