Por: Raphael Sanches C. Paciulli
Introdução
O sistema operacional com a maior abrangência entre os fabricantes de smartphones é sem dúvida o Android da gigante de buscas Google. De acordo com estudos de grandes centros de pesquisas, com mais de 70% do mercado de smatphones o Android ganhou a atenção de muitos hackers dispostos a migrar seus esforços para o mundo mobile com o objetivo de roubar informações ou mesmo de aproveitar essa rede para realizar ataques através da internet.
O número de malwares (software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações) tem crescido exponencialmente a cada ano. Segundo o relatório da Symantec “2014 Internet Security Threat Report, Volume 19”, houve um aumento de 62% no número de ameaças em 2013.
Mas para muitos usuários, a grande dificuldade neste caso é identificar se o seu smartphone está infectado por algum tipo de vírus, ou pior, se ele faz parte de uma botnet.
A final, o que é uma botnet?
Botnet é um conjunto de computadores ligados à internet controlado por um vírus que possibilita ao atacante executar funções no hospedeiro remotamente.
A botnet é difundida através de bot, um aplicativo capaz de se comunicar com os invasores que o construíram. Este tipo de perigo é um dos menos conhecidos pelos usuários, e justamente por esse motivo ele merece destaque.
Da mesma forma que acontece com o Worm, o bot pode ser um programa independente, agindo e se propagando através do seu computador. Desta forma ele cria suas redes e espalha conteúdo perigoso através dela.
Qual seu objetivo
Na maioria dos casos as botnets são criadas com o objetivo de obter reconhecimento por parte da comunidade hacker ou mesmo o ganho financeiro com a venda ou mesmo a locação da botnet para disseminação de spams ou para utilização de ataques de negação de serviço (DOS – Denied of Service).
Tratando-se de uma botnet em smartphones, um dos principais objetivos é a difusão de spams via SMS e o controle do aparelho para obter informações como lista de contatos, e-mails e dados armazenados, além é claro de poder executar ações sem que o usuário perceba, como a compra de aplicativos e realizar ligações sem que o usuário perceba.
Sistemas operacionais mais atacados
O sistema operacional Android do Google estabeleceu-se como o alvo favorito dos hackers, pela facilidade de infectar aplicativos que estão disponíveis na loja oficial do Google (Android Market) pela deficiência no controle de qualidade dos aplicativos publicados. Outro ponto que reforça a escolha dessa plataforma é a facilidade com que os usuários desse sistema operacional conseguem efetuar downloads de qualquer loja, pois o Android possui uma função que possibilita que o usuário realize downloads de aplicativos de fontes desconhecidas.
De acordo com estatísticas da Symantec, há um enorme crescimento no volume de famílias de malwares: entre Junho de 2012 e Junho de 2013 o número de famílias de malwares conhecidos aumentou em 69%, passando de 121 para 204. Ainda, o número de amostras de malware disponíveis na Internet quadruplicou, passando de 32.000 para cerca de 273.000 no mesmo período. Em geral, no ano de 2013 tivemos um salto significativo no número de novos ataques contra smartphones.
Como os smartphones são infectados
Conforme dito anteriormente, os malwares são obtidos através de aplicações infectadas ou mesmo através de um link recebido via SMS que supostamente seria para download de um aplicativo (na sua maioria jogos), mas que na verdade instala apenas o código malicioso.
O grande número de lojas não oficiais tem contribuído muito para a disseminação dos malwares. Na China, foi descoberta uma rede com mais de 100.000 aparelhos infectados pelo trojan Trojan!MMarketPay.A@Android que foi difundido dentro da rede da Operadora China Mobile uma das maiores operadoras do mundo, e detentora da loja Mobile Market. De acordo com a TrustGo, outras lojas foram utilizadas para a difusão deste trojan tais como nDuoa, GFan, AppChina, LIQU, ANFONE, Soft.3g.cn, TalkPhone, 159.com e AZ4SD.
Porém recentemente na conferência BlackHat realizada em junho deste ano, foi mostrado pelos especialistas da Bluebox Security que o modelo de verificação das medidas de criptografia adotadas pelas aplicações Android permite que um invasor modifique os pacotes de aplicações (APK) sem quebrar as assinaturas de criptografia das mesmas.
Quando uma aplicação é instalada, ela cria uma “zona isolada” chamada sandbox, e o Android regista a assinatura digital dessa aplicação, explica o diretor da BlueBox, Jeff Forristal. Todas as atualizações posteriores devem coincidir com essa assinatura para verificar que são do mesmo autor, continua o especialista.
Este é um evento significativo para o modelo de segurança do Android, porque garante que os dados sensíveis armazenados por uma aplicação, numa área isolada, só possam ser acessados por uma nova versão da aplicação assinada com a chave do autor original. A vulnerabilidade, que existe desde pelo menos a versão 1.6 do Android, chamada de Donut, permite adicionar o código nocivo infectando os pacotes, sem quebrar as medidas de segurança. Desta forma dependendo do tipo de aplicação, o hacker pode explorar essa falha para a criação de uma botnet.
Trojans mais difundidos através da botnet
De acordo com os analistas, o malware detectado como "Backdoor.AndroidOS.Obad.a"é, provavelmente o Trojan mais sofisticado de todos os tempos direcionado para a plataforma Android. Ele pode enviar mensagens SMS para números de telefone, baixar e instalar outros tipos de malware no dispositivo infectado e/ou enviar as infecções via Bluetooth, bem como executar comandos remotos a partir do aparelho.
Em três meses foram descobertas 12 variações deste malware, e todos tinham o mesmo conjunto de funções e um alto nível de ofuscação de código, e cada uma delas utilizava uma vulnerabilidade no Android para dar direitos de administrador no dispositivo para o malware, que torna muito mais difícil a eliminação dessa ameaça. Após a divulgação desta ameaça o Google corrigiu o problema na versão 4.3 do Android, mas as versões anteriores ainda possuem essa vulnerabilidade.
Fonte: http://www.securelist.com/en/blog/8131/Obad_a_Trojan_now_being_distributed_via_mobile_botnets
O outro programa malicioso que infecta dispositivos móveis Android é a aplicação “Free Calls Update”, uma mistura de falso antivírus e ransomware (malwares que cobram resgate pelos dados roubados). O aplicativo depois de executado tenta obter os privilégios de administrador do dispositivo para modificar as configurações e assim ligar/desligar o Wi-Fi e o 3G. O aplicativo é um antivírus falso que finge analisar programas maliciosos e detectar supostas pragas existentes no dispositivo, incentivando a vítima a comprar uma licença para a versão completa, como em PCs.
Ao navegar, o aplicativo exibe uma janela pop-up que consegue assustar o usuário e avisa que um programa malicioso tenta roubar conteúdo pornográfico do celular, este aviso é repetitivo e bloqueia completamente o dispositivo.
Em termos de capacidades e flexibilidade, a tendência dos programas maliciosos para dispositivos móveis convergem com programas maliciosos no mundo do PC. As amostras modernas abusam de tecnologia de ofuscação para evitar as medidas de segurança, e muitas vezes carregam vários módulos que tornam a infecção mais persistente e que extraem informações adicionais ou fazem o download e instalação de malware adicional.
Como evitar a infecção no aparelho.
Para evitar que o aparelho seja infectado por algum desses malwares, o mais recomendado é sempre estar com a versão do smartphone atualizada, e não realizar nenhuma alteração de firmware que não esteja de acordo com a versão oficial do fabricante, pois muitas das versões de firmware existentes podem estar infectadas com algum tipo de malware que possa prejudicar o uso do smartphone, além de o fabricante não fornecer garantia nesses casos.
Atualmente os fabricantes de antivírus para PC tem desenvolvido soluções de antivírus para Android com o objetivo de evitar a disseminação destes malwares e auxiliar os usuários menos avançados no processo de instalação de aplicativos verificando se existe algum código malicioso embutido na aplicação.
Conclusão
Como pôde ser observado, existem algumas falhas graves na implementação de segurança do Android que ainda estão por ser corrigidas pelo Google em todas as versões do seu sistema operacional, mas isso também não impede o seu uso, pois a disseminação dos malwares está ligada principalmente ao uso incorreto do smartphone (download de aplicações em lojas não oficiais e alteração da firmware).
Desta forma, utilize sempre a versão atualizada do Android de acordo com o fabricante do seu smartphone e sempre faça o download de aplicativos de lojas oficiais e que tenham uma boa reputação por parte dos usuários no que tange à sua funcionalidade.
Fonte: zdnet, anonymousbrasil, viruslist, IDG Now!, TrustGo.
Raphael Sanches Cavalheiro Paciulli – Consultor em Segurança da Informação pela EZ-Security. Profissional com 7 anos de experiência na área de Infraestrutura de TI e Segurança da Informação. Formado em Tecnologia da Informação pela FASP e pós-graduado em Segurança da Informação pelo ITA.