El robo de SMS es común en el malware para Android

Android sigue estando, por desgracia, a la cabeza de la lista negra de los sistemas operativos móviles con más problemas de seguridad. Es el precio que hay que pagar por ser el más popular, y podría ser plausible que, a pesar de las incomodidades que esto genera, en Google se lo estuviesen tomando hasta con cierto orgullo.

Pero no estamos aquí para hablar de eso. La noticia es que un gran número de aplicaciones Android de terceros han sido pilladas in fraganti haciendo copias de mensajes de texto recibidos y enviados en terminales infectados y enviando toda esta información al servidor de los atacantes. Y, como siempre, esto parece afectar sobre todo a los usuarios chinos —y a los usuarios occidentales que usen apps de alguna empresa china, ahora explicamos por qué—.

En Occidente muchos devs compilan sus creaciones ya sea usando Android Studio o Android SDK, las herramientas oficiales de Google en resumidas cuentas. En China, como suponemos que ya sabéis, las cosas se hacen de forma ligeramente diferente. En lugar de los sistemas de desarrollo de Google los chinos se decantan por una solución conocida como Taomike SDK que ayuda a los desarrolladores a conseguir ingresos mostrando anuncios en sus aplicaciones.

También te puede interesar: Cómo los hackers chinos empezaron a hacerse ricos con Android

El SDK de Android es una de las herramientas mayoritarias del desarrollo de appsEl SDK de Android es una de las herramientas mayoritarias del desarrollo de apps / Stuart Chalmers editada con licencia CC 2.0

Actualmente más de 63.000 apps usan este SDK, y de esas hay al menos 18.000 infectadas con código malicioso que convierten el software en una herramienta para espiar a los usuarios. Eso es lo que, según recogen en The Hacker News, han descubierto en la firma Palo Alto, dedicada a investigar todo tipo de asuntos relacionados con la seguridad informática.

Lo que Taomike SDK puede hacer

Taomike provee un servicio de desarrollo de software o SDK a los programadores Android, que incluye, entre otras, las siguientes características:

  • Mostrar publicidad a los usuarios.
  • Ofrecer compras en aplicaciones.
  • Robo de mensajes SMS por parte de apps.
El tiempo pasa y Android sigue teniendo problemas de seguridadEl tiempo pasa y Android sigue teniendo problemas de seguridad / closari editada con licencia CC 2.0

Si bien según los investigadores de Palo Alto no todas las aplicaciones utilizan esta librería que roba mensajes SMS, han ofrecido los siguientes detalles sobre las apps que sí lo hacen:

  • Las muestras que se han recogido contienen la url hxxp://112.126.69.51/2c.php, que es a donde van a parar los mensajes que se roban.
  • El software que envía mensajes y la dirección IP a la que lo hace pertenecen al servidor de API de Taomike, usado por otros servicios de la empresa y que redigiren a la dirección IP de arriba.
  • Más de 63.000 aplicaciones incluyen las librerías de Taomike, pero sólo 18.000 usan la función de robo de SMS, como ya se comentó anteriormente.
  • Algunas de las aplicaciones infectadas incluían o mostraban contenidos para adultos.

Esas 63.000 aplicaciones se subieron a Wildfire, el servidor en la nube de Palo Alto Networks que se integra con su propio cortafuegos, y que se usa para detectar malware.

El malware de Taomike llega camuflado en el código de las appsEl malware de Taomike llega camuflado en el código de las apps / Christiaan Colen editada con licencia CC 2.0

No está muy claro cómo usa Taomike los SMS robados, aunque ninguna librería debería poder copiar mensajes SMS, y mucho menos enviarlos a un sistema exterior al dispositivo. En Android 4.4 Google empezó a incorporar código que evitaba que las aplicaciones capturasen mensajes SMS, a no ser que estuviesen definidas como software por defecto para esta tarea.

¿Cómo funciona el robo de SMS de Taomike?

Para realizar el ataque Taomike se sirve de una librería llamada zdtpay, un componente del sistema IAP del SDK. Esta librería requiere permisos relacionados con los SMS y la red mientras descarga una aplicación, y también registra un nombre de receptor —com.zdtpay.Rf2b— para las rutinas SMS_RECEIVED y BOOT_COMPLETED.

El receptor Rf2b lee los mensajes tan pronto llegan al teléfono, y después recoge el cuerpo del mensaje, así como el remitente. También, si el dispositivo se reinicia, entonces el servicio MySd2e se inicia para registrar un receptor para el servicio Rf2b.

El malware puede acceder a la información más personal del usuarioEl malware puede acceder a la información más personal del usuario / Johan Larsson editada con licencia CC 2.0

La información de los SMS recogida por el receptor se almacena en un hashmap con la clave “other“, y después se envía a un método que sube el mensaje a la IP 112.126.69.51. Los investigadores aseguran que la librería está consiguiendo y enviando todos los mensajes SMS de forma opaca al usuario, no sólo aquellos que son relevantes para la plataforma de Taomike.

Los usuarios que no están en riesgo de ser infectados por este malware son aquellos que no están en China y aquellos que sólo descargan aplicaciones de la Google Play Store.

Esta amenaza se ha descubierto con la última actualización de la librería, y los investigadores de Palo Alto han comentado que este comportamiento de envío y subida de SMS no está presente en versiones anteriores del SDK.

Relacionados

Otros relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?