Investigadores
demuestran (otra vez) que Google Bouncer, el sistema automatizado para detectar
aplicaciones maliciosas o malware antes de que llegue a la tienda de
aplicaciones de Google, puede eludirse de una forma sencilla. Esta aproximación
es diferente a la ya conocida publicada en junio.
Google Bouncer es un sistema de
escaneo automático de aplicaciones, que fue lanzado en febrero de 2012. Simula
la ejecución de las aplicaciones en un dispositivo Android con el objetivo de
detectar malware y evitar que sea publicado en Google Play.
Unos meses después de su
lanzamiento, en junio, Jon Oberheide y Charlie Miller descubrieron que Bounce
utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían
de un bloque de IPs específico. Los investigadores crearon y enviaron falsas aplicaciones
a Google Play que se dedicaron a registrar los procesos del sistema y lanzar
una conexión reversa a sus propios servidores. Así demostraron varios puntos débiles,
que pueden ser aprovechados fácilmente por los desarrolladores de código
malicioso, implementando aplicaciones que se comporten como legítimas cuando
detecten ese entorno virtual específico.
En este contexto, los
investigadores de la empresa de seguridad Trustwave han explicado en la
conferencia de seguridad Black Hat en Las Vegas que es posible eludir el
sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas
Percoco y Sean Schulte han desarrollado SMS Bloxor, una aplicación para
bloquear los mensajes de texto procedentes de determinados números de
teléfono... pero que además roba datos personales tales como fotos, mensajes de
texto, contactos, registros de llamadas, e incluso puede realizar ataques de denegación
de servicio.
Para conseguirlo, no activaban el
comportamiento malicioso de la aplicación cada vez que detectaba que estaba
siendo analizada por Bouncer. Pero además, han ideado un puente JavaScript, una
solución legítima que permite a los desarrolladores añadir nuevas características
de forma remota a aplicaciones que ya han sido aceptadas. Así, logran evitar
volver a pasar por el proceso de aprobación de nuevo, aunque la aplicación se
haya actualizado.
Percoco y Schulte pudieron
publicar en Google Play siete versiones de su aplicación durante dos semanas,
cada cual con más funcionalidades maliciosas, antes de que Bouncer la detectara
como malware. SMS Bloxor fue retirado de la tienda después de que subieran una
versión que enviaba continuamente todos los datos de un dispositivo a los creadores
de la aplicación. Para evitar que los usuarios de descargaran la aplicación
durante el periodo que se prolongó el experimento, SMS Block se puso a un
precio prohibitivo de casi 50 dólares.
Google ha sido informado de los
resultados de esta investigación para que pueda realizar cambios y mejorar la
seguridad de Google Play.
Más información:
SMS Bloxor
Google Approves an App that Steals All Your
Data
Researchers beat Google's Bouncer
Logran eludir el sistema Google
Bouncer para Android Market
Juan José Ruiz
No hay comentarios:
Publicar un comentario