A medida que los teléfonos inteligentes se hagan aún más inteligentes, los códigos maliciosos se acabarán sintiendo más como en casa.
Según señalan los expertos en la materia, a medida que los teléfonos móviles se hacen más potentes la amenaza de serios ataques contra este tipo de dispositivos se ve incrementada. Esta semana, un grupo de cibercriminales prácticamente logró probar esta afirmación—aprovechándose de una debilidad en los iPhones modificados para propagar un gusano programado para robar datos bancarios. Algunos expertos afirman que el gusano podría ser un signo de que los criminales cada vez son más capaces de asaltar los dispositivos móviles.
El pasado sábado, varios investigadores de distintas firmas de seguridad informaron que el nuevo gusano, conocido como “Ikee.B” o “Duh,” se propaga utilizando la palabra clave por defecto de una aplicación que se puede instalar en las versiones modificadas del iPhone. Una vez que el dispositivo ha sido vulnerado, el gusano toma mensajes de texto, y busca los códigos de autorizaciones bancarias utilizados por al menos un banco, antes de enviar los códigos a un servidor central. A principios de este mes fue distribuido otro gusano para el iPhone. Se aprovechaba de la misma debilidad en la palabra clave para propagarse a si mismo, aunque no trataba de robar información personal.
“El ataque bancario es algo nuevo dentro de los dispositivos móviles,” afirma Chet Wisniewski, asesor de seguridad senior de la compañía de antivirus Sophos. “Va a través del teléfono, recoge todos los mensajes de texto y los envía a un servidor en Lituania.”
Puesto que el ataque sólo afecta al pequeño número de iPhones que han sido “liberados”—modificados para que ejecuten software no aprobado—el gusano probablemente sólo sea una molestia para una pequeña cantidad de gente. Sin embargo algunos investigadores afirman que el gusano confirma que los ataques contra los usuarios de móviles están evolucionando, y que los cibercriminales tienen como objetivo la información personal y financiera almacenada en los dispositivos portátiles. La capacidad para comunicarse con un servidor central de comando y control—una característica que normalmente se asocia con los PCs secuestrados—también hace que este tipo de software sea más peligroso.
Este pasado verano, durante la conferencia Black Hat Security Briefings en Las Vegas, Charlie Miller, asesor de Independent Security Evaluators, hizo una demostración de una forma de ataque remoto a los iPhones utilizando el protocolo de los mensajes cortos (SMS). Miller afirma que es sólo cuestión de tiempo antes de que los cibercriminales encuentren el modo de infectar los teléfonos que no han sido liberados, lo que incrementaría ampliamente la escala potencial de la infección. “Saldrá un gusano más grave para el iPhone o para cualquier otro dispositivo móvil,” señala Miller. “Ocurrirá con el Android [de Google], con el iPhone y con todos los demás. Al tiempo que aumenta el número de criminales dedicados a la investigación de las plataformas móviles, estos dispositivos van a acabar siendo atacados.”
Se puede hacer un análisis de la evolución del gusano Ikee.B o Duh y llegar hasta la época de los primeros ataques a los dispositivos móviles. En el año 2000, Timofonica, un virus relativamente simple que se propagó entre ordenadores de sobremesa y servidores, también logró enviar spam a los teléfonos móviles de España mediante mensajes de texto. En 2004 surgió Cabir, el primer gusano exclusivo para teléfonos móviles. Cabir tenía la habilidad de saltar automáticamente entre los dispositivos de la marca Nokia.
En 2006, un grupo de investigadores de la Universidad de Toronto y Microsoft confirmaron que incluso las conexiones de Bluetooth entre teléfonos, de corto rango y corta duración, podían utilizarse en teoría para propagar un gusano inalámbrico. “Comenzar un brote de gusanos mediante el uso de Bluetooth es relativamente sencillo una vez que se encuentra una vulnerabilidad. El atacante puede llevar un dispositivo infectado a un típico centro comercial urbano y descubrir a una gran cantidad de víctimas potenciales,” escribieron los investigadores en un estudio relacionado.
El iPhone y otros smartphones resultan un objetivo más atractivo para los hackers porque se parecen a PCs en miniatura. Estos dispositivos están siempre conectados a internet, ejecutan aplicaciones de terceros, y almacenan información de valor potencial para los cibercriminales.
Normalmente, no obstante, no es fácil atacar al iPhone. El nuevo gusano emplea una debilidad encontrada en una aplicación llamada OpenSSH, que se puede utilizar para conectarse con el teléfono de forma remota. Esta aplicación utiliza la palabra clave por defecto “alpine,” y el gusano utilizó dicha clave por defecto para serpentear entre un dispositivo y otro.
“Esto es algo trivial—no existe código shell, no hay sobrecarga del buffer, nada,” afirma Miller. “Me llevó dos semanas escribir el código para lo de los SMS, pero podría haber escrito Ikee.B en cinco minutos.”
Los ataques dirigidos al iPhone durante el último mes también se han enfocado en los dispositivos liberados. El proceso de modificación para liberar un teléfono elimina el código que evita que los usuarios carguen las aplicaciones que deseen, aunque también elimina gran parte de la seguridad encargada de ejecutar código malicioso en el dispositivo. “El iPhone tiene muchas capas de defensa, pero cuando lo liberas estás rompiendo todas y cada una de esas capas,” afirma Miller.
La evolución de este tipo de ataques continuará en el futuro, señala Miller, aunque la cosecha actual de código atacante contra el iPhone aún tiene mucho camino por delante. El nuevo gusano apenas esconde su actividad, por ejemplo. Y al enviar los datos a través de las redes inalámbricas, así como con sus agresivos intentos por infectar a otros teléfonos, el gusano acaba gastando la batería del teléfono infectado rápidamente.
“Dado que el teléfono está intentando conectarse todo el rato, los usuarios que resulten infectados con este virus se van a dar cuenta rápidamente,” afirma Wisniewski desde Sophos.