De acuerdo con Kaspersky Lab, Scripts maliciosos buscan compatibilidad con la versión 4 o anterior del sistema operativo de Google y son capaces de interceptar y enviar mensajes SMS sin el conocimiento del usuario.
Al observar la actividad de varios grupos de ciberdelincuentes, los investigadores de Kaspersky Lab han detectado actividad inusual en un script malicioso, en un sitio web infectado, que está poniendo en riesgo a los usuarios de Android.
El script normalmente activa la descarga de exploits de Flash para atacar a usuarios de Windows. Sin embargo, la compañía advierte que, en algún momento, ha cambiado de manera que puede comprobar el tipo de dispositivo que sus víctimas están utilizando, y busca específicamente la versión 4 o anterior de Android.
El sistema operativo Windows –y muchas de sus aplicaciones generalizadas– contiene vulnerabilidades que permiten que el código malicioso se ejecute sin ningún tipo de interacción con el usuario. Esto no es generalmente el caso con Android, ya que cualquier instalación de aplicación requiere confirmación por parte del propietario del dispositivo en cuestión.
Sin embargo, los investigadores de la compañía rusa advierte que las vulnerabilidades detectadas en Android pueden explotar para eludir esta restricción.
Más en detalle, Kaspersky Lab explica que el script es un conjunto de instrucciones especiales para su ejecución en el navegador, el cual viene incrustado en el código de la página web infectada. El primero de ellos es capaz de enviar un SMS a cualquier número de teléfono móvil, mientras que el otro crea archivos maliciosos en la tarjeta SD del dispositivo atacado, un Troyano que tiene la capacidad de interceptar y enviar mensajes SMS.
Ambos scripts maliciosos son capaces de realizar acciones de forma independiente al usuario de Android: uno sólo tendría que visitar de vez en cuando un sitio web infectado, para verse comprometido.
Esto fue posible porque los ciberdelincuentes han utilizado exploits para muchas vulnerabilidades en las versiones Android 4.1.x y anteriores – CVE-2012-6636, CVE-2013-4710 y CVE-2014-1939 en particular. Las tres vulnerabilidades fueron parchadas por Google entre 2012 y 2014, pero el riesgo de su explotación todavía existe, aseguran desde Kaspersky, ya que, por ejemplo, muchos proveedores de dispositivos están poniendo a disposición las actualizaciones de seguridad necesarias con demasiada lentitud, o directamente no las publican debido a la obsolescencia técnica de un modelo en particular.
«Las técnicas de explotación que hemos encontrado durante nuestra investigación no son nada nuevas sino tomadas de pruebas de concepto, publicadas con anterioridad por los investigadores de sombrero blanco. Esto significa que los proveedores de dispositivos Android deben tener en cuenta el hecho de que la publicación de pruebas de concepto conducirá inevitablemente a la aparición de exploits «armados». Los usuarios de estos dispositivos merecen ser protegidos con las correspondientes actualizaciones de seguridad, incluso cuando los dispositivos ya no se vendan», dijo Víctor Chebyshev, experto en seguridad de Kaspersky Lab.
Consejos
Con el fin de protegerse de ataques de descarga automática (drive-by-download attacks), los expertos de Kaspersky Lab aconsejan lo siguiente:
· Mantenga actualizado el software del dispositivo basado en Android mediante la activación de la función de actualización automática;
· Restrinja la instalación de aplicaciones de fuentes alternativas a Google Play, especialmente si va a administrar una colección de dispositivos utilizados en redes corporativas;
· Utilice una solución de seguridad comprobada. Kaspersky Internet Security for Android y Kaspersky Security for Mobile con Gestión de Dispositivos Móviles son capaces de detectar cambios en la tarjeta SD del dispositivo en tiempo real, y por lo tanto protege a los usuarios contra los drive-by-download attacks descritos anteriormente.
Más información
Securelist.com
