Aplicaciones maliciosas y gremlin apps

El pasado 4 de noviembre, la Sociedad de Promoción Económica de Gran Canaria (SPEGC) organizó el “Trans Atlantic Cybersecurity Summit (TACS 2021)”, un encuentro tecnológico en el cual diferentes expertos del sector de la ciberseguridad realizaron una serie de ponencias sobre sus más recientes y destacados proyectos.

Uno de los participantes fue Chema Alonso, referente en el mundo de la informática en general y en la seguridad en particular, que ocupa el cargo de CDO y es miembro del Comité Ejecutivo de Telefónica. Chema habló de aplicaciones maliciosas, de gremlin apps y gremlin botnets.

Gremlin apps, ¿qué son?

En líneas generales, se trata de aplicaciones que funcionan de manera correcta y legítima hasta que se transforman en aplicaciones maliciosas y, entonces, cambian su funcionamiento -en contra del usuario-.Como en la película de los 80, estas aplicaciones, aparentemente inócuas, se transforman tras recibir una condición, como puede ser una actualización de código.

Desde hace unos años se hacen más notorias las campañas de gremlin apps, mediante las cuales los ciberdelincuentes tratan de hacerse con una aplicación destacada en un marketplace (Google Play, por ejemplo) con múltiples usuarios y cierta popularidad, con el fin de volverlas maliciosas e infectar los dispositivos de los usuarios. Siendo uno de los vectores de ataque -como se puede observar en la siguiente imágen- la compra por parte de los ciberdelincuentes de una app ccon muchas descargas y permisos concretos.

Aplicaciones que se vuelven maliciosas.

Es en 2015 cuando comienzan a hacerse más notorias las campañas de gremlin apps. Los cibercriminales tras obtener el contol de una aplicación, lograban desplegar fake apps en los distintos marketplace mediante una actualización de código -que no era tan estricta como ahora-.

En otras palabras, controlaban una aplicación en el marketplace de Google que mediante una actualización de la misma, la convertían en maliciosa. Evidentemente, toda aquella persona que tuviese esa aplicación -vía actualización o vía nueva descarga- una vez convertida en maliciosa, pasaba a tener un malware en su dispositivo.

El club de los poetas muertos

Otro de los vectores de ataque para hacerse con el control de aplicaciones legítimas pasa por recuperar las cuentas de los desarrolladores cuando éstos “mueren”. Cuando una cuenta de correo electrónico deja de usarse durante un tiempo, el gestor de correo la elimina y permite que cualquiera se pueda crear, de nuevo, esa misma cuenta de correo electrónico. En este caso, la cuenta de correo electrónico a replicar sería la usada por el desarrollador para acceder a su cuenta “developer”.

Una vez se tiene el control de la cuenta de correo electrónico del desarrolador, se envía un correo de recuperación a Google, pudiendo acceder, con ello, a la cuenta de desarrolador. Esto es una brecha de seguridad importante, pues el acceso a todas esas aplicaciones puede suponer el acceso de cibercriminales a un gran número de víctimas.

El peligro de los permisos

“Nadie sospecha de una app que tenga un permiso si se puede asociar el uso que pueda dar”. Por ejemplo, la aplicación de un metro te pide permisos para acceder a la cámara y así reportar fotos. Esto suena convincente, pero se debe plantear: ¿es realmente necesario?. Quizás no, y los permisos pueden suponer puntos de acceso para los ciberdelincuentes si éstos se hacen con el control de aplicaciones aparentemente legítimas. Ahora bien, existen otras apps que piden permisos que no están asociados al uso de la aplicación, lo que puede hacer aún más vulnerable nuestro móvil.

Conclusiones

  • Las aplicaciones que se descargan en un sistema pueden hacer todo lo que los permisos permiten, y hay aplicaciones que solicitan permisos fuera de lugar si se compara con la función de la aplicación.
  • Gestionar la seguridad de ejecutivos y empleados de una organización implica gestionar la seguridad del parque de apps que se instalan en los dispositivos.
  • Toda app puede volverse maliciosa por:
    • Un desarrollador la actualiza con código malicioso.
    • La app se vuelve vulnerable.
    • La app se vende o roba, pudiendo entonces ser modificada para que los atacantes tengan una vía de entrada al dispositivo.

 

 

Publicado
noviembre 23, 2021

Autor: Matias Ortega