En VMX Labs, aprender que 60 aplicaciones móviles son portadoras del mismo malware para Android no es necesariamente más impactante que otros ataques de malware potencialmente de gran alcance que afectan a dispositivos móviles. Sin embargo, es una oportunidad para ilustrar a nuestros lectores por qué el código real (o fuente de código) necesita una atención significativa durante el proceso de desarrollo de aplicaciones.
Después de todo, el reciente malware Goldoson, según informa Bleeping Computer, parece haber extendido sus tentáculos a través de los más de 100 millones de descargas asociadas a esas 60 aplicaciones móviles infectadas. Sólo dos de las aplicaciones más grandes implicadas fueron L.POINT con L.PAY y Money Manager Expense & Budget (ambas con más de 10 millones de descargas). Bleeping computer informa de que el componente malicioso Goldoson forma parte de una biblioteca de terceros que todas las aplicaciones utilizaban. Y así, comienza la producción masiva de dolores de cabeza para muchos desarrolladores.
Este tipo de ataques a la cadena de suministro, en los que los atacantes inyectan su código en bibliotecas gratuitas de código abierto (o en bibliotecas de fuentes no fiables), pueden ser difíciles de evitar para los desarrolladores de aplicaciones, ya que aunque sólo utilicen FOSS revisado por pares, las inyecciones de código malicioso en estas bibliotecas pueden seguir ocurriendo. Como este malware no despliega su actividad hasta que se despliega la aplicación, los escáneres de seguridad, incluso las revisiones de seguridad, y también los de las tiendas de aplicaciones no detectan estos ataques. Para tener alguna apariencia de tranquilidad, los desarrolladores de aplicaciones necesitan tener la capacidad de supervisar continuamente su aplicación en el campo, identificar este tipo de problemas cuando despliegan su actividad, y remediar la amenaza lo antes posible. Las librerías de terceros afectadas son a menudo una parte crucial de la anatomía de una aplicación, así como su postura de ciberseguridad, para tener esta capa adicional de control.
Al parecer, Goldoson, descubierto por McAfee, recopila datos sobre las aplicaciones, los dispositivos Wi-Fi y Bluetooth y la ubicación del dispositivo, al tiempo que hace clic en anuncios de forma fraudulenta y silenciosa en segundo plano. Una vez que el usuario inicia una aplicación que ha utilizado la biblioteca infectada, Goldoson se pone manos a la obra y le indica qué datos robar y en qué anuncios hacer clic. Las aplicaciones implicadas a las que el usuario ha dado muchos permisos son las que más datos roban.
La mayoría de los consumidores no se dan cuenta de que las tiendas de aplicaciones como Google Play no son responsables de proteger las aplicaciones individuales que no han sido creadas por Google. Esa no es su función. Prueba de ello es la política habitual de Google, que se limita a eliminar las aplicaciones que no cumplen sus políticas debido a problemas conocidos. De este modo, la responsabilidad de la seguridad de las aplicaciones móviles recae exclusivamente en el desarrollador de las mismas. Irónicamente, el tema de los frecuentes problemas de seguridad asociados con cualquier cosa de "terceros", especialmente para aplicaciones móviles, continúa no sólo con la necesidad de remediar la infección relacionada con la biblioteca de terceros, sino también con el hecho de que las tiendas de aplicaciones Android de terceros podrían seguir albergando la misma biblioteca maliciosa.
Para ilustrar aún más la amenaza significativa que puede causar la anatomía no supervisada o no verificada de una aplicación móvil, estos tipos de ataques están impulsando la presión de la industria por una cadena de suministro de software que no sólo priorice el conocimiento en torno a los antecedentes de toda su anatomía (también conocida como componentes), sino también la capacidad de determinar cuándo algo está mal con la actividad de una aplicación y necesita ser remediado porque algo se pasó por alto en la revisión inicial de la cadena de suministro de software. Esto puede afectar tanto al código fuente abierto como al código propietario, como se indica en este artículo de TechTarget de TechTarget.
Comentario
Goldoson y el lado oscuro de las bibliotecas de aplicaciones móviles de terceros
Índice
En VMX Labs, aprender que 60 aplicaciones móviles son portadoras del mismo malware para Android no es necesariamente más impactante que otros ataques de malware potencialmente de gran alcance que afectan a dispositivos móviles. Sin embargo, es una oportunidad para ilustrar a nuestros lectores por qué el código real (o fuente de código) necesita una atención significativa durante el proceso de desarrollo de aplicaciones.
Después de todo, el reciente malware Goldoson, según informa Bleeping Computer, parece haber extendido sus tentáculos a través de los más de 100 millones de descargas asociadas a esas 60 aplicaciones móviles infectadas. Sólo dos de las aplicaciones más grandes implicadas fueron L.POINT con L.PAY y Money Manager Expense & Budget (ambas con más de 10 millones de descargas). Bleeping computer informa de que el componente malicioso Goldoson forma parte de una biblioteca de terceros que todas las aplicaciones utilizaban. Y así, comienza la producción masiva de dolores de cabeza para muchos desarrolladores.
Este tipo de ataques a la cadena de suministro, en los que los atacantes inyectan su código en bibliotecas gratuitas de código abierto (o en bibliotecas de fuentes no fiables), pueden ser difíciles de evitar para los desarrolladores de aplicaciones, ya que aunque sólo utilicen FOSS revisado por pares, las inyecciones de código malicioso en estas bibliotecas pueden seguir ocurriendo. Como este malware no despliega su actividad hasta que se despliega la aplicación, los escáneres de seguridad, incluso las revisiones de seguridad, y también los de las tiendas de aplicaciones no detectan estos ataques. Para tener alguna apariencia de tranquilidad, los desarrolladores de aplicaciones necesitan tener la capacidad de supervisar continuamente su aplicación en el campo, identificar este tipo de problemas cuando despliegan su actividad, y remediar la amenaza lo antes posible. Las librerías de terceros afectadas son a menudo una parte crucial de la anatomía de una aplicación, así como su postura de ciberseguridad, para tener esta capa adicional de control.
Al parecer, Goldoson, descubierto por McAfee, recopila datos sobre las aplicaciones, los dispositivos Wi-Fi y Bluetooth y la ubicación del dispositivo, al tiempo que hace clic en anuncios de forma fraudulenta y silenciosa en segundo plano. Una vez que el usuario inicia una aplicación que ha utilizado la biblioteca infectada, Goldoson se pone manos a la obra y le indica qué datos robar y en qué anuncios hacer clic. Las aplicaciones implicadas a las que el usuario ha dado muchos permisos son las que más datos roban.
La mayoría de los consumidores no se dan cuenta de que las tiendas de aplicaciones como Google Play no son responsables de proteger las aplicaciones individuales que no han sido creadas por Google. Esa no es su función. Prueba de ello es la política habitual de Google, que se limita a eliminar las aplicaciones que no cumplen sus políticas debido a problemas conocidos. De este modo, la responsabilidad de la seguridad de las aplicaciones móviles recae exclusivamente en el desarrollador de las mismas. Irónicamente, el tema de los frecuentes problemas de seguridad asociados con cualquier cosa de "terceros", especialmente para aplicaciones móviles, continúa no sólo con la necesidad de remediar la infección relacionada con la biblioteca de terceros, sino también con el hecho de que las tiendas de aplicaciones Android de terceros podrían seguir albergando la misma biblioteca maliciosa.
Para ilustrar aún más la amenaza significativa que puede causar la anatomía no supervisada o no verificada de una aplicación móvil, estos tipos de ataques están impulsando la presión de la industria por una cadena de suministro de software que no sólo priorice el conocimiento en torno a los antecedentes de toda su anatomía (también conocida como componentes), sino también la capacidad de determinar cuándo algo está mal con la actividad de una aplicación y necesita ser remediado porque algo se pasó por alto en la revisión inicial de la cadena de suministro de software. Esto puede afectar tanto al código fuente abierto como al código propietario, como se indica en este artículo de TechTarget de TechTarget.
5 cosas que los desarrolladores de aplicaciones pueden hacer para proteger la anatomía de su código
Con la mayoría de las aplicaciones móviles desprotegidas frente a las últimas amenazas, el equipo de VMX Lab trabaja para poner de relieve la profunda brecha en la confianza y la seguridad que puede crear este fallo fundamental, subrayando el papel vital que desempeñan los desarrolladores de aplicaciones en la ciberseguridad y cómo pueden aprovechar el poder rentable de Verimatrix XTD. Verimatrix XTD para combatirlo de forma consistente. Verimatrix XTD proporciona una biblioteca de funciones de defensa y supervisión que, entre otras capacidades, destacan el comportamiento sospechoso de las bibliotecas portadoras de malware como el descrito anteriormente.
Proteja sus aplicaciones de los ataques de malware.
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 11: Coper, Octo, CriminalMW y más
3 Imperativos de seguridad para los fabricantes de aplicaciones para vehículos en 2024
La proliferación de herramientas frente a la ausencia total de herramientas de seguridad
Resumen de amenazas a la ciberseguridad nº 10: Joker, Samecoin, SpyNote y más