La seguridad integrada de Android ha mejorado notablemente con el paso del tiempo. El sistema operativo de Google tiene una variedad de funciones impulsadas por aprendizaje automático para prevenir, detectar y eliminar software malicioso. Nuestros dispositivos, además, pueden contar con soluciones de protección adicionales diseñadas por el fabricante, como Samsung Knox, o software antivirus que hayamos descargado manualmente.
Con todo esto podríamos pensar que nuestro teléfono está “blindado” ante las amenazas que proliferan en el mundo digital en el que vivimos, pero la realidad es que los ciberdelincuentes son cada vez más ingeniosos y se preocupan por adaptar sus métodos de ataque. Siempre existe el riesgo de que un software malicioso pueda infiltrarse en nuestro dispositivo. Una vez dentro, puede aprovechar funciones como las de accesibilidad para lograr su cometido.
Malware que utiliza funciones de accesibilidad
Las funciones de accesibilidad de Android tienen como objetivo mejorar la experiencia de uso del sistema ofreciendo métodos de control alternativos (voz, gestos, mirada), lectura del contenido de pantalla, entre otros. Estas funciones, no obstante, también suelen ser utilizadas por familias de malware como Vultur para comprometer cuentas bancarias. Por ejemplo, capturando información de nuestra pantalla o haciendo pulsaciones.
Unos investigadores del Instituto de Tecnología de Georgia han desarrollado una solución que dicen que puede comprobar si un dispositivo Android está infectado por malware que utiliza las funciones de accesibilidad. La aplicación, llamada Detector of Victim-specific Accessibility (DVa), funciona con un servicio en la nube que ayuda a simular determinadas acciones para activar el comportamiento malicioso de las aplicaciones y así poder identificarlas.
Una vez concluido el proceso, DVa genera un informe que es enviado a Google para que pueda estar al tanto del problema. Si bien muchas aplicaciones que utilizan las funciones de accesibilidad son descargadas por los usuarios por vías alternativas a la tienda de aplicaciones oficiales, lo que implica activar la instalación de orígenes desconocidos manualmente, algunas de ellas utilizan técnicas efectivas para colarse en la Play Store.
En la mayoría de los casos, los atacantes publican aplicaciones que parecen inofensivas, pero después se actualizan desde servidores controlados para fines maliciosos que descargan código adicional como el malware SharkBot. No es ningún secreto que este tipo de comportamiento infringe las políticas de la Play Store, pero su detección tardía suele ser suficiente para que una determinada cantidad de víctimas caigan en la trampa.
Desafortunadamente, DVa no está disponible para el público en general. Se trata de una aplicación que forma parte de un proyecto académico. No obstante, los recursos del proyecto han sido publicados en GitHub, y están disponibles para que otras personas puedan experimentar con ellos. Permiten realizar análisis estáticos y dinámicos sirviéndose de un equipo con versiones recientes de Linux Ubuntu o Debian.
El paper del proyecto tiene un montón de información interesante. Cabe señalar que la utilización de DVa desde los repositorios de GitHub debe reservarse a aquellos que tienen cierta base de conocimientos técnicos. En el caso del análisis dinámico, el dispositivo en cuestión tendrá que tener privilegios ‘root’. Tendremos que esperar para saber si esta idea acabará convirtiéndose en una aplicación para todos los usuarios.
Imágenes | Xataka con Bing Image Creator | Mika Baumeister
