La empresa de Seguridad Informática FireEye hizo una presentación en el último congreso de BlackHat en la que describen una metodología por medio de la cual los delincuentes informáticos pueden interceptar información de personas a través de las bibliotecas de anuncios.
FireEye demostró cómo utilizar las brechas en la información enviada por las bibliotecas de anuncios de aplicativos para Android para realizar ATPs. A través de la intercepción de estos contenidos, los atacantes pueden obtener el control completo de un dispositivo y realizar acciones que van desde el acceso a SMSs hasta realizar grabaciones de video a través de la cámara del dispositivo.
En la era del BYOD, las empresas deben preocuparse porque los grupos de APT aprovechan todos los medios posibles para llevar a cabo un ataque, incluyendo la invasión de los dispositivos personales de los empleados clave de la compañía objetivo. El número de dispositivos Android en todo el mundo llegó a casi 2 mil millones en 2014 de acuerdo con Gartner. Sólo en el programa BYOD de Intel existen más de 20.000 dispositivos Android con cerca de 800 combinaciones de hardware, configuraciones y versiones del sistema operativo móvil.
Aunque los malwares son raros en Google Play, el sistema tiene vulnerabilidades, tales como bibliotecas de anuncios que pueden tener fugas de información personal del usuario. Explorando las brechas, un atacante puede interceptar esas informaciones y localizar objetivos precisos como Presidentes, Directores y Gerentes de una empresa en particular o incluso celebridades y personas en general. FireEye denominó a este ataque como “Sidewinder Targeted Attacks”. El concepto se basa en los misiles Sidewinder que pueden localizar un objetivo y alcanzarlo de manera guiada. Con el mismo comportamiento, el hacker invade una red y espera la señal de la víctima procedente de las bibliotecas de anuncios. Una vez que tiene un objetivo a la vista, el hacker puede iniciar la base del ataque APT.
Por medio de ataques sofisticados, el atacante puede controlar una serie de funciones del celular que le permiten robar información como una pantalla, una lista de las aplicaciones instaladas, el portapapeles (donde se puede robar todas las contraseñas tecleadas en el dispositivo), una foto tomada por la cámara principal, una grabación de audio y un video con la ubicación GPS interceptada de una biblioteca de anuncios. Además, el panel también muestra la ubicación exacta de la víctima en Google Maps.
FireEye advierte que millones de usuarios de Internet están bajo la amenaza de ataques Sidewinder y recomienda que los editores de las bibliotecas de anuncios mejoren la seguridad a través de certificados y cifrado del tráfico de red.
