Gooligan ya ha infectado más de un millón de teléfonos Android, y sigue subiendo. El gusano, que afecta a cerca de 13.000 dispositivos al día, toma el control del teléfono móvil, descarga apps de terceros sin permiso y roba los datos de la cuenta Google.
La empresa de ciberseguridad Checkpoint, además de dar la alerta mundial, elaboró una lista con todas las apps maliciosas que contenían el malware (que puede consultar aquí), muchas de ellas descargables desde Google Play.
“Aproximadamente, se dan entre cinco y diez casos de apps maliciosas al mes”, explica a eldiario.es Eusebio Nieva, director técnico de Checkpoint en España. La firma de ciberseguridad, aunque no mantiene relación permanente con las tiendas oficiales de Google y Apple, sí que contactó con ellos la semana pasada cuando emitió el aviso a nivel mundial sobre la amenaza.
Gooligan, como ya lo hiciera Hummingbad en el pasado, también estaba en Google Play. La multinacional daba explicaciones a Wired hace pocos días acerca de cómo detecta las amenazas y qué proceso sigue para dar con ellas: “Google Play escanea automáticamente aplicaciones potencialmente maliciosas, así como cuentas de spam antes de que sean publicadas en la tienda”. Su robot no escanea las nuevas apps que aparecen al momento, sino que lo hace pasado un tiempo.
“Si tú publicas una app que dice dar trucos para cierto juego y realmente da esos trucos y no cobra por ello, eso no quiere decir que por debajo no haga otra cosa”, continúa Nieva. La clave está en el rating (las estrellas que tiene en la tienda oficial) y el comportamiento que describe en el teléfono. Gooligan era capaz de hacer críticas positivas del resto de apps de “su familia” para aumentar la confianza de los usuarios a la hora de descargar el malware.
“Lo que hacen los gestores de aplicaciones de Apple y Android es poner a prueba durante ciertos momentos la app, verificar que hace lo que dice, etcétera. Pero el comportamiento malicioso, no”, asegura el directivo de Checkpoint.
Robots en tiendas
Android, al ser código abierto, hace que los desarrolladores de aplicaciones maliciosas lo tengan más fácil a la hora de crearlas y difundirlas.
Lejos de lo que se pueda pensar, la AppStore tampoco está exenta. “Es cierto que Apple tiene un control más férreo de las condiciones y de las formas de hacer las cosas que Android, que por definición es más libre”, continúa Nieva, pero no cree que Google Play sea más inseguro: “No me atrevería a afirmarlo”. Apple ya confirmó en septiembre del año pasado la existencia de un malware en su tienda llamado Xcode y que infectó aplicaciones tan populares como AngryBirds o WeChat.
Tanto en uno como en otro lado, los robots de escaneo de malware son automáticos. No pueden ser de otra forma debido al gran número de apps y actualizaciones que albergan las tiendas. Según Statista, en el primer cuarto de 2015 Google Play tenía más de 1.300.000 contenidos y la AppStore se acercaba con 1.200.000. Casi dos años después, ambas tiendas superan los dos millones de apps. “Sería prácticamente imposible escanear de forma manual ese volumen de aplicaciones”, dice Nieva.
La protección total no existe
Los antivirus no detectaron a Gooligan. Tampoco lo hicieron con Hummingbad: al tratarse de gusanos nuevos, ni los robots de Google Play y la AppStore ni las apps de escaneo de virus supieron de su existencia.
“El antivirus se basa en ataques conocidos para los cuales tiene una firma, buscándola en todas las apps. También puede ser que tenga listas de apps buenas y malas”, explica el director técnico de Checkpoint España. “No te diría que el antivirus está muerto pero es difícil ahora mismo que, tal y como se entiende tradicionalmente, sea efectivo en los dispositivos móviles”, sentencia.
Según Nieva, para proteger el teléfono de una infección hay que asegurar “los tres vectores principales de ataque: el sistema operativo, las apps y la Red”. A diferencia de un ordenador, el entorno dinámico en el que operan los smartphones implica que cada día nos descarguemos una o varias aplicaciones y actualizaciones, “por lo que la utilidad del antivirus es muy reducida”.
¿Cómo protegernos?
Una app infectada es susceptible de contagiar miles de teléfonos en el intervalo de tiempo que transcurra entre que aparece para su distribución y es descubierta y eliminada. Además, la llegada de la época navideña también implica el aumento de las compras de móviles y con ello, la proliferación de apps maliciosas. Le preguntamos al director técnico de CheckPoint España qué puede hacer el usuario ante estas amenazas.
1. Descargar apps de sitios fiables apps. “Las dos tiendas oficiales aún así no te garantizan que no puedas tener un problema asociado”, pero siempre serán más seguras que las no oficiales.
2. Estar al tanto de los cambios. “Poner en cuarentena cada nueva app que se descargue y verificar si el conjunto de permisos que está pidiendo tienen sentido, si el comportamiento de uso de la batería también sentido, cómo es el consumo de datos, etcétera”. En una frase: observar el funcionamiento del teléfono y estar al tanto de las anomalías que puedan ocurrir.
3. Analizar el comportamiento de las appsapps. “Utilizar herramientas no tan tradicionales como los antivirus que te permitan analizar el comportamiento de las apps”.
*Este artículo ha sido actualizado tras su publicación