Eludir Bouncer de Google, el sistema antimalware de Android

En respuesta al objetivo cada vez más grande que presentaba su sistema operativo Android a los piratas informáticos, Google lanzó el sistema antimalware 'Bouncer' en febrero de 2012. Bouncer fue diseñado para filtrar aplicaciones maliciosas antes de que aparecieran en Android Market, como fue llamado en ese momento. El nombre cambió a Google Play, pero Bouncer siguió avanzando, protegiéndonos silenciosamente de gusanos y caballos de Troya.

Google no conocía los detalles cuando reveló Bouncer, pero ahora dos investigadores de seguridad de Duo Security, Charlie Miller y Jon Oberheide, han encontrado una manera de acceder de forma remota a Bouncer y explorarlo desde adentro. Lo que encontraron muestra que los creadores de malware inteligentes aún podrían destruir su teléfono.

Que hace Bouncer

A lo largo de 2011, Google estuvo plagado de casos de Malware de Android aprovechando las vulnerabilidades en el código del sistema operativo. Lo que era peor, a veces estas aplicaciones maliciosas acababan entrando en Android Market. Hubo aplicaciones que robaron contactos, rastrearon sus pulsaciones de teclas e incluso aquellas que acumularon facturas enormes enviando mensajes de texto con números de tarifa premium. Este código desagradable generalmente flotaba en los foros de warez, pero su aparición en Play Store no era desconocida.



Google PlayGoogle siempre ha permitido a los desarrolladores cargar sus aplicaciones para que estén disponibles de inmediato. Pero a medida que Android atrajo más la atención del tipo equivocado de personas, quedó claro que era necesario hacer algo.

El resultado fue Bouncer, pero Google decidió hablar de ello solo en los términos más generales al principio. Bouncer fue diseñado para agregar una nueva capa de seguridad a Android sin requerir que los desarrolladores pasen por un tedioso proceso de aprobación dirigido por humanos blandos. La fría eficiencia de una máquina automatizada es todo lo que Google necesita.

El anuncio de febrero afirmó que Bouncer se había estado ejecutando silenciosamente en segundo plano durante varios meses, lo que resultó en una caída del 40% en aplicaciones potencialmente maliciosas en el mercado. Cuando se completen los escaneos, las aplicaciones de paso se publicarán de la manera normal. Los desarrolladores solo tuvieron que sufrir unos minutos de retraso. Parecía casi una bala mágica en ese momento.

Como ahora estamos aprendiendo, el malware aniquilado por Bouncer podría haber sido la fruta más baja.

Cómo funciona Bouncer desde el interior

Miller y Oberheide han estado investigando Market / Play Store durante algún tiempo en un esfuerzo por aprender más sobre Bouncer. Los investigadores finalmente lograron echar un vistazo al asesino de spam con una aplicación de Android especialmente codificada diseñada para permitir el acceso remoto para Duo Security. Bouncer es un teléfono virtual que se emula en un servidor de Google. Cuando Bouncer cargó la aplicación troyana, Miller y Oberheide pudieron alimentar los comandos del shell de Bouncer a través de una línea de comandos. Así es como se revelaron los secretos de Bouncer.

El sistema está ejecutando un tipo de software de virtualización llamado QEMU, que es un indicador fácilmente detectable que podría indicarle a una aplicación que se está ejecutando en Bouncer. La cuenta utilizada para registrar el teléfono virtual también es idéntica, lo que proporciona una segunda forma sencilla de huellas digitales Bouncer. Google ha configurado cada instancia de su teléfono virtual con honeypots para atraer al malware a hacer lo que mejor sabe hacer: robar cosas.

Gorila de gatoHay dos imágenes en el teléfono Bouncer; uno de Lady Gaga y uno de un gato. Si se detecta una aplicación que carga esas imágenes en un servidor remoto, Bouncer le da una patada rápida. Del mismo modo, si una aplicación intenta recopilar la información de contacto del teléfono, que incluye una sola entrada para una Michelle.k.levin@gmail.com, también se inicia la aplicación. Bouncer también monitorea el servicio de SMS en caso de que una aplicación intente enviar mensajes de texto no autorizados a números de tarifa premium.

No se puede negar que esta es una forma ingeniosa de buscar amenazas desagradables, pero como señala Duo Security, los atacantes podrían vencer fácilmente a Bouncer en su propio juego.

Cómo se puede romper Bouncer

Duo Security aprendió una lección importante de su pequeña incursión en Bouncer: solo funciona cuando nadie conoce su funcionamiento interno. Como describí, Miller y Oberheide descubrieron varias formas de tomar huellas dactilares del entorno de Bouncer. Eso significa que un autor de malware podría crear un módulo que suspende el comportamiento malicioso durante un cierto período de tiempo cuando se detecta Bouncer.

Sin siquiera ir tan lejos, los autores de malware podrían evadir la detección actuando con calma. Bouncer no ejecuta aplicaciones de forma indefinida; de hecho, solo escaneará cada aplicación que se cargue durante unos 5 minutos antes de declararla segura. Los malos solo necesitan mantener sus intenciones ocultas por un corto tiempo para evadir el escáner tal como existe ahora.

CáscaraAlternativamente, las personas sospechosas que buscan explotar su teléfono pueden simplemente cargar una aplicación inocua que pasa a Bouncer con gran éxito. Luego, con el tiempo, se pueden agregar componentes a través de las actualizaciones de Play Store que habilitan funciones maliciosas inactivas. Obviamente, esta es la estafa a largo plazo, pero para obtener la recompensa adecuada, podría valer la pena.

Duo Security dice que ha estado en contacto con Google para reparar las vulnerabilidades. Algunas cosas pueden ser fáciles de solucionar, como escanear aplicaciones durante un período de tiempo más largo o cambiar la información predeterminada de la cuenta. Pero otros, como el entorno virtualizado fácilmente detectable, serán más difíciles de proteger contra ataques. La mejor solución sería ejecutar aplicaciones en dispositivos reales, pero la logística podría hacer eso imposible.

Miller y Oberheide ofrecerán una demostración completa del truco en SummerCon a finales de esta semana. Hasta entonces, es probable que Google esté trabajando duro para tapar los agujeros en Bouncer y protegerse contra una nueva ola de malware.

Copyright © Todos Los Derechos Reservados | 2007es.com