Blue Coat predice que el malware móvil seguirá presentando una amenaza tanto en el entorno corporativo como en el hogar. Los fabricantes de los sistemas operativos de los teléfonos móviles harían bien en ayudar a que sus usuarios controlen mejor cómo, cuándo y con quién se pueden comunicar las aplicaciones móviles con el mundo exterior.
Si consideramos el crecimiento exponencial de los dispositivos móviles, este mercado se vuelve aún más atractivo para el ciberdelincuente. A finales del mes de junio de 2014 en México se alcanzaron 102.9 millones de líneas móviles, de las cuales 42.3% corresponden a smartphones, equivalente a 43.5 millones; al término de este año se estima una participación del 50.3%. Así, para finales de 2015, siete de cada 10 líneas móviles estarán asociadas con un smartphone, de acuerdo con The Competitive Intelligence Unit (The CIU).
En tanto, a finales de este año la población mundial de plataformas móviles podría conformarse de la siguiente manera: 1,1 mil millones de equipos Android, seguido por Windows con 359,855 millones de dispositivos, en tercer lugar se ubica iOS con 344,206 millones, y finalizando el podio está RIM con 15,416 millones, según pronósticos de Gartner. Al ser Android la plataforma móvil con mayor número de usuarios, los ciberdelincuentes generan muchos códigos maliciosos para vulnerarla.
Los tipos de amenazas móviles comunes son los que requieren que el usuario actúe de alguna manera, por ejemplo: cambie la configuración de seguridad, descargue una aplicación o le otorgue el control de su dispositivo a un tercero. Este tipo de ingeniería social sigue siendo la principal manera en la que los ciberdelincuentes modelan el comportamiento del usuario para que tome decisiones no seguras que ponen en peligro al dispositivo.
Un ataque reciente registrado por el Laboratorio de Seguridad de Blue Coat es un claro ejemplo de como actúan los ciberdelincuentes a través de los teléfonos inteligentes. Este se llevó a cabo a partir de una publicidad móvil la cual fue el primer paso de un ataque de ingeniería social conformado por cuatro etapas:
• Etapa 1: Una publicidad móvil de seguridad que parece legítima indica a los consumidores que tienen un virus y los instruye para que hagan clic en el botón “OK” para eliminarlo.
• Etapa 2: Una advertencia de Android emerge y le pide al usuario que elimine el virus.
• Etapa 3: Este es el clásico correo electrónico antivirus falso de ingeniería social que se utilizó para atacar a los usuarios de computadoras de escritorio y portátiles durante años; se lleva a cabo el “análisis” y devuelve información sobre el supuesto virus, con detalles sobre su comportamiento malicioso, en este caso el robo de contraseñas y de información de tarjetas de crédito. Le solicita a la persona que instale la aplicación en ese momento.
• Etapa 4: Una vez que el archivo está descargado, la ventana solicita al individuo que cambie las instalaciones de la aplicación de terceros en Configuración, la característica que evita descargas de aplicaciones desde sitios que no sean el mercado de Google Play, que pueden alojar aplicaciones sospechosas o maliciosas que no han sido aprobadas.
De acuerdo con dicha investigación, se les solicita insistentemente a los usuarios, utilizando técnicas de ingeniería social, que desactiven la configuración de restricción de “fuentes de mercado confiables” de Android que limita la capacidad de la plataforma para instalar aplicaciones arbitrarias de otras fuentes que no sean las del propio mercado de Google.
Asimismo, existe una cantidad apreciable de aplicaciones maliciosas que se originan en sitios web pornográficos que tienen un componente móvil. También incrementó la cantidad de antivirus falsos presentados a través de las redes de publicidad o el uso de escritura en sitios web móviles para promoverlos mediante ventanas emergentes en el explorador móvil. La amenaza cuenta con la credulidad propia del usuario para seguir las instrucciones bastante complejas y hacer cambios en el perfil de seguridad del dispositivo móvil que son perjudiciales para el dispositivo.
