Cómo detener la amenaza de los ataques de malware de rooteo de Android con RASP
Uno de los problemas de seguridad clave que enfrentan las organizaciones que admiten dispositivos Android es el riesgo de rootear malware. Varias familias de malware en el sistema operativo móvil Android intentan obtener acceso a la raíz una vez instalado porque los elevados privilegios obtenidos son útiles para realizar actividades maliciosas. Sin embargo, existe una forma de detectar el rooteo y proteger a su organización y a los usuarios de aplicaciones móviles de ataques maliciosos: Autoprotección de aplicaciones en tiempo de ejecución (RASP) .
Siga leyendo para conocer cómo dos familias comunes de malware de Android, Tordow v2.0 y Pegasus (o Chrysaor), dispositivos móviles de raíz y cómo la tecnología RASP puede ayudar a proteger. La investigación presentada en este artículo fue realizada por Ludovic Joly del Centro de Competencia de Seguridad de OneSpan.
Lo que necesitas saber sobre Tordow v2.0 y Pegasus
La familia de malware Tordow v2.0 se descubrió por primera vez a fines de 2016 y es un tipo de troyano bancario de Android que intenta robar dinero del usuario del dispositivo infectado robando credenciales bancarias, transfiriendo dinero por SMS y utilizando sus capacidades de ransomware.
Por otro lado, Pegasus para Android es un software espía oculto diseñado para monitorear objetivos de vigilancia y se cree que fue desarrollado por el proveedor de interceptación legal NSO Group. Pegasus se puede utilizar para controlar de forma remota un dispositivo a través de SMS, para extraer datos de aplicaciones de comunicación y redes sociales de uso común, para capturar audio e imágenes usando el micrófono y la cámara del dispositivo y para capturar capturas de pantalla y más. Este spyware es tan sigiloso que solo un equipo conjunto de equipos de seguridad de Lookout y Google podría encontrar y analizar muestras de él.
Usando Framaroot para obtener acceso de root
Ambas familias de malware tienen la capacidad de rootear el dispositivo que infectan, lo que permite a los usuarios de dispositivos y / o aplicaciones obtener un control privilegiado o acceso root a los subsistemas de Android. Como Android usa el kernel de Linux, rootear un dispositivo Android brinda un acceso similar a los permisos administrativos (superusuario) que en Linux o cualquier otro sistema operativo similar a Unix. Los derechos administrativos permiten que las muestras de malware realicen una gama mucho más amplia de acciones nefastas, como acceder a los datos de otras aplicaciones, grabar pulsaciones de teclas o leer mensajes SMS.
La ingeniería inversa de algunas muestras de estas familias de malware muestra que confían en los exploits empaquetados en Framaroot para intentar obtener root. Framaroot, que se describe a sí mismo como una aplicación de un solo clic para rootear algunos dispositivos, hace exactamente lo que dice y funciona para una amplia gama de dispositivos con Android 2 a 4. En la práctica, Framaroot es utilizado por la mayoría de las familias de malware para realizar el enraizamiento.
De hecho, algunos ejemplos de Tordow v2.0 contienen el marco Framaroot real:
Pegasus también usa Framaroot, ya que viene con el archivo de copiadora, el binario de explotación Framaroot disponible públicamente.
Ahora, ¿qué sucede después de que una de las hazañas de Framaroot se ejecutó con éxito en un dispositivo? Para facilitar el acceso posterior a la raíz por parte del malware, un binario su se escribe en un directorio, desde donde luego se puede ejecutar. En nuestro contexto, un su binario, a veces descrito como superusuario, se utiliza para ejecutar comandos con privilegios de superusuario.
En el caso de Pegasus, el binario su (el archivo cmdshell en el apk) se encuentra en / system / csk en el sistema de archivos. Esta ubicación inusual otorga al malware la exclusividad del acceso a la raíz y supuestamente garantiza que permanece oculto.
Protección contra el rooteo de malware utilizando la tecnología RASP
A proteger dispositivos móviles contra el rooteo de malware , las organizaciones deberían centrarse en la capa de aplicación. Una forma clave de hacerlo es con la autoprotección de aplicaciones en tiempo de ejecución (RASP), que protege las aplicaciones mientras se ejecutan al proporcionar mecanismos de seguridad como protección de integridad, prevención de depuración, detección de raíz y más. RASP ofrece detección de raíz avanzada para detectar la presencia de binarios como los de Tordow v2.0 y Pegasus.
Desde su posición dentro de la aplicación, RASP comprende los flujos de datos y la lógica de trabajo de la aplicación y monitorea y analiza continuamente la ejecución de la aplicación en segundo plano. Eso significa que RASP también sabe cuándo la aplicación está bajo amenaza.
Si un usuario ejecuta una aplicación que está protegida con RASP en un dispositivo que no está rooteado al principio pero se rootea a través de una infección por malware, RASP tomará medidas para proteger la aplicación y el usuario. Por ejemplo, RASP podría informar al usuario a través de un mensaje de advertencia, alertar al equipo de seguridad de la información de la organización o finalizar la aplicación.
Los ataques de malware contra dispositivos Android resaltan la necesidad de tecnología como RASP que brinde protección integral contra el rooteo de malware. Es importante que las funciones de detección y prevención de raíz de la tecnología RASP se actualicen continuamente probándola contra aplicaciones de raíz, ocultamiento de raíz y malware. Esto es fundamental para garantizar que RASP se mantenga por delante del malware de enraizamiento más avanzado.
