Es un hecho que en el Market de Android se cuela malware y Google reacciona. Han presentado Bouncer, un sistema automático que analiza las aplicaciones subidas al Market para detectar (y eliminar) el potencial malware detectado. ¿Será efectivo?
Google no ejercía controles demasiado estrictos sobre las aplicaciones que los programadores subían al Market de Android y que podían ser descargadas directamente por los usuarios sin pasar por algún filtro que comprobara su seguridad. Apple, sin embargo, realiza un estudio mucho más estricto de sus aplicaciones antes de publicarlas en su AppStore, lo que le ha permitido mantenerse al «margen» del objetivo de la industria del malware.
Google pretende con Bouncer, por un lado, detectar y eliminar las amenazas de malware conocidas. Por otro, también estudia a los desarrolladores, pudiendo denegar acceso a posibles defraudadores.
Aunque haya sido presentado ahora, Bouncer lleva un tiempo funcionando. Según Google, esto ha permitido que en 2011 decaiga en un 40% el número de descargas potencialmente peligrosas. Curiosamente, Google parece realizar una crítica velada hacia las casas antivirus y sus mensajes publicitarios:
«Este descenso ocurre al mismo tiempo que las compañías que comercializan y venden soluciones antivirus informan que las aplicaciones dañinas están aumentando«.
Cómo funciona
Se trata de un análisis automático de software, que no requiere que el desarrollador pase por ningún proceso de aprobación.
· Por un lado, realiza un análisis estático cuando se sube una aplicación, buscando malware conocido. O sea, se le pasa uno o varios motores antivirus por firmas. Este es el mismo método que seguía Firefox y que, por supuesto, no es suficiente por sí mismo. De hecho, ha permitido que se colara, al menos en dos ocasiones, malware en el repositorio oficial de extensiones de Mozilla.
· Por otro, analizan dinámicamente las aplicaciones ejecutándolas automáticamente en un entorno virtual y comprobando su comportamiento. La monitorización de permisos «abusivos» para el terminal es un buen indicador de que algo extraño puede estar ocurriendo. Dependiendo de cómo afinen sus reglas, este sistema «heurístico» puede ser bastante efectivo. Se supone que mantendrá su efectividad mientras los atacantes no sepan detectar este entorno puesto que, como ocurre ahora normalmente en el mundo del PC, el código dañino podría no ejecutarse si detecta que se encuentra en un entorno virtualizado.
· Por otro, monitorizarán las cuentas de los desarrolladores, para evitar que vuelvan a subir aplicaciones ilegítimas una vez hayan sido detectadas. Este paso, aunque lógico, no evitará que se creen cuentas falsas o se secuestren cuentas de desarrolladores legales para subir malware.
Con desarrollos como Bouncer, Google pretende que no se perpetúe una cierta imagen de sistema operativo «inseguro» que está adquiriendo Android, a causa de la facilidad para inducir a la descarga de malware o esconderlo en aplicaciones supuestamente legítimas. Pero sobre todo, su objetivo es evitar titulares como este «El ‘malware’ en Android ha aumentado un 472%« publicado en 2011.
Más información:
» El ‘malware’ en Android ha aumentado un 472% «
Firefox y la (in)seguridad de sus extensiones y complementos
Google Online Security Blog:
Google Mobile Blog:
Sergio de los Santos
Twitter: @ssantosv
El pasado mes de Junio, Nick Kralevich, del equipo de seguridad de Android, ya comentó en su presentación en la NIS'11 (http://www.nis-summer-school.eu/presentations/kralevich.pdf) que hacían análisis estático y dinámico de las aplicaciones, por lo que llevan al menos 7 meses con ello.
La gran ventaja que tiene en este aspecto Google es el gran volumen de datos que posee para poder afinar los métodos de detección.
Nada, eso sólo filtrará lo que ya se conoce (que no está mal) pero el malware siempre se abre camino con otros métodos que aún no detecta Bouncer, y este los detectará después del desastre que hagan los nuevos malware.
Pues como siempre ha sido en las computadoras; los antivirus siempre van por detrás de los virus/malware.
Para los crackers esto del Bouncer es un aliciente más para intentar burlarlo con nuevos algoritmos y métodos temporizados para evitar ser detectados estáticamente y dinámicamente, e incluso con activaciones de Payload remotas meses después de distribuir la aplicación ya instalada en miles de dispositivos Android y verificada por Bouncer.
¡¡ Va ha ser divertido !!