Investigadores demuestran (otra vez) que Google Bouncer, el sistema automatizado para detectar aplicaciones maliciosas o malware antes de que llegue a la tienda de aplicaciones de Google, puede eludirse de una forma sencilla. Esta aproximación es diferente a la ya conocida publicada en junio.
Google Bouncer es un sistema de escaneo automático de aplicaciones, que fue lanzado en febrero de 2012. Simula la ejecución de las aplicaciones en un dispositivo Android con el objetivo de detectar malware y evitar que sea publicado en Google Play.
Unos meses después de su lanzamiento, en junio, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron falsas aplicaciones a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión reversa a sus propios servidores. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso, implementando aplicaciones que se comporten como legítimas cuando detecten ese entorno virtual específico.
En este contexto, los investigadores de la empresa de seguridad Trustwave han explicado en la conferencia de seguridad Black Hat en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte han desarrollado SMS Bloxor, una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono… pero que además roba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso puede realizar ataques de denegación de servicio.
Para conseguirlo, no activaban el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Pero además, han ideado un puente JavaScript, una solución legítima que permite a los desarrolladores añadir nuevas características de forma remota a aplicaciones que ya han sido aceptadas. Así, logran evitar volver a pasar por el proceso de aprobación de nuevo, aunque la aplicación se haya actualizado.
Percoco y Schulte pudieron publicar en Google Play siete versiones de su aplicación durante dos semanas, cada cual con más funcionalidades maliciosas, antes de que Bouncer la detectara como malware. SMS Bloxor fue retirado de la tienda después de que subieran una versión que enviaba continuamente todos los datos de un dispositivo a los creadores de la aplicación. Para evitar que los usuarios de descargaran la aplicación durante el periodo que se prolongó el experimento, SMS Block se puso a un precio prohibitivo de casi 50 dólares.
Google ha sido informado de los resultados de esta investigación para que pueda realizar cambios y mejorar la seguridad de Google Play.
Más información:
SMS Bloxor
Google Approves an App that Steals All Your Data
Researchers beat Google’s Bouncer
Logran eludir el sistema Google Bouncer para Android Market
Juan José Ruiz
Deja un comentario