El malware "potencial" de la App Store

En resumen, la situación era la siguiente. Un juego llamado “Simply Find It“, muy reputado en la AppStore, fue detectado por el antivirus BitDefender para iOS como Trojan.JS.iframe.BKD. Otros antivirus para iOS, no sospechaban de ella. Se continuó explorando la aplicación y se encontró que el fichero de audio Payload/SpotDiffHD.app/day.mp3 contenía la referencia

en su interior. Por lo que en realidad, la aplicación solo contenía un enlace a una URL históricamente conocida por repartir malware intentando infectar a los navegadores que la visitaban. La URL se encuentra desactivada desde hace tiempo y además se le conoce por alojar malware para Windows. ¿Qué hacía ahí esa URL, en una aplicación para iOS reputada y reconocida que, además, no hacía daño real al teléfono?

Preguntar a Apple, como de costumbre, no servía de mucho. Su oscurantismo en los métodos de “filtrado” en la AppStore es absoluto, y ni ellos ni el responsable del juego arrojaron luz en el asunto. Solo se podía especular sobre que el archivo mp3 sí que estaba o había estado infectado de alguna forma, pero no había sido analizado por Apple por no considerarse “ejecutable“.

Poco más se puede decir sobre esta “anécdota“. El juego no representa amenaza alguna para los usuarios de iOS, y aunque se activase de nuevo la URL, puede que nunca lo sea. Pero hay más especulaciones y conclusiones que se pueden sacar.

La primera puede estar relacionada una vez más con los motores antivirus y sus detecciones. La voz de alarma la lanza un antivirus “demasiado” sensible. Esto es el mayor enemigo de los motores y en la que se juegan su reputación. Una tasa aceptable de falsos positivos es difícil de establecer, pero lo cierto es que los antivirus prefieren “dejar pasar” a que “deje de funcionar“, o sea, una tasa de falsos positivos lo más baja posible, aun a costa de que se cuele malware. Pero, ¿se trata este caso concreto de un falso positivo? En realidad es posible que el fichero mp3 se encontrara alojado en un momento dado en un Windows infectado y se le incrustaran metadatos de alguna URL maliciosa. Una situación muy parecida se dio en 2008 con los plugins de Firefox (a un fichero HTML de una extensión se le añadió JavaScript malicioso durante el tiempo que se alojó en un Windows). Bitdefender avisó de que, al menos, algo raro había pasado, lo que puede ser correcto, pero desde luego para un usuario no técnico, la alerta no queda clara y puede provocar más confusión que beneficio. Esta lucha entre la simplificación para el usuario, la detección eficaz, y mantener a raya los falsos positivos, es el pan de cada día para la mayoría de casas antivirus… y dudamos de que ninguna haya encontrado la solución deseada aún.

Otra conclusión es la que venimos advirtiendo desde hace muchos años, por ejemplo, en esta una-al-día de 2008: “Hoy goodware, mañana no sé“. En un modelo interconectado, el concepto de malware es difícil de definir, no en sus acciones (que pueden estar más o menos claras) sino en el tiempo. No es que se haya encontrado un “potencial malware” en la AppStore, es que cualquier aplicación cuya lógica se traslade al servidor puede cambiar su comportamiento en el sistema y ser goodware hoy, pero no sabemos cómo ni qué hará mañana. “La nube“, la lógica en remoto, llegó al malware antes que a los titulares de los blogs. Con esto los creadores consiguen despistar a los analistas. Solo se activan ante eventos concretos, y desplazan el payload a una dirección URL o secuencias de comandos que esperan a través de cualquier protocolo. El archivo en sí puede ser de lo más inocente, excepto cuando recibe un estímulo adecuado. Si a esto unimos que para ahorrar recursos, tanto los laboratorios o motores en local no suelen analizar dos veces una muestra a menos que su hash, ubicación, etc. haya cambiado, tenemos que un malware puede pasar desapercibido mucho tiempo si tiene la paciencia necesaria… y precisamente paciencia y tiempo es de lo que disponen los creadores de malware profesional y dirigido (conocidos como APT) tipo FinFisher y otros que aún desconocemos. Si aguardas pacientemente a enviar los estímulos adecuados a tu muestra, puede que quede olvidada y catalogada como “inocente” durante un largo periodo.

En resumen, el malware “potencial” sí que existe, y en él caben infinidad de definiciones. En el caso concreto del juego para iOS, parece que ni siquiera podría llegar a ser técnicamente una amenaza, por lo que no resulta precisamente paradigmático para definir el gran problema, real, que sufren las casas hoy en día para catalogar el malware. Pero sí es un “aviso” perfecto de cómo, en un futuro, es más que probable que alguien consiga eludir el filtro del AppStore distribuyendo una aplicación inocente… pero solo “en principio“.

Hoy goodware, mañana no sé

Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial

Sergio de los Santos

Twitter: @ssantosv