viernes, 10 de mayo de 2013

El malware "potencial" de la App Store

En los últimos días ha sido noticia la detección de un "potencial malware" en la App Store. Se supone que esto quiere decir que un juego legítimo podría ser un malware o tener un comportamiento malicioso en un momento dado. Esta definición, aunque extraña, esconde una serie de hechos interesantes.

En resumen, la situación era la siguiente. Un juego llamado "Simply Find It", muy reputado en la AppStore, fue detectado por el antivirus BitDefender para iOS como Trojan.JS.iframe.BKD. Otros antivirus para iOS, no sospechaban de ella. Se continuó explorando la aplicación y se encontró que el fichero de audio Payload/SpotDiffHD.app/day.mp3 contenía la referencia

iframe src=http://x.asom.cn

en su interior. Por lo que en realidad, la aplicación solo contenía un enlace a una URL históricamente conocida por repartir malware intentando infectar a los navegadores que la visitaban. La URL se encuentra desactivada desde hace tiempo y además se le conoce por alojar malware para Windows. ¿Qué hacía ahí esa URL, en una aplicación para iOS reputada y reconocida que, además, no hacía daño real al teléfono?

Preguntar a Apple, como de costumbre, no servía de mucho. Su oscurantismo en los métodos de "filtrado" en la AppStore es absoluto, y ni ellos ni el responsable del juego arrojaron luz en el asunto. Solo se podía especular sobre que el archivo mp3 sí que estaba o había estado infectado de alguna forma, pero no había sido analizado por Apple por no considerarse "ejecutable".

Especulaciones y conclusiones

Poco más se puede decir sobre esta "anécdota". El juego no representa amenaza alguna para los usuarios de iOS, y aunque se activase de nuevo la URL, puede que nunca lo sea. Pero hay más especulaciones y conclusiones que se pueden sacar.

La primera puede estar relacionada una vez más con los motores antivirus y sus detecciones. La voz de alarma la lanza un antivirus "demasiado" sensible. Esto es el mayor enemigo de los motores y en la que se juegan su reputación. Una tasa aceptable de falsos positivos es difícil de establecer, pero lo cierto es que los antivirus prefieren "dejar pasar" a que "deje de funcionar", o sea, una tasa de falsos positivos lo más baja posible, aun a costa de que se cuele malware. Pero, ¿se trata este caso concreto de un falso positivo? En realidad es posible que el fichero mp3 se encontrara alojado en un momento dado en un Windows infectado y se le incrustaran metadatos de alguna URL maliciosa. Una situación muy parecida se dio en 2008 con los plugins de Firefox (a un fichero HTML de una extensión se le añadió JavaScript malicioso durante el tiempo que se alojó en un Windows). Bitdefender avisó de que, al menos, algo raro había pasado, lo que puede ser correcto, pero desde luego para un usuario no técnico, la alerta no queda clara y puede provocar más confusión que beneficio. Esta lucha entre la simplificación para el usuario, la detección eficaz, y mantener a raya los falsos positivos, es el pan de cada día para la mayoría de casas antivirus... y dudamos de que ninguna haya encontrado la solución deseada aún.

Otra conclusión es la que venimos advirtiendo desde hace muchos años, por ejemplo, en esta una-al-día de 2008: "Hoy goodware, mañana no sé". En un modelo interconectado, el concepto de malware es difícil de definir, no en sus acciones (que pueden estar más o menos claras) sino en el tiempo. No es que se haya encontrado un "potencial malware" en la AppStore, es que cualquier aplicación cuya lógica se traslade al servidor puede cambiar su comportamiento en el sistema y ser goodware hoy, pero no sabemos cómo ni qué hará mañana. "La nube", la lógica en remoto, llegó al malware antes que a los titulares de los blogs. Con esto los creadores consiguen despistar a los analistas. Solo se activan ante eventos concretos, y desplazan el payload a una dirección URL o secuencias de comandos que esperan a través de cualquier protocolo. El archivo en sí puede ser de lo más inocente, excepto cuando recibe un estímulo adecuado. Si a esto unimos que para ahorrar recursos, tanto los laboratorios o motores en local no suelen analizar dos veces una muestra a menos que su hash, ubicación, etc. haya cambiado, tenemos que un malware puede pasar desapercibido mucho tiempo si tiene la paciencia necesaria... y precisamente paciencia y tiempo es de lo que disponen los creadores de malware profesional y dirigido (conocidos como APT) tipo FinFisher y otros que aún desconocemos. Si aguardas pacientemente a enviar los estímulos adecuados a tu muestra, puede que quede olvidada y catalogada como "inocente" durante un largo periodo.

En resumen, el malware "potencial" sí que existe, y en él caben infinidad de definiciones. En el caso concreto del juego para iOS, parece que ni siquiera podría llegar a ser técnicamente una amenaza, por lo que no resulta precisamente paradigmático para definir el gran problema, real, que sufren las casas hoy en día para catalogar el malware. Pero sí es un "aviso" perfecto de cómo, en un futuro, es más que probable que alguien consiga eludir el filtro del AppStore distribuyendo una aplicación inocente... pero solo "en principio".

Más información:

Hoy goodware, mañana no sé
http://unaaldia.hispasec.com/2008/05/goodware-manana-no-se.html

What’s a known source of malware doing in an iOS app? Ars investigates
http://arstechnica.com/security/2013/05/whats-a-known-source-of-malware-doing-in-an-ios-app-ars-investigates/

Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial
http://unaaldia.hispasec.com/2008/05/un-plugin-de-firefox-infectado-con.html

iOS app contains potential malware
http://www.macworld.com/article/2037099/ios-app-contains-potential-malware.html


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv
Etiquetas: , , , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017