Tu celu también puede trabajar para el mal

(Por Rubén Borlenghi, el Microsaurio) Las historias de computadoras infectadas que integran redes esclavas al servicio de delincuentes, sin que sus dueños lo sepan, no son novedad. Desde hace un par de años, los teléfonos celulares son atacados para agregarlos a botnets. ¿Para qué se usan? Para ganar dinero, por supuesto. Total, están encendidos casi todo el día, y el gasto lo pagás vos…

Las historias de compus parasitadas para que trabajen al servicio de un delincuente ya son viejas. Hay quienes las usan en provecho propio, hay quienes alquilan los grupos de máquinas esclavas, eso que se llaman botnets, y hay quienes proveen de software a los que quieren tener su propia tropa de zombis. La forma más elemental de usarla es armando un servicio para enviar mensajes de correo electrónico publicitario del tipo sp*m. También se alquilan botnets para producir ataques distribuidos de denegación de servicio. En fin, la imaginación empresaria de los delincuentes de la Red no tiene límites.
Entre estos casos está el de AnserverBot, un malware muy complejo, diseñado para funcionar sobre equipos que utilicen Android. En el muy completo informe sobre AnserverBot preparado por Pablo Ramos, especialista argentino del laboratorio latinoamericano de ESET, encontré estos datos:

• Es un malware detectado en teléfonos celulares con Android del área comercial bajo influencia de China y Hong Kong (todo el sudeste asiático)
• Está insertado dentro del código de aplicaciones para Android aparentemente legítimas
• Estas aplicaciones se ofrecen en repositorios alternativos, diferentes del Android Market

Al avanzar en el análisis de este malware, la nota del blog de ESET nos informa que en su primera ejecución luego de la descarga al celular, la aplicación muestra una ventana donde informa que se trata de una actualización. ¿Quién negaría que se instale una actualización de algo, en estos tiempos?
Luego, según parece, muestra más ventanas solicitando permisos de instalación. Y siempre habrá gente con el clic fácil.
El resultado final es un celular que termina comunicándose con su “jefe”, el programa de Comando y Control configurado por el delincuente de turno.

Haciéndose el disimulado
Aquí el investigador nos cuenta que se encontró con una novedad: en lugar de conectarse (a escondidas, claro) con algún server truchex, el celu parasitado por AnserverBot se comunica, a través de la Internet, con una dirección web que aloja un “inocente” blog. Mirá vos. Dentro de la página visitada hay código escondido; un conjunto de instrucciones que interrogan al celu-zombi, descargan más malware, y le dan los datos necesarios para que se ponga a trabajar a las órdenes de su jefe delincuente.
¿Cómo llegaron esas instrucciones al blog? Bueno, ¿cómo se carga el contenido de un blog? Posteándolo, por supuesto. Lo que sucede es que en este caso se postean algunos textos cifrados, de tal manera que las instrucciones del delincuente a sus robots no se pueden conocer sin un trabajo de desofuscamiento.
Luego de cargar las órdenes cifradas, y para usar el celu a fin de atacar a otros teléfonos, enviando SMS con malware, u otras lindezas, sólo hace falta la decisión del operador del centro de Comando y Control.

El delincuente se cuida y yo me pongo curioso
Entre las instrucciones que contiene el código de AnserverBot hay un mecanismo de protección: detectar y borrar archivos de software antivirus, en este caso “mobilesafe”, “qqpimsecure” y “lbe security”.
Y ahí me atacó la curiosidad. Así que me puse a buscar, aunque no es ninguna novedad que el código de un malware incluya la orden de borrar archivos de empresas de seguridad informática; es una práctica que ya cumplió unos veinte años.
El mobilesafe es un software distribuido por la empresa Qihoo380; qqpimsecure es el producto PIM Secure de QQ, nombre del programa de chat de Qihoo380. La tercera aplicación mencionada es de LBE, otra empresa proveedora de software de seguridad.
Las tres son de China continental. Tencent tiene presencia en África desde 2001, y, además, es controlada por el gobierno chino al 100%, a tal punto que en algunas ocasiones se la acusó de “filtrar” búsquedas para que no aparecieran grupos disidentes. Ah, eso de “filtrar contenidos de Internet” lo puede porque es ISP, provee alojamiento y conectividad, y usa un sistema tipo “messenger” propietario (QQ), además de mantener portales de Internet para móviles, programas de red social y buscadores Entre las tres tienen unos mil millones de usuarios, y las tres (Tencent, Qihoo360 y LBE) proveen software de seguridad, gratuito y pago, para PC y móviles…
¿Vas entendiendo porqué era tan importante que AnserverBot buscara y borrara las configuraciones de seguridad de estas tres empresas? Las probabilidades de que alguno de los productos de protección estuviera instalado en un celu atacado eran altísimas. Ah, claro: la que es ISP, además provee software de e-commerce. Todo cierra…

La pregunta del final: ¿y por casa…?
Antes de completar la nota, consulté a Pablo Ramos sobre la posibilidad de que un malware tan peligroso, tan astutamente programado, apareciera por estas pampas.
Me contestó “…en lo que respecta a este tipo de amenazas, no hemos tenido ningún reporte o detección de códigos maliciosos parecidos a AnserverBot fuera de China; sí conocemos otros códigos maliciosos con capacidades de bot en el resto del mundo; pero no se comunican a través de blogs…”
Así que, por ahora, podemos respirar tranquilos.
Lo que no me atrevo a calcular es el Delta del “por ahora”.

Imagen de El Androide Libre