Es más probable que te caiga un rayo que te infecte con malware móvil

En la conferencia RSA 2015, los investigadores de la firma de seguridad Damballa anunciaron que, en los Estados Unidos, es mucho más probable que te caiga un rayo que un infectado con malware móvil. Si bien esto respalda un estudio previo llevado a cabo por la compañía, Damballa sí encontró que sucedía algo muy extraño en los dispositivos móviles.

Seguimiento de tráfico malicioso

El negocio de Damballa es la defensa de violación automatizada basada en análisis de big data. Mientras trabajaba con un importante proveedor de servicios inalámbricos de EE. UU., Damballa pudo comparar datos de tráfico con URL maliciosas conocidas extraídas de unas 70, 000 muestras de malware móvil. "Fue un proceso un poco manual para eliminar los dominios comunes que probablemente no están asociados con el malware", explicó el investigador científico principal Charles Lever. "Fue doloroso."

En su investigación, Lever dijo que Damballa no tenía acceso a las cargas útiles de estas transmisiones, solo a las URL. La compañía dejó en claro que no tenía visibilidad en los datos del cliente.

El alcance del estudio de Damballa es enorme, centrándose en unos 151 millones de dispositivos por día, en comparación con los 25 millones cuando la compañía realizó el estudio en 2012. La compañía dijo que esto representaba el 50 por ciento del tráfico de datos móviles en los Estados Unidos. En estos casos, la compañía solo vio unos 9.688 dispositivos llegando a las URL asociadas con malware móvil.

Eso equivale a.0064 por ciento del tráfico que es malicioso. En el comunicado de prensa de la compañía, Damballa dijo que las probabilidades oficiales de los Servicios Meteorológicos Nacionales de ser alcanzados por un rayo eran significativamente más altas, con un 1, 3 por ciento.

Refugio seguro

Lever dijo que las conclusiones del estudio respaldaron la idea de que, si bien el malware móvil ha sido muy discutido en los círculos de seguridad (y por este autor). "Estamos encontrando muchas muestras de malware, pero no estoy seguro de que estas muestras lleguen a sus dispositivos", dijo Lever.

"Tenemos fuertes mercados propios en los Estados Unidos", continuó Lever, refiriéndose a la tienda de aplicaciones de Apple y la tienda de Google Play. Dijo que esas tiendas tienen buenas medidas de seguridad que han mantenido fuera a los peores actores e incluyen herramientas que permiten a Apple y Google deshabilitar o eliminar de forma remota las aplicaciones maliciosas que pueden encontrar su camino en los dispositivos de los usuarios.

Por supuesto, el estudio de Damballa tiene limitaciones. Por ejemplo, se centra en el tráfico de red potencialmente malicioso en lugar de instalaciones maliciosas reales en dispositivos móviles. También solo cubre la mitad de los EE. UU., Lo que deja a gran parte del mundo sin explicar. Lever dijo que es posible que las infecciones de malware móvil puedan ser mucho mayores fuera de los EE. UU. "Podría ver que es mayor, pero no podría decirlo empíricamente", dijo Lever.

Curiosamente, del tráfico móvil malicioso que observó Damballa, la mayor parte se caracterizaría como adware.

Tráfico sombrío

Pero si bien el malware móvil no tuvo una gran actuación en el estudio de Damballa, otra cosa sí. Además del tráfico asociado con el malware móvil, Lever explicó que Damballa también rastreó solicitudes de dispositivos móviles a otros tipos de infraestructura maliciosa. Esto podría ser una infraestructura para malware de escritorio, operaciones de phishing, botnets, etc. Lever explicó que estas solicitudes a partes sombreadas de Internet por parte de dispositivos móviles fueron significativamente mayores que las solicitudes a URL de malware móvil.

¿Cuánto más grande? Por varios órdenes de magnitud. Damballa informó 100, 000 solicitudes asociadas con malware móvil, que rastreó hasta esos 10, 000 dispositivos. Rastreaba 100 millones de solicitudes a sitios que parecían descargas automáticas, y mil millones (con una "b") solicitudes asociadas con malware que se dirige al escritorio. Nuevamente, todas estas solicitudes provienen de dispositivos móviles.

Lever dijo que aunque estas solicitudes sospechosas de los dispositivos móviles son "significativamente más grandes que lo que estamos viendo para el malware móvil", su causa es en gran medida desconocida.

Lever sugirió que parte del tráfico podría provenir de usuarios móviles que son víctimas de sitios de phishing. Otros expertos en seguridad han sugerido que el phishing podría ser más fácil en dispositivos móviles porque la pantalla comparativamente pequeña corta las URL sospechosas y el icono de bloqueo asociado con una conexión SSL no es visible.

A lo largo de la conversación, Lever se mantuvo en gran medida optimista sobre la seguridad móvil, pero al discutir estos hallazgos inusuales, tomó un giro decididamente negativo. Dijo que si bien lo que sea que estaba causando esta enorme cantidad de tráfico sospechoso de red podría no ser un problema hoy, podría serlo en el futuro. O incluso puede ser el resultado de aplicaciones maliciosas actualmente desconocidas.

• Android 4.1.1 aún vulnerable a Heartbleed Android 4.1.1 aún vulnerable a Heartbleed
• Las aplicaciones maliciosas de Android pueden hackear Gmail Las aplicaciones maliciosas de Android pueden hackear Gmail
• Mobile Threat Monday: Aplicaciones de Android Ocultar Windows Malware Mobile Threat Monday: Aplicaciones de Android Ocultar Windows Malware

"Es una gran área de riesgo que no se está estudiando bien en este momento y podría necesitar más investigación para descubrir de qué se trata", dijo Lever. "¿Es phishing? ¿Es spam? ¿Cuál es el desglose? ¿Y cuánto afecta actualmente a los dispositivos móviles y cuánto podría en el futuro?"

Esperemos que la investigación futura pueda armar este rompecabezas.