Una actividad inusual en un script malicioso en una página web infectada que ha puesto en riesgo a los usuarios de Android ha sido descubierta por expertos en informática que señalan que este script suele activar una descarga de exploits de Flash con la finalidad de atacar a los usuarios de Windows.
Sin embargo, según los analistas de Kaspersky Lab, este malware ha cambiado y ahora puede saber qué tipo de dispositivo están usando sus víctimas y buscar aquellos con versiones anteriores a Android 4.
Según señalan en su reporte, “para los ciberdelicuentes, infectar dispositivos Android es mucho más complicado que infectar ordenadores de Windows. El sistema operativo Windows, junto a una gran cantidad de aplicaciones, contiene vulnerabilidades que permiten que los códigos maliciosos se ejecuten sin la interacción del usuario. Esto no ocurre en el sistema operativo de Android, pues cualquier aplicación que se vaya a instalar requiere confirmación por parte del usuario”, aunque según han descubierto, “las vulnerabilidades en el sistema operativo de Android provocaron que este malware se ejecutase.”
El script contiene una serie de instrucciones para ser ejecutadas en el navegador, incrustado en el código del site infectado. El primer script fue descubierto en los dispositivos Android con un sistema operativo antiguo y posteriormente, fueron descubiertos otros dos scripts sospechosos.
“El primero de ellos era capaz de enviar un mensaje de texto a cualquier número de teléfono, mientras que el otro creaba un archivo malicioso en la tarjeta SD del dispositivo atacado. Este malware resultó ser un troyano capaz de interceptar y enviar mensajes de texto. De hecho, ambos scripts fueron capaces de realizar acciones con independencia del usuario: solo bastaba que se visitara una página web infectada.”
Esto fue posible porque los cibercriminales utilizaron exploits para numerosas vulnerabilidades en la versión Android 4.1.x y anteriores – CVE-2012-6636, CVE-2013-4710 y CVE-2014-1939-. A pesar de que Google las parcheó entre 2012 y 2014, todavía existe riesgo. Debido a las características de Android, muchos fabricantes de dispositivos lanzaron las actualizaciones de seguridad tarde y otros no las llegaron a lanzar debido a que algunos modelos quedaron obsoletos.
“Las técnicas usadas no son nuevas. Muchos proveedores de dispositivos Android deberían tener en cuenta el hecho de que las pruebas de concepto conducían inevitablemente a la aparición de exploits “armados”. Los usuarios de estos dispositivos deben ser protegidos con actualizaciones de seguridad, incluso cuando los dispositivos se dejan de comercializar”, ha asegurado Victor Chebyshev, experto en seguridad en Kaspersky Lab.
Para protegerse de este tipo de ataques, se recomienda seguir estos consejos:
- Mantener el software de tu dispositivo actualizado y permitir actualizaciones automáticas.
- Restringir la instalación de aplicaciones de fuentes alternativas a Google Play, sobre todo si se va a administrar varios dispositivos conectados a la misma red corporativa.
- Usar una solución de seguridad de calidad.