Detección y eliminación de malware en dispositivos Android

Clase 7 de 22Curso de Análisis de Malware para Dispositivos Móviles

Clase anteriorSiguiente clase

¿Te has preguntado qué sucede cuando una aplicación maliciosa intenta instalarse en tu dispositivo móvil? Analicemos cuales son las etapas de ejecución asociadas a un malware móvil y de qué manera podemos detectarlo para eliminarlo posteriormente.

Imagina el siguiente entorno; estas a punto de descargar de una tienda no oficial una aplicación que dice ser una linterna. ¿Qué sucederá? lo primero que debes recordar es que las aplicaciones de tiendas no oficiales tienen más probabilidad de estar infectadas con algún tipo de malware en contraste con las que encuentras en la Play Store o App Store. Además, las aplicaciones innecesarias como una linterna, app de sonidos, hackear wifi, espías, ganar dinero gratis o cualquier otra que no forme parte de tus actividades diarias, te exponen a un grado bastante considerable.

Pero volviendo a nuestra app de linterna lo primero que te mostrará Android al descargar el APK e intentar instalarla es lo siguiente:

Esta es la primera barrera de Android contra aplicaciones que pueden ser maliciosas; los orígenes desconocidos. Es decir que un malware no puede instalarse de manera automática cuando lo descargas, a menos que tengas habilitada la opción de orígenes desconocidos permitidos o que se aproveche de alguna vulnerabilidad relacionada.

El segundo nivel de protección para los usuarios de Android es Google con su Play Protect. Al detectar una posible aplicación maliciosa o confirmada, mostrará el siguiente mensaje notificando que no permitirá la instalación de la aplicación por motivos de seguridad.

Esta es una de las barreras más fuerte que tiene a disposición el usuario de Android incluso si no tiene un antivirus. Por defecto Play Protect está activo en todos los dispositivos móviles, sin embargo en caso de tenerlo desactivado se instalará la aplicación y tendrás “satisfactoriamente” un malware en tu dispositivo.

La aplicación luego de instalarse descargará de internet algun troyano o en muchos casos ya viene embebido en la app. Ahora el atacante tiene control sobre tu dispositivo móvil y tu estas feliz con una app de linterna que promete “darte mas potencia” o “cambiar de color”. Lo que sucede con este tipo de aplicaciones es que terminamos por olvidarlas y allí es cuando el atacante puede aprovechar para ocultarla del menú de aplicaciones. Pero quedará visible desde configuración del teléfono y aplicaciones, así que podrás encontrarla directamente allí para eliminarla.

Con toda tranquilidad ahora el atacante intentará escalar privilegios en el dispositivo mediante exploits disponibles e intentar obtener permisos ROOT incluso si tu telefono no esta rooteado, el atacante podría hacerlo sin que tu te des cuenta, con por ejemplo una falsa actualización de seguridad que implique reiniciar el dispositivo.

Algunas de las técnicas utilizadas por los atacantes para obtener persistencia en el dispositivo son:

  • Simular ser una aplicación del sistema.

  • Bloquear la desinstalación luego de obtener permisos de administrador.

  • Técnicas de Tapjacking o superposición.

  • Bombas lógicas de tiempo.

Algunas de las formas de detectar un posible malware en el dispositivo son los siguientes puntos:

  • Consumo excesivo de batería sin razón alguna.

  • Rendimiento bajo sin tener aplicaciones que alto consumo.

  • Fallas repetitivas y repentinas de apps del sistema.

  • Sobrecalentamiento del teléfono estando bloqueado.

Recuerda que el mejor antivirus eres tú mismo, pero jamás sobrará tener uno pago en tu dispositivo. Normalmente no supera la licencia anual los $10 USD. Android por si solo te brinda soluciones a la seguridad asociada a las aplicaciones bastante sencillas pero eficientes, ya dependerá finalmente de ti si las aplicas para evitar ser la siguiente víctima de los cibercriminales.