Actividad N°2

SITUACION ACTUAL

La presente lectura brinda un informe sobre la situación del malware para Android, un
informe elaborado por Kaspersky Lab y CISCO mencionan que el 99% de los programas
malicioso móviles o malware está orientado a Android. Por su parte Kindsight Securitu Labs
estimo 15 millones de dispositivos móviles infectados en todo el mundo, 4 millones más que
finales de 2013, de los cuales 60% son Android. Del mismo modo se menciona que los
controles de seguridad que incorpora no son 100% fiables, problemas de vulnerabilidad son
comunes en dicha plataforma, los controles de seguridad del servicio de google a la hora de
la publicación no son infalibles y el alto porcentaje de las aplicaciones para Android no se
desarrollan utilizando metodología de seguridad por diseño u otras como OWASP y
OASAM.

SOBRE EL ESTUDIO

Todo esto provoca que los cibercriminales, busquen explotar la inexperiencia y credulidad
de los usuarios.

Ante lo expuesto, súrgela necesidad de analizar las características técnicas del malware:
«Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado.» (El
arte de la guerra – Sun Tzu).

MODELO DE SEGURIDAD DE ANDROID

Para entender este concepto, primero analizares el modelo de seguridad de dicho sistema
operativo móviles, la cual está basada en un modelo multicapa:

- Aplicaciones, nivel más alto y formado por las aplicaciones por defecto y los que el
usuario instale con posterioridad.
- Framework, contiene las funcionalidades llave del sistema, como Package Manager
que permite instalar/borra aplicación, ActivityManager que maneja el ciclo de
actividad de cada aplicación.
- Librerías, conjunto de librerías que utilizan los componentes del sistema.
(multimedia, motor gráfico o motor de base de daros SQLITE).
- Android Runtime, formado por dos componentes, las librerías de CORE y la
máquina virtual Dalvik o su sucesora ART. Las aplicaciones son ejecutadas en este
escenario con el fin de dotas de un entorno de seguridad al modelo.
- Kernel, capa de abstracción entre HW y SW. Incluye servicios esenciales como
gestión de memoria o procesos, o los drivers para interactuar con la cámara, audio,
Wi-Fi, etc.

Pese a este modelo de seguridad diseñado para prevenir ataques de ingeniería social, que
buscan la instalación de aplicaciones de terceros, controles de contenido ilegal entre otros y
sistema de verificación de aplicaciones y todas las multicapas, presenta algunas deficiencias
que deben ser mejoradas, como que las aplicaciones deben requerir de una autoridad
certificador, posibilidad de crear permisos y se asume riesgo para la privacidad, aplicar
controles más exhaustivos.
FORMATO APK

Formato APK son las aplicaciones Android comprimidas y listas para ser instaladas en el
sistema. Su estructura es la siguiente: AndroirManifest.xml (fichero de configuración),
classes.dex (código compilado de aplicación), resources.arsc (fichero de recursos
compilados), META-INF (directorio que almacena la firma digital), res (directorio que
almacena los recursos utilizados) y lib (directorio que contiene el código compilado.

ANALISIS DE MUESTRAS

Dentro de la muestra se brindará información de los aspectos y componentes del APK.

Iniciaremos el tipo de fichero más repetidos, de los cuales el más usado es “.png”, de igual
forma mencionar se tiene un total de 11,925 ficheros son de extensión. APK, es decir que
contienen a su vez APKs, lo que supone a instaladores de alguna actividad maliciosa. Un
punto de análisis se tomo el tema de APK firmadas, la cuales antes de su publicación en
Google Play deben estar firmadas digitalmente con un certificado antes de ser instalado,
cabe mencionar que solo 191 tienen distinto emisor de certificado, esto lo hace confiable
ante el 99.98 % de auto-firmado. De igual forma mencionar que algunas incluyen publicidad
con el fin de rentabilizarlas (Apps gratuitas con publidad) o utilizar otro modelo de negocio,
como Apps de pago, App “freemiun” y suscripción.

Por lo que existe un notable riesgo de que dichos archivos APK hayan sido modificados para
introducir malware (elementos maliciosos) o adware (inyección de publicidad). Antes de
instalar un APK que se haya descargado desde ubicación nosotros te recomendamos que
compruebes su autenticidad, especialmente si el sitio del que lo descargaste no es 100 %
fiable.

Android es un sistema fragmentado en varias versiones, este hecho supone que el

rendimiento de las aplicaciones sea distinto o incluso el acceso a distintas características o
funcionalidades del dispositivo. Es por todo ello que las aplicaciones en Android se
desarrollan
estableciendo diferentes parámetros como “MinSDKVersion”, “MaxSDKVersion” y
“TargetSDKVersion”. Estos valores corresponden a la versión mínima de Android compatible
con la aplicación, a la versión máxima de Android compatible con la aplicación y a la versión
óptima, y normalmente con la que la aplicación ha sido testeada.

En este informe se definió un tiempo de exposición a la amenaza al tiempo transcurrido

desde que se ha creado una aplicación hasta que ha sido remitida al servicio de VirusTotal.
El resultado arrojo que casi la mitad de aplicaciones tiene un tiempo de exposición muy alto
(de más de 3 meses), el 13 % tiene bajo o muy bajo (menor a una semana) y 19% (14,384)
se ha falseado la fecha de compilación del sistema.

En uso de plataforma para desarrollo de APKs, se obtiene que el 98% es Windows y 2%

Linux, lo que también parece que los desarrolladores no son demasiado partidarios de OSX.

Únicamente un 3% de las aplicaciones analizadas son previsiblemente aplicaciones alojadas

en Google Play que han sido descargadas y modificadas para ser maliciosas.
Dentro de permisos de Android este se clasifica en dos, protección (Protection Level) y
grupos de permisos (permission group), De los 20 permisos más solicitados por las
aplicaciones, el 15% corresponden a permisos con protección “normal”, el 75% “dangerous”
(riesgo real para el usuario) y el 10% “signatureOrSystem” (firmadas por el mismo certificado
para el usuario o sistema). Los primeros permisos que debemos controlar son los más
básicos, pero no por ello menos importantes. Ejemplos claros: el almacenamiento que sirve
para poder adjuntar archivos, micrófono para poder enviar notas de voz, contactos para
recomendarnos amigos o SMS para comprobar tu número de teléfono.

También hablamos de los “services” (componentes de ejecución sin interacción por parte del
usuario), “receivers” (componentes de recepción de acción que son trasmitidas por el
sistema o aplicación), “proveedores” (componentes que permiten compartir información con
otras aplicaciones) se identificó 2% que no está demasiado extendido a aplicación
maliciosas, “activities” (actividades de la interfaz de usuario de una aplicación) el 0.3% no
incluye esta característica.

La complejidad basada en los componentes del párrafo anterior, mencionara que el 8.11%
tiene complejidad baja, 52.89% complejidad media, 29.81% complejidad alta y 9.19%
complejidad alta.

Con respecto a la peligrosidad, podríamos indicar que menos del 1% de las aplicaciones
maliciosas analizadas tienen una peligrosidad menor al 50%.

Por otro lado, los idiomas más entendidos son inglés, chino y rusos, algo lógicos ya que son
públicos objetivos con mayor cuota del mercado global, motivo que un 30.19% de
aplicaciones no haya sido posible concretar el idioma. También se menciona que solo 11%
de aplicación con idiomas alternativos (Multi-idioma).

Considerando la conexión que realizan las aplicaciones, se ha comprobado donde se

encuentran alojados siendo la de mayor cantidad Rusia y Estados Unidos, y algunos
dominios que establecen conexiones con las aplicaciones maliciosas y tener en cuenta que
esto no implica que la URL sea maliciosa, en muchos casos corresponden a los servicios de
monetización.

Para finalizar el informe y en términos de seguridad, se ha comprobado que un total de 55

motores detectaron cada una de las muestras, solo las 6 muestras de 76.000 son
detectadas por 10 antivirus. Utilizando dichas detecciones determino el tipo de malware,
siendo el mayor Trojanos (68.85%), Adware(18.97%), Riskware(15.40%), Spyware(0.23%) y
Otros(0.55%).

Preguntas:
¿Cree que el primer documento sigue vigente tras la actualización de los datos del
informe de la situación 2017 (2ª lectura)? ¿Sí/No? ¿Por qué?

Creo que un punto importante es que la evolución de la tecnología, hace dependencia de

uso de un móvil en las actividades diarias (66% de la población mundial cuenta con un
dispositivo móvil), por otro lado, y respondiendo a la pregunta NO creo, ya que a
consecuencia de avances tecnológicos en todos los campos, y aumento de nuevos
mecanismos de infección para consolidar un ataque ya sea a una persona natural o jurídica,
explotación de vulnerabilidades, la concientización de los usuarios y otros (exploits, trojanos,
etc) y también la concentración de ataques para los dispositivos móviles e IoT, según la
tendencia de la lectura 2, 75.44 mil millones de dispositivos conectados que se esperan en
el 2025, su gran mayoría estarán relacionadas: coches autónomas, asistentes virtuales,
chatbots, sensores de radiofrecuencia (RFID) bluetooth, realidad aumentada o tecnología
3D y pagos móviles. DE igual forma avanzara las soluciones, buscando mitigar riegos de
vulnerabilidad, seguridad, y otros. Ejemplos como autenticación biométrica o doble factor de
autenticación, mejoras en temas de seguridad de los sistemas operativos.

Conclusiones sobre la lectura 2.

La segunda lectura muestra la tendencia y avance en base a los usos de dispositivos

móviles e IoT, que está de manera creciente. Ya no solo estamos hablando de seguridad de
dispositivos móviles, sino también a todos los equipos que manejan información personal o
de uso laboral. “Aumentaron las detecciones de malware para iOS y también la cantidad de
vulnerabilidades detectadas en este sistema operativo, mientras que en el caso de Android
disminuyó la cantidad de vulnerabilidades reportadas, aunque creció el número de fallos de
criticidad alta reportados”. Denise Giusto. 03 Sep 2019. Análisis de la seguridad en
dispositivos móviles durante el primer semestre de 2019. Recuperado de
https://www.welivesecurity.com/la-es/2019/09/03/analisis-seguridad-dispositivos-moviles-primer-semestre-2019/.

Considerando lo mencionado, no solo se espera ataques a la plataforma Android, sino la

tendencia de uso de dispositivos de diversos modelos, marcas y funcionalidades aparecerán
a futuro, y que se debe adoptar mecanismos y procesos de estar preparados para cualquier
incidente; actualización de sistemas operativos, antivirus y la concientización del uso de
equipos son grandes forma de mitigación en estos riesgos de ataques cibercriminales.

La tendencia de los dispositivos en nuestras actividades diarias, no solo personal, también

en lo laboral. Considerar los nuevos ingresos de tecnologías como WPA3 y redes móviles
5G.