¿Os acordáis del Sindicato del Crimen de DC Comics? Esa especie de ‘asociación’ para hacer el mal integrada por Supervillanos que eran la cara B de la Liga de la Justicia en un universo paralelo. Pues, esta ‘pseudoagrupación’ también existe en pleno siglo XXI. En la era de Internet sería más bien, por bautizarlo de alguna manera, el Sindicato del Malware.
El malware mueve miles de millones de euros, estamos hablando de un negocio muy lucrativo para quienes se encuentran detrás de estos ataques, y la base de este particular Sindicato del Malware nos la encontramos en China, país caracterizado por ser el origen de numerosos ciberataques.
Además de estos ataques a objetivos concretos, los hackers chinos también están interesados en atacar en masa a los usuarios de Android, y la mayoría de ataques de importancia tiene su origen en un grupo muy particular de desarrolladores. Los descubridores de esto son los chicos de ElevenPaths, la compañía fundada por Chema Alonso y filial de Telefónica, habiendo publicado un interesante artículo al respecto en su blog.
¿Cómo se ha descubierto al ‘sindicato del malware’?
La compañía especializada en seguridad informática relata que, después de ver llegar una lluvia de amenazas con apenas semanas de diferencia, comenzaron a investigar con sus herramientas. Según los datos que averiguaron, llegaron a una conclusión: todas estas amenazas podrían haber sido creadas por un mismo grupo.
Eleven Paths sitúa el origen de este grupo de desarrolladores en 2014 como mínimo, y a lo largo de los meses han evolucionado para conseguir realizar ataques más desarrollados. También comentan que, de no ser el mismo grupo de desarrolladores, comparten una gran cantidad de recursos y formarían una alianza considerable.
¿Cuál es el objetivo de estos desarrolladores?
Si algunos ataques van dedicados a conquistar a un objetivo concreto, el objetivo para ganar dinero con virus de estos desarrolladores es instalarse en el mayor número de dispositivos posibles para mostrarles publicidad o realizar otro tipo de ataques. En otras palabras, consiguen dinero según los usuarios que alcancen, y el beneficio será mayor si consiguen que una gran cantidad de usuarios instalen sus aplicaciones maliciosas.
El gran problema de estos atacantes es que, para conseguir una buena cantidad de beneficios, sus aplicaciones deben llegar al mercado de aplicaciones más utilizado. Estamos hablando de Google Play, el mercado de aplicaciones por excelencia de Google que cuenta con protecciones además de un control por parte de la compañía de Mountain View. Y, aunque existen casos de malware que han conseguido sortear estas protecciones, son excepciones difíciles de lograr.
Por ello, estos atacantes siguen dos estrategias con sus aplicaciones:
- Por una parte, suben a Google Play aplicaciones maliciosas que tratan de ser poco invasivas, o incluso estar «dormidas» esperando a una orden para actuar. No despliegan todo el armamento para permanecer en los límites de lo legal, y suponen una fuente de ingresos constante para esos desarrolladores mientras tratan de conseguir una «excepción».
Una aplicación maliciosa que se cuela en Google Play suele durar poco tiempo, pero puede conseguir ser instalada en miles de dispositivos en el tiempo que tarda Google en eliminarla.
- Por la otra, suben a todos los mercados de aplicaciones alternativos las aplicaciones más agresivas, dado que en estos lugares no existe un control de las aplicaciones subidas tan exhaustivo. De esa forma consiguen estar presentes mucho más tiempo, pero la cantidad de usuarios que usan mercados de aplicaciones alternativos es mínima; no se puede vivir sólo de esto.
Además de colocar su publicidad en la mayor cantidad de dispositivos posibles, los atacantes también tienen otro objetivo: conseguir rootear dispositivos para robar información sin que el usuario se de cuenta, o dificultar la desinstalación a un usuario que quiera deshacerse de la aplicación. Esos ataques son los que suponen un verdadero ‘pelotazo’ para el grupo de desarrolladores, donde se encuentra su verdadero éxito.
¿Quiénes forman este equipo?
No podemos saber exactamente quienes componen este equipo de desarrolladores chinos dado que su identidad permanece en el anonimato. A pesar de eso, un equipo así de capaz no sólo está compuesto por desarrolladores: Sophos trata de analizar el personal esencial para realizar estos ataques en un estudio, y nos encontramos con los siguientes roles.
- Hackers capaces de descubrir vulnerabilidades
- Desarrolladores capaces de utilizar estas vulnerabilidades para crear herramientas
- Encargados de infectar la mayor cantidad de usuarios posibles, y después controlar la infección
- Traductores profesionales para hacer un engaño más convincente
- Mulas que mueven y manejan el dinero conseguido con los ataques
- Redes de criminales de «nivel bajo» que muevan el ataque, llevándose una comisión por hacerlo
¿Cómo se gana dinero con virus y malware?
No sólo este grupo chino realiza estas actividades; como hemos comentado antes, el malware es un negocio de lo más lucrativo, y existen diferentes formas de monetizarlo. Según el mismo estudio de Sophos, nos encontramos diferentes técnicas:
- Vender supuestos productos a través de tiendas virtuales, como la archiconocida Viagra o las gafas de Ray-Ban «tiradísimas de precio».
- Robando las claves de los usuarios para acceder a redes sociales, correo electrónico, o servicios bancarios en línea.
- Mostrar publicidad masiva al usuario, llevándose los beneficios de ello (este es el caso del que hablábamos arriba)
- Antivirus falsos que nos cobran para «supuestamente» limpiar nuestro ordenador de amenazas.
- Cifrar nuestros datos para hacerlos inaccesibles y secuestrarlos; si no pagamos los perderemos.
- Spam en redes sociales y otros sitios, más allá del correo electrónico
- Tratar de conseguir nuestro número de teléfono para enviarnos SMS Premium, de esos que se notan en la factura.
¿Cómo podemos evitarlo?
El primer paso que debemos tomar es sencillo: tratar de evitar los mercados alternativos y las fuentes de poca confianza, instalar las aplicaciones desde fuentes oficiales o de confianza como Google Play o la página del desarrollador. Mantener nuestro dispositivo Android actualizado -tanto actualizaciones corrientes como actualizaciones de seguridad- y evitar aplicaciones que parezcan sospechosas también son medidas recomendables.