sábado, 19 de marzo de 2011

Tras la pista de los piratas que atacaron la tienda de aplicaciones de Google

Por Spencer Ante

Los investigadores de seguridad informática que están tratando de descifrar el reciente ataque contra el la tienda de aplicaciones Android Market de Google, están examinando las huellas dejadas por los hackers para tratar de entender cómo y porqué fue perpetrado el ataque.

Google dijo que 58 aplicaciones maliciosas fueron cargadas al Android Market y luego descargadas por alrededor de 260.000 aparatos antes de que Google retirara las aplicaciones en la noche del martes pasado. No está claro cuántos usuarios activaron las aplicaciones, dijo un portavoz de la compañía. Pero los usuarios que activaron las aplicaciones, entre las que estaban Súper Guitar Solo, Advanced Barcode Scanner, Bubble Shoot y otros muchos, corrieron el riesgo de que sus datos personales fueran robados de su teléfono y de que fueran enviados a un servidor remoto.

Una pista potencial está en el servidor que fue utilizado para llevar a acabo el ataque. John Hering, presidente ejecutivo del proveedor de seguridad móvil Lookout, dijo que como parte de la investigación del incidente que hizo la compañía se encontró que el servidor que comandó y controló el ataque y que recibió los datos robados de los teléfonos inteligentes, se originó en Hurricane Electric, un proveedor de servicios de Internet, con sede en Fremont, estado de California. Hering dijo que su compañía contactó a Hurricane Electric en la mañana del 2 de marzo enseguida de que descubriera el rol del servicio en el ataque y le pidió a la compañía que sacara de funcionamiento.

El 9 de marzo, Benny Ng, director de marketing de Hurricane Electric, confirmó que el servidor estaba alojado en las instalaciones de la compañía en Fremont y que fue desactivado. Sin embargo, Ng dijo que el servidor no era propiedad de Hurricane sino de un revendedor, con el que la compañía se contactó y al que le pidió que lo desactivara. Ng, que no quiso nombrar al revendedor, dijo que Hurricane no podía desactivarlo porque no tenía la contraseña de la máquina. "Normalmente los revendedores son proactivos y los cierran", dijo.

[Droid]

Ng no dijo si su compañía fue contactada por las autoridades. Pero reconoció que recibe frecuentes citaciones legales de las autoridades solicitando información sobre servidores que han sido infiltrados.

"Quieren saber de quién es el servidor y su información de contacto", dijo Ng. "Y quieren información de facturación y a veces comunicaciones y correos electrónicos vinculados con la cuenta", explicó.

Otra pista con la que los investigadores están trabajando es el blog de un ingeniero de seguridad en Alemania que escribió sobre dos vulnerabilidades de software que fueron modificadas por "hackers" para crear el ataque DroidDream. El ingeniero no respondió a una solicitud de comentarios.

"Él es definitivamente un muchacho interesado en la plataforma Android y en el acceso al sistema operativo de un teléfono" (lo que se conoce como "jailbreaking"), dijo Chris Wysopal, principal ejecutivo tecnológico en la empresa de seguridad para computadoras Veracode.

Wysopal dijo que los desarrolladores de DroidDream posiblemente sean ávidos lectores del blog, el cual se encuentra alojado en el sitio blogspot.com, que irónicamente es propiedad de Google. Agregó que Google tiene acceso a todos los visitantes del blog.

Sin embargo, se encontró otra pista en las cuentas de los desarrolladores que publicaron las aplicaciones en el Android Market. "Lompolo", un usuario del sitio de compilación de noticias Reddit, descubrió las primeras instancias del malware DroidDream después de notar que un desarrollador había publicado versiones piratas de las aplicaciones legítimas usando el nombre de desarrollador "Myournet".

Posteriormente, Lookout dijo que descubrió que el mismo código corrupto había aparecido en decenas de aplicaciones más bajo otras dos cuentas de desarrolladores "kingmall2010" y "we20090202." No fue una tarea fácil ya que el código estaba oculto y encriptado, dice Hering.

El 5 de marzo, Google indicó en su blog que había suspendido las cuentas de los desarrolladores y que había contactado a las autoridades.

Los investigadores dicen que es difícil establecer la intención del ataque ya que fue descubierto antes que los perpetradores descargaran software adicional en los teléfonos. Pero dado el número de descargas y la sofisticación del ataque, especulan que los hackers trataban de crear un botnet o un conjunto de aparatos de cómputo que pudieran ser usados con fines ilícitos como enviar mensajes de spam o llevar a cabo ataques que desactiven a sitios web o distribuir spyware que puede ser usado para recopilar contraseñas y números de tarjetas de crédito.

No hay comentarios:

Publicar un comentario