Los rootkits para Android están a la vuelta de la esquina
En un intento de ilustrar cómo podría ser una nueva generación de malware móvil, varios investigadores de seguridad realizarán la demostración de un programa “rootkit” malicioso que han desarrollado para el móvil Android. Lo harán el próximo mes en la conferencia especializada en hacking Defcon, que se celebrará en Las Vegas.
Una vez instalado en el teléfono Android, este rootkit puede activarse vía una simple llamada telefónica o SMS, proporcionando a los atacantes una herramienta sigilosa y difícil de detectar para el robo de datos del móvil o la redirección de las llamadas del usuario a un destino no deseado.
Los rootkits son programas sigilosos diseñados para encubrir su rastro sobre el sistema operativo y evitar así ser detectados. Llevan tiempo tomando como objetivo Windows y Unix, pero la parte más difícil de desarrollarlos para Android reside en averiguar como aprovechar las nuevas funcionalidades móviles haciendo al mismo tiempo que el software corra sobre la plataforma sin dejar indicios, según Christian Papathanasiou, consultor de seguridad de Trustwave, la compañía estadounidense que ha creado el rootkit.
Dado que el rootkit corre como un módulo en el kernel Linux de Android, disfruta del mayor nivel de acceso al teléfono y puede, en consecuencia, constituir una poderosa herramienta para los atacantes. Por ejemplo, es posible su uso para redirigir las llamadas de la víctima emitidas a un número de emergencias a otro número, seguir su localización o incluso reencaminar su browser a algún sitio web malicioso. “Dado que se actúa con el kernel, las oportunidades de abuso son ilimitadas”, explica Papathanasiou.
No obstante, por sí mismo, el rootkit de Trustwave no representa una gran amenaza para los usuarios de Android. Antes de aprovecharlo, el delincuente necesitaría averiguar la forma de instalar el software sobre el teléfono de la víctima. Algo que podría realizarse mediante su integración como elemento de alguna aplicación maliciosa comercializada vía Android Market, o explotando alguna brecha no parcheada en el kernel Linux del sistema operativo móvil de Android.