Los atacantes convierten proyectos de program en dificultades en …



Si bien el acceso a sistemas comprometidos se ha convertido en un servicio cada vez más común, algunos ciberdelincuentes van directamente a la fuente: compran bases de código y luego actualizan la aplicación con código malicioso.

El 4 de diciembre, los usuarios de un programa uncomplicated de Android, un escáner de código de barras, comenzaron a presenciar un comportamiento extraño cuando sus teléfonos inteligentes de repente comenzaron a abrir su navegador para mostrar anuncios no deseados.

Si bien los dispositivos exhibían las características de una infección de malware o adware, los compromisos desconcertaron a la mayoría de los usuarios, ya que no habían descargado program nuevo recientemente, según un análisis de la firma de seguridad de terminales Malwarebytes. En cambio, los comportamientos maliciosos provienen de una actualización de program a una aplicación common, el genérico «Barcode Scanner», con millones de descargas. Un grupo emprendedor compró el código y luego envió una actualización maliciosa a cada usuario de la aplicación.

El ataque a la cadena de suministro es una nueva técnica: comprar aplicaciones, junto con su base de program y luego lanzar actualizaciones con código malicioso, que probablemente crecerá en popularidad entre los ciberdelincuentes, dice Nathan Collier, analista senior de inteligencia de malware en Malwarebytes.

«Ahora que se ha hecho esto, definitivamente puedo ver que sucederá más en el futuro», dice. «Honestamente, para los desarrolladores de malware es genial que puedan hacer esto: dejar que alguien más cree algo, tenerlo en Google Play durante años. Estás comprando la capacidad de actualizar a todos los usuarios a una nueva versión de la aplicación. «

Un segundo grupo ya utilizó una táctica related para infectar a millones de usuarios con código malicioso a través de una well-known extensión de Google Chrome. A principios de febrero, Google eliminó la utilidad Wonderful Suspender para Chrome, que cut down la memoria consumida por el navegador al cerrar los procesos de pestañas antiguas, después de que el mantenedor unique del proyecto de código abierto vendiera el código a un grupo desconocido. Los usuarios de la extensión notaron en octubre de 2020 que los nuevos propietarios habían instalado un código actualizado en los sistemas de los usuarios sin notificación, un código que parecía comportarse de manera comparable al adware.

La técnica para distribuir código malicioso surge cuando los desarrolladores y las empresas de seguridad intentan detectar atacantes que comprometen las bases del código e insertan modificaciones maliciosas. Saltarse los requisitos iniciales de comprometer la foundation del código simplifica el ataque, dijo el director ejecutivo de Bishop Fox, Vinnie Liu, a Darkish Looking through a principios de este mes.

«El ciclo de vida del desarrollo seguro se ha centrado durante 15 años en prevenir la introducción inadvertida de vulnerabilidades por parte de los desarrolladores, y no en identificar y prevenir la inserción intencionada de código malicioso o comportamiento en una aplicación existente», dijo. «Los desarrolladores no están preparados para esto. La mayoría de los programas de seguridad empresarial no están preparados para esto».

Sin embargo, pagar por el acceso a un sistema susceptible no es necesariamente nuevo. Los servicios de los ciberdelincuentes que venden acceso a sistemas ya comprometidos han evolucionado durante la última década estos servicios ahora representan una gran cantidad de infecciones de ransomware. En 2016, los expertos en ciberseguridad ya estaban advirtiendo sobre la aparición de sitios de acceso como servicio utilizados por los ciberdelincuentes.

Otros grupos del mercado gris utilizan un enfoque más sutil, creando kits de desarrollo de software package publicitario (SDK) utilizados por los desarrolladores para monetizar sus aplicaciones, pero luego agregando publicidad agresiva o incluso código malicioso al componente de terceros. En agosto, por ejemplo, los investigadores de la firma de seguridad Snyk revelaron que un SDK utilizado por más de 1.200 aplicaciones de iOS había adoptado un código para espiar a millones de usuarios.

Comprometer directamente la cadena de suministro también se está volviendo más común. Muchos ciberdelincuentes y operadores estatales se han dirigido a proveedores y program populares, como el compromiso de application que permitió la propagación de NotPetya y el ataque a SolarWinds, como una forma de infectar eventualmente a las empresas que utilizan el program.

Sin embargo, al apuntar a proyectos de software en dificultades pero populares, los ciberdelincuentes han agregado otra puerta a la cadena de suministro para su código.

La aplicación Barcode Scanner detrás del último caso apareció en la tienda Google Participate in en 2017 como una aplicación legítima impulsada por anuncios con decenas de miles de usuarios, según Malwarebytes. En el momento de su venta a una organización llamada LavaBird LLC, la aplicación tenía alrededor de 10 millones de descargas y una amplia base de usuarios, según Malwarebytes. LavaBird dice que la compañía luego se lo vendió a otro tercero, quien hizo las modificaciones maliciosas, dice Collier.

«La versión limpia estuvo ahí durante mucho, mucho tiempo … así que estaba creciendo y creciendo y creciendo antes de que LavaBird la adoptara», dice. «Lo compraron con la intención de venderlo lo más rápido posible, pero el problema es que no verificaron a quién se lo estaban vendiendo».

¿Debería exigirse a los desarrolladores que realicen la debida diligencia con los compradores? Collier dice que no está tan seguro. En cambio, la empresa detrás del ecosistema, ya sea Apple, Google, Microsoft u otro, debe asegurarse de que las comprobaciones de seguridad de las actualizaciones sean tan rigurosas como las de la aplicación original, especialmente si el responsable de mantenimiento ha cambiado.

«Google realmente solo mira en profundidad cuando el código se carga por primera vez», dice. «Mirando el código, este habría sido fácil de detectar. Descargué la aplicación y en cinco minutos estaba abriendo Google Chrome y haciendo redireccionamientos».

Sin embargo, reconoció que las empresas de seguridad también deben adaptarse a la nueva estrategia.

«Para ser justos, en defensa de Google, los proveedores (de seguridad móvil) ni siquiera lo estaban detectando de inmediato», dice Collier. «Fue astuto, se deslizó y funcionó».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Technological innovation Evaluate, Well known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary