CUANDO LAS

APLICACIONES DE
ANDROID PIDEN
MS DE LO QUE
NECESITAN
Comprender los permisos de las aplicaciones
* Google ha puesto a nuestra disposicin el robot de Android, que aparece en
este libro electrnico segn los trminos de la licencia de Reconocimiento de
Creative Commons.
Se acaba de comprar un nuevo smartphone basado en Android...
y ahora qu? Pues sencillamente la parte ms emocionante: descargarse
las aplicaciones adecuadas para potenciar su funcionalidad. Puede que
incluso quiera descargarse un juego o dos, o quizs una pelcula o un
reproductor de MP3. Android le permite personalizar su dispositivo con
libertad, por lo que resulta muy atrayente para los que desean que sus
smartphones sean lo ms exclusivos posible.
Esta libertad total para personalizar un smartphone basado en Android
y la gran variedad de aplicaciones disponibles en Google Play son solo dos
de los motivos por los que la popularidad del sistema operativo sigue en
aumento.
En un informe reciente, Canalys arma que casi el 50% de ms
de 107 millones de smartphones vendidos en todo el mundo en
el segundo trimestre de 2011 se basaba en Android. Segn dicho
informe, en Asia/Pacco se vendieron ms de 39 millones de
smartphones basados en Android.
Un informe de Nielsen indica adems que Android
fue lder tanto en cuota de mercado como en
uso de datos en los Estados Unidos. Nielsen
tambin considera que los usuarios de
dispositivos basados en Android
instalaron un promedio de
35 aplicaciones cada uno.
LAS APLICACIONES
SOLICITAN
PERMISOS
PARA FUNCIONAR
Imagine que las aplicaciones de Android son los huspedes de un hotel.
Cada husped obtiene una tarjeta de acceso que le permite entrar en su
habitacin, en el vestbulo, en el bar y puede que en otras partes del hotel.
Esta tarjeta, no obstante, no le proporciona acceso a la cocina o a la
ofcina del director del hotel.
Como los huspedes del hotel, cada
aplicacin de Android que instala en
el dispositivo necesita determinados
permisos o una "tarjeta de acceso"
para poder funcionar. Los permisos
que otorga a cada aplicacin le indican
los recursos disponibles del dispositivo
que puede utilizar.
Muchas aplicaciones necesitan ms
funciones que las propias de los
dispositivos Android. Esto no signica,
no obstante, que todas las aplicaciones
que soliciten diversos permisos sean
maliciosas por naturaleza.
No existe una nica lista de permisos
para los dispositivos basados en
Android. Sin embargo, todos los
permisos que normalmente solicitan
las aplicaciones estn incluidos en el
kit de desarrollo de software o SDK
(en ingls, Software Development Kit)
de Android para desarrolladores de
aplicaciones.
El sitio Web Android Developers
tambin ofrece la denominada lista
Manifest.permission, que enumera
los permisos que las aplicaciones
bsicamente necesitan para trabajar
en un dispositivo basado en Android.
Solicitar permiso a los
usuarios para acceder a
determinadas funciones
evita la propagacin de
aplicaciones maliciosas
entre los dispositivos
Android. Por este motivo,
los ciberdelincuentes han
recurrido a la troyanizacin
de aplicaciones legtimas para
infectar los dispositivos y
realizar acciones maliciosas.
Actualmente, se
pueden descargar casi
250.000 aplicaciones en
Google Play. El gran nmero
de usuarios de Android es
probablemente el motivo
principal por el que los
ciberdelincuentes consideran
dichas aplicaciones como
objetivos del robo de datos.
GARANTIZAR
DEMASIADOS
PERMISOS
PUEDE CAUSAR
DAOS
Las aplicaciones solicitan determinados permisos para funcionar antes
incluso de su instalacin. Asegrese de leer los acuerdos de licencia de
usuario fnal (EULA) de las aplicaciones, ya que le ayudarn a clarifcar su
fnalidad. Las aplicaciones se basan en los permisos que usted les concede
para realizar las tareas que les corresponden.
Muchas aplicaciones solicitan su permiso para obtener acceso a Internet
y poder descargar actualizaciones. Otras solicitan permiso para consultar
el estado y la identidad de su telfono y, de este modo, evitar que las
llamadas interrumpan lo que estn haciendo. Lamentablemente, las
aplicaciones troyanizadas pueden manipular estos permisos para llevar
a cabo acciones maliciosas, por ejemplo, grabar sus conversaciones
y enviar informacin del dispositivo como el nmero de identidad
internacional de equipo mvil o IMEI (en ingls, International
Mobile Equipment Identity) a un centro de mando.
Puede ver los permisos que ha otorgado a las
aplicaciones despus de su instalacin. Para ello,
en los telfonos basados en Android 2.2. (Froyo),
vaya a Ajustes > Aplicaciones > Administrar
aplicaciones. Seleccione la aplicacin cuyos
permisos desea ver y desplcese por ellos
para consultarlos.
En agosto de 2010, detectamos
el primer troyano de Android,
que enviaba mensajes de texto a
determinados nmeros. La mayor
parte del malware de Android con
que nos hemos encontrado desde
entonces realiza una o varias actividades
maliciosas, como robar datos (ladrones de
datos), permitir el acceso remoto (aplicaciones de
puerta trasera), acceder a sitios fraudulentos (activadores de fraudes
por clics), escuchar llamadas y leer mensajes de texto personales e
informacin de contacto (espas mviles), descargar otro tipo de
malware (descargadores) y obtener privilegios administrativos o
de raz (rooting o activadores de raz).
A continuacin, indicamos los permisos que hasta ahora hemos comprobado
que normalmente solicitan las aplicaciones troyanizadas.
Comunicacin por red
Al activar Comunicacin por red, las aplicaciones pueden acceder a dispositivos
con Internet o habilitados para Bluetooth. Este permiso de Android es el que
ms se utiliza con nes delictivos, ya que las aplicaciones maliciosas necesitan
acceso a Internet para comunicarse con los centros de mando o para descargar
actualizaciones. Cuando concede este permiso a las aplicaciones,
capacita a los espas mviles y los ladrones de datos para enviar la
informacin que roban a usuarios remotos. Si deja el Bluetooth activado
en su dispositivo, el futuro malware de Android podra infectarlo como el
antiguo malware de Symbian OS.
Servicios con coste
El primer troyano de Android manipul el permiso de envo de mensajes
de texto, as como los permisos Llamadas telefnicas y Almacenamiento.
Tras obtener los permisos mencionados, dispona de la autorizacin
necesaria para enviar mensajes de texto a determinados nmeros con
recargo, lo que cost mucho dinero a los usuarios afectados, que pagaron
por servicios que ni siquiera haban utilizado. En este tipo de artimaa, los
ciberdelincuentes pueden pagar por determinados nmeros con recargo
para obtener un benecio de cada mensaje de texto que envan los
dispositivos basados en Android afectados.
Llamadas telefnicas
Tambin hemos detectado que el malware utiliza este permiso con nes
delictivos para robar registros de llamadas de dispositivos Android. El archivo
de registro se guarda como archivo .TXT y se enva a un centro de mando. Los
registros de llamadas son uno de los objetivos preferidos de los ladrones de
datos, dado que proporcionan ms informacin sobre los usuarios afectados.
Al otorgar el permiso Llamadas telefnicas a aplicaciones maliciosas,
estas pueden registrar las conversaciones y robar mensajes de texto. Esto
aumenta el riesgo que corren los que utilizan sus dispositivos para realizar
transacciones bancarias en lnea, ya que las credenciales que se facilitan por
telfono o a travs de mensajes de texto (SMS) pueden acabar en manos
de ciberdelincuentes, que esperan estos datos con avidez.
Herramientas del sistema
El malware que hemos observado manipula permisos como los necesarios
para iniciar automticamente durante el arranque, cambiar de estado
de Wi-Fi, cambiar la conectividad de red e impedir que el telfono
entre en modo inactivo. Este malware permite a los ciberdelincuentes
ejecutar sus propios servicios maliciosos. Veamos un ejemplo: una
aplicacin de juegos no necesita iniciarse automticamente cada
vez que enciende su telfono, por lo que no es necesario que solicite
permiso para hacerlo. De hecho, esto indicara que probablemente la
verdadera intencin de dicha aplicacin es ejecutar un servicio malicioso
de forma silenciosa en segundo plano cada vez que encienda su telfono.
Almacenamiento
Cuando se concede permiso a una aplicacin para modicar o eliminar el contenido
de la tarjeta de datos seguros (SD), dicha aplicacin puede leer, escribir
y/o eliminar cualquier dato incluido en la tarjeta. Los ladrones de
datos pueden manipular este permiso para almacenar una copia de
la informacin que han robado o guardar un .TXT, un .INI o un tipo de
archivo similar en su tarjeta SD antes de enviarlo a un centro de mando.
Adems, ofrece a la aplicacin maliciosa la posibilidad de sobrescribir
archivos existentes en la tarjeta SD.
Su ubicacin
Uno de los ladrones de datos de Android ms notables que hemos detectado
solicitaba permiso para conocer la ubicacin geogrca del usuario. Tenga
en cuenta que este tipo de informacin se puede utilizar para cometer
delitos en el mundo real, como el acoso. En la red, los datos geogrcos
pueden resultar tiles para enviar malware o spam de forma especca
por regin.
La mayora del malware de Android que hemos observado solicita como
mnimo tres permisos bastante inusuales para su uso normal. Este es un buen
indicador de ilegitimidad cuando se instalan aplicaciones. Le recomendamos
que piense detenidamente el tipo de permisos que otorga a una aplicacin antes
de confrmar su uso. ANDROIDOS_SPYGOLD.A, que troyanizaba Fast Racing,
por ejemplo, solicitaba diversos permisos que ese tipo de aplicacin de juegos
normalmente no necesitara para poder funcionar.
CMO EVITAR
OTORGAR
DEMASIADO
ACCESO A LAS
APLICACIONES
No olvide que, dado que Android le ofrece la libertad de instalar la
aplicacin que desee, la responsabilidad de mantener el dispositivo
exento de malware reside en sus manos.
Para obtener ms consejos y trucos sobre cmo mantener protegidos
sus datos frente a aplicaciones maliciosas, lea nuestro libro electrnico
"5 sencillos pasos para garantizar la seguridad de los smartphones
basados en Android". Recuerde tambin estos tres consejos para
evitar otorgar demasiado acceso a las aplicaciones:
1. Infrmese sobre las aplicaciones antes de descargarlas e instalarlas.
Averige quin es el creador y lea las opiniones de otros usuarios
sobre ellas y sus desarrolladores en los comentarios que se muestran
en Google Play o en cualquier tienda de aplicaciones de terceros.
Tambin conviene comprobar la valoracin que se muestra en la
tienda de la aplicacin.
Sin embargo, tenga en cuenta que gran parte del malware
troyaniza aplicaciones legtimas con el objetivo de que
usuarios como usted las descarguen.
2. Lea detenidamente los permisos que solicita una aplicacin hasta estar
seguro de comprenderlos. Recuerde que la mayora de aplicaciones
troyanizadas aparentan legitimidad. Dichas aplicaciones solicitan ms
permisos de los que realmente necesitan.
Si ha descargado e instalado un reproductor multimedia que, por
ejemplo, solicita permiso para enviar mensajes de texto, pinselo de
nuevo antes de aceptar los trminos del acuerdo. Si bien algunas apli-
ca ciones legtimas necesitan diversos permisos, el hecho de solicitar
demasiados puede poner en grave peligro su dispositivo y sus datos.
3. Le recomendamos que invierta en un software de seguridad para
mviles que proteja no solo su telfono, sino tambin los datos
almacenados en l. Soluciones como Trend Micro Mobile Security
Personal Edition pueden identicar y detener el malware antes
incluso de que alcance su dispositivo. Con el respaldo de las mismas
tecnologas que Trend Micro Smart Protection Network, esta
solucin protege ecazmente sus dispositivos basados en Android
frente al malware ms reciente.
TREND MICRO

Trend Micro, Incorporated es una empresa pionera en la gestin de contenidos

seguros y amenazas. Fundada en 1988, Trend Micro ofrece software, hardware
y servicios de seguridad galardonados tanto a usuarios individuales como a
organizaciones de todos los tamaos. Con sede en Tokio y operaciones en
ms de 30 pases, las soluciones de Trend Micro pueden adquirirse a travs
de distribuidores empresariales y de valor aadido as como de proveedores
de servicios en todo el mundo. Para obtener ms informacin y copias de
evaluacin de los productos y servicios de Trend Micro, visite nuestro sitio Web
www.trendmicro.com.
2011 por Trend Micro, Incorporated. Reservados todos los derechos.
Trend Micro y el logotipo en forma de pelota de Trend Micro son
marcas registradas o marcas comerciales de Trend Micro, Incorporated.
El resto de los nombres de productos o empresas pueden ser marcas
comerciales o registradas de sus respectivos propietarios.
TREND MICRO Spain
Pza. de las Cortes, 4 8 Izq.
28014 Madrid
Tel.: +34 91 369 70 30
Fax: +34 91 369 70 31
www.trendmicro.com