Por primera vez, una pieza de malware móvil puede enviar y recibir información desde un servidor remoto. Trend Micro ha analizado una pieza conocida como “Sexy Space”, que es una variante a su vez de otro ejemplar de malware móvil llamada Sexy View, que ataca a dispositivos Symbian S60 OS, como el reciente Nokia N97.
Sexy View se detectó hace seis meses en China y es la primera muestra de malware conocida que se expande por SMS. Los teléfonos infectados pueden enviar mensajes de texto a cualquiera en su lista de contactos con un enlace a una web, y si ese alguien pincha en el link, se le instalará Sexy View, que le ofrecerá contenidos pornográficos.
Una de las cosas más llamativas es que los que escribieron Sexy View fueron capaces de hacer que su aplicación fuera aprobada y firmada pos Symbian. El fabricante del sistema operativo, ahora propiedad de Nokia, veta por seguridad aplicaciones que empleen procesos manuales y automatizados, según explica Mikko Hypponen, director de investigación de F-Secure. Sin embargo, los creadores de Sexy View fueron capaces de transgredir ese proceso de veto y ahora la aplicación puede acceder a funciones como el SMS, añade el experto. La última variante, Sexy Space, también está firmada por Symbian.
Por su parte, los ingenieros de Trend Micro han descubierto que Sexy Space puede descargar nuevas plantillas de SMS desde un servidor remoto para enviar spam móvil, según señala Rik Ferguson, consejero de seguridad senior de esta compañía. Hasta el momento no se había conocido ningún malware móvil que fuera capaz de hacer eso. Además, Sexy Space también es capaz de robar información de la red y del usuario del dispositivo y enviarla a un servidor remoto, añadió el experto.
Sexy Space confirma lo que analistas como Hypponen y Ferguson han venido sentenciando en el último año: que a medida que los dispositivos móviles ganan en funcionalidades y operan como un mini ordenador, es más probable que se conviertan en objetivo de los autores de malware y se puedan convertir en piezas de una botnet.
Aún se desconoce cuántos teléfonos podrían estar infectados, pero una empresa de seguridad móvil china, NetQin Tech, asegura en su blog que las infecciones se han expandido por China y Arabia Saudita.
Symbian ha sido informada de la existencia de este código malicioso para móviles por F-Secure. El director de investigación de la empresa de seguridad dice que los operadores de red pueden revocar el certificado que permite a una aplicación ejecutarse en un teléfono Symbian, si bien esos mecanismos de revocación no son automáticos, dependen de la configuración del operador y podrían no funcionar con todos los terminales.
Desde Symbian apuntan que la compañía ha emprendido acciones para deshabilitar el malware. Craig Heath, uno de los desarrolladores de Symbian, explica en el blog de seguridad de la organización que han revocado los certificados de contenido y editor utilizados para firmar el malware. “Esto significa que el instalador de software de Symbian no instalará a partir de ahora el malware, haciendo que se active la comprobación de revocaciones. Desafortunadamente, este proceso es, a menudo, deshabilitado por los fabricantes de terminales porque el tráfico de datos podría causar problemas a los usuarios que carecen de planes de datos como parte de su servicio o que pagan por el volumen de datos descargados”.
Tanto F-Secure como Trend Micro han publicado sus propios análisis sobre el malware.
