junio 15, 2014
Desde el Primer Malware Para Smartphone, Hace 10 Años, Hasta Hoy
El 15 de junio de 2004, concretamente a las 19:17 hora de Moscú, sucedió algo que daría comienzo a una nueva era en la seguridad informática. Descubrimos el primer malware creado para smartphones.
Era Cabir, que estaba infectando el sistema operativo Symbian de los dispositivos Nokia y se propagaba a través de conexiones Bluetooth no seguras. Con su descubrimiento, el mundo aprendió que no solo existían los malware para ordenadores, bien conocidos ya por todos (con excepción tal vez de los monjes en una ermita), sino también para móviles. Sí, muchos se rascaron la cabeza pensativos al principio (“¿Un virus afectando a mi móvil? ¡¿Es broma?!”), pero la veracidad del asunto terminó asimilándose tarde (=meses) o temprano (=décadas) por la mayoría de las personas (algunos aún no son conscientes de ello). Mientras tanto, ¡nuestros analistas hicieron su entrada en los libros de historia!
¿Por qué bautizamos este malware como Cabir? ¿Por qué creamos una sala de seguridad especial en nuestra sede central en Moscú? ¿Y cómo pudo acabar Cabir en el bolsillo de un empleado de F-Secure? Estas y otras preguntas fueron planteadas recientemente a Aleks Gostev, nuestro jefe experto en seguridad, durante una entrevista para nuestra Intranet, que voy a compartir con vosotros aquí.
Por lo demás, la historia empieza realmente cuando usamos estos dos dispositivos para analizar el malware:
Aquí van los detalles de la historia…
– El virus Cabir apareció por primera vez hace 10 años. ¿Cuál era la situación por aquel entonces para los malware dirigidos a dispositivos móviles?
Hace 10 años, los virus para móviles eran prácticamente inexistentes. Así es como yo recuerdo las cosas por aquel entonces: a comienzos de 2004 estábamos dando una rueda de prensa y uno de los periodistas me preguntó cuando aparecería el primer virus para teléfonos móviles. Le contesté que para la rueda de prensa del año siguiente con total seguridad. En efecto, algunos meses después, apareció…
A uno de nuestros analistas de virus le llegó un archivo inusual que funcionaba en una plataforma desconocida. Así que preguntó a su colega, Roman Kuzmenko, para pedirle ayuda con el análisis del objeto sospechoso. Roman era la opción más lógica, sin duda, siendo como es un analista inigualable, capaz de descubrir los misterios de las cosas más extrañas. Como era de esperar, solo le llevó un par de horas averiguar que lo que teníamos ahí era un virus para el sistema operativo Symbian ejecutado sobre un procesador ARM. Y esta combinación sólo se daba en teléfonos móviles, concretamente en los de Nokia.
En ese momento, nuestros investigadores no podían entender qué era lo que hacía realmente el virus, así que tuvimos que empezar a hacer unas pruebas. Pero primero teníamos que conseguir un smartphone de Nokia, lo que demostró no ser una tarea sencilla. Un teléfono tan “avanzado” no era muy común como lo es hoy en día. Mientras tanto, nuestro laboratorio anti-malware continuaba analizando el virus y rápidamente encontraron…¡algo verdaderamente extraordinario! Descubrieron que sus características clave eran la habilidad de controlar el Bluetooth y la transmisión de archivos. Parecía una manera absurdamente fácil de difundir un virus…
– Volviendo a la escasez de propietarios de Nokia, ¿significa eso que por aquel entonces no teníais todo lo necesario para testar los malware en dispositivos móviles?
En efecto, así era. No teníamos una selección de todos los smartphones operativos por aquel entonces para hacerles unos tests aunque, para ser sinceros, la idea de necesitar semejante colección tampoco se nos había ocurrido porque no existían todavía los virus en teléfonos móviles.
Lo que nuestros analistas analizaron con éxito fue el primer virus dirigido a teléfonos móviles (que después se llamó Cabir) y, a partir de entonces, los escritores de virus empezaron a crear más y más códigos maliciosos para smartphones y a crearlos con alarmante velocidad. Tanto que, para finales de año, estaba claro que realmente necesitábamos un nuevo departamento para analizar exclusivamente virus para móviles, especialmente desde que se descubrió que son muy diferentes a los virus de los ordenadores.
Así que fundamos el departamento y yo lo dirigía. Más tarde se unió a mi otro analista, Denis Maslennikov, y una de las primeras cosas que decidimos juntos fue adquirir todos los dispositivos móviles que existían en el mercado que pudieran ser atacados por un código malicioso, incluso aunque solo fuera teóricamente. Esto fue bastante divertido. Después de todo, ¿a quién no le gusta comprar un móvil nuevo sin preocuparse de pagarlo con su propio dinero? Adquirimos todos los dispositivos disponibles, más todos los teléfonos basados en Windows, Blackberry y demás. A día de hoy, seguimos añadiendo nuevos dispositivos a nuestra exótica y completa colección para que, en caso de una nueva amenaza, tengamos dispositivos con los que llevar a cabo las pruebas con rapidez.
– Así pues, ¿por qué el malware se llama Cabir? Después de todo, las capturas de pantalla en Securelist muestran que el documento tiene un nombre diferente.
Oh, ¡eso es una historia aparte! La captura de pantalla muestra el nombre (Caribe) que le dio el autor. No obstante, es habitual en la industria antivirus llamar a los virus no de acuerdo al nombre que sus autores le pusieron, sino con nuevos nombres para no alimentar el ego de los creadores… ¡Puede que también para demostrar nuestra autoridad sobre los virus conquistados!
Así pues, ahí estábamos haciendo un trabajo de análisis muy avanzado (o sea decidiendo el nombre), cuando nuestra colega Elena Kabirova entró en el despacho. Dada la grande similitud de su apellido con el nombre del virus, le preguntamos si quería formar parte de la historia a través del primer virus para teléfonos móviles. Bien… el resto es historia.
– Así pues, ¿cómo se puede descifrar la identidad del virus sin tener realmente uno de esos teléfonos amenazados?
Como a veces ocurre con los virus, recibimos un email con nada más que un archivo adjunto. Fue enviado a la cuenta de correo que creamos específicamente para esto (newvirus@kaspersky.com). Sabíamos de alguna forma el remitente, estaba en nuestra base de datos; no era un escritor de virus, pero sí alguien asociado a ellos. De vez en cuando nos llegaban de él muestras de malware creadas por escritores de virus europeos. Como norma, todo lo que nos enviaba terminaba siendo siempre algo significativo; cuando nos llegó ese archivo, supimos directamente que iba a ser algo importante. En efecto, esto fue rápidamente confirmado por la cadena de caracteres presente en el código del malware (incluida la mención al 29A). Entonces era evidente que lo que teníamos ahí era un programa malicioso autorizado por el notorio y arraigado grupo internacional de escritores de virus llamado 29A.
En aquel momento, no sabíamos que el emisor del email había enviado el virus de forma simultánea a varias compañías de antivirus; aún así, eso realmente no importaba, nosotros fuimos los únicos capaces de descubrir qué era ese archivo.
– ¿Qué pasó después?
Tras el análisis inicial del virus quedó claro que, para poder hacer las pruebas necesarias, íbamos a necesitar no uno, sino dos smatphones Symbian, porque el virus se transmite de un teléfono a otro vía Bluetooth. Así que copiamos el virus en el primer teléfono, activamos el Bluetooth en el segundo en modo detectable y en un instante teníamos una solicitud para aceptar el archivo que había aparecido en el segundo teléfono. Después de recibir y poner en marcha la petición, el segundo teléfono empezó automáticamente a buscar todos los dispositivos con Bluetooth disponibles en los alrededores. De este modo, confirmamos que el virus se diseminaba y propagaba vía Bluetooth. Luego, emitimos una nota de prensa para contar al mundo nuestro descubrimiento. Pero eso era solo el principio…
La funcionalidad del virus y sus consecuentes modificaciones presentaban para nosotros un gran problema práctico en la oficina. Después de todo, no estábamos en un espacio vacío, sino en el típico entorno de trabajo, donde culquiera de nuestors colegas hubiera podido aceptar al archivo maliciosos en su dispositivo Nokia. Para evitar infecciones, construimos una habitación especial, con las paredes cubiertas de capas de hierro, para poder hacer nuestros experimentos en total tranquilidad.
Dentro de la habitación no había cobertura móvil y todas las comunicaciones de cualquier tipo estaban bloqueadas: todo se había hecho para prevenir que los virus se dispersaran más allá de esas paredes protegidas. La habitación resultó ser no solo una herramienta necesaria para testar los virus de móviles, sino también un entretenimiento para los medios de comunicación, así que siempre les llevábamos ahí para que echaran un vistazo. Al día de hoy, el panorama de los malware para móviles ha cambiado radicalmente y los virus de la vieja escuela como Cabir han dejado de exitir; ya no es necesario tener una habitación como esa, para decepción de los periodistas.
– Dijiste que el malware había sido creado por un grupo concreto de escritores de virus. Cuéntame más sobre ellos.
Fue el grupo más legendario de escritores de virus de la historia. Eran únicos y creativos en todo lo que hacían. El grupo consistía en escritores de virus de todo el mundo, con miembros que cambiaban todo el tiempo, pero siempre había un equipo que era como el esqueleto de la organización formado por personas de España y Brasil. Fue uno de ellos (si la memoria no me falla se llamaba Vallez) quien creó Cabir. El grupo 29A no estaba formado por cibercriminales según los estándares modernos, los escritores de virus creaban malware para poner a prueba las nuevas tecnologías. Por tanto, estaban motivados por una ideología más que por beneficios personales. Fueron los primeros en muchos aspectos: en crear un macro virus, en crear un virus para la plataforma Windows 64… cada una de las creaciones de 29A era un verdadero descubrimiento, usado posteriormente por otros escritores de virus, y después por los cibercriminales. Y tenemos que recordar que en ese momento (hablamos de 2004) el cibercrimen solo estaba comenzando a dar sus primeros pasos. Por aquel entonces, la mayoría de los programas de virus se creaban normalmente para gastar una broma o para “expresar la propia personalidad”.
El grupo fue activo hasta 2009, aunque cada año menos. Algunos miembros fueron arrestados en España, Brasil y República Checa, mientras otros siguen su actividad de escritores de virus. Lo revelan algunos particulares bits de sus códigos, que para nosotros representan una especie de firma o de huella dactilar de quien crea un nuevo malware.
– Has mencionado antes modificaciones en Cabir. ¿Cómo evolucionó el virus?
El grupo que creó Cabir era conocido no solo por su sofisticación, sino también porque desarrolló su propia revista online. Y unos meses después de la primera aparición de Cabir, el grupo publicó información sobre el gusano junto con fragmentos de un código ejecutable; poco después empezaron a aparecer nuevas modificaciones de Cabir prácticamente cada semana. Había un escritor de virus con una gran necesidad de fama que de forma persistente nos enviaba modificaciones del virus ¡pidiéndonos que le diéramos un nombre diferente! Siguió volviendo una y otra y otra vez (¡durante un año!), intentando de alguna manera ganarse un lugar en el libro de la historia de los virus de móviles. Al final, consiguió lo que quería: en efecto clasificamos una de sus modificaciones como un tipo diferente; tuvimos que hacerlo.
¿Por qué la empresa F-Secure está estrechamente relacionada con el virus Cabir?
Cabir causó un escándalo menor, pero bastante curioso y por lo tanto bien publicitado. Sucedió que en 2005 estaban teniendo lugar algunos campeonatos de atletismo en Finlandia. Lo que significa que había un estadio atestado de personas de todo el mundo. Ahora bien, el radio de actuación de Cabir era generalmente bastante pequeño porque el alcance del Bluetooth es solo de unos 20 metros. Sin embargo, en un estadio repleto de gente… El problema se agravó aún más por el hecho de que los teléfonos Nokia vienen de Finlandia y son extremadamente populares allí. Sobra decir que Cabir accedió fácilmente al estadio en el bolsillo de uno de los miles de espectadores.
Todo el tiempo en el que los atletas estuvieron corriendo en la pista, Cabir estaba corriendo simultáneamente también, alrededor de toda la grada. Lo sé, no podías prepararte para esto. De todas formas, Cabir se metió a través del Bluetooth en el teléfono que llevaba en el bolsillo uno de los empleados de F-Secure que estaba en el estadio (pregunta: ¿por qué estaba aceptando archivos desconocidos por Bluetooth?) :). Días después, la compañía de antivirus finlandesa se ofreció oportunamente a instalar en el estadio un escáner de Bluetooth que diera a los visitantes la oportunidad de comprobar si sus teléfonos habían sido infectados con el virus. Aquí está la “conexión” entre Cabir y F-Secure.
– ¿Qué hizo este virus para móviles aparte de reproducirse a través de Bluetooth?
Si te refieres directamente a pérdidas económicas, no causó ninguna. Agotaba la batería rápidamente (en solo dos o tres horas) porque estar constantemente buscando conexiones de Bluetooth supone una pesada carga para la batería. En términos monetarios, los posteriores virus que, además de reproducirse y retransmitirse enviaban MMS a números Premium, eran mucho más dañinos. Por ejemplo, un conocido virus posterior a Cabir, Comwario, provocó una epidemia en una ciudad española cuyos daños económicos llegaron a alcanzar varios millones de euros.
– Hoy hemos hablado sobre una amenaza concreta a teléfonos móviles, cómo se expande y el grupo que está detrás de todo. Pero sobre lo que no hemos discutido es el tema de la protección de plataformas de móviles por aquel entonces. ¿De verdad no teníamos nada con que defendernos?
Bueno, las cosas no estaban tan mal porque, incluso antes del descubrimiento de Cabir, los virus para el sistema operativo Palm (para los PDAs de Palm) ya habían aparecido, así que muchas compañías de antivirus ya habían desarrollado protecciones para esa plataforma. Pero al final las cosas se calmaron, no aparecieron nuevos virus y muchas personas dejaron de pensar en los virus para Palm y las protecciones contra ellos (los PDAs tampoco eran smartphones y no eran tan populares comparados con los famosos teléfonos móviles). Pero, con el descubrimiento de Cabir, recuperamos todo lo que habíamos aprendido anteriormente, lo modificamos y poco después teníamos en el mercado un antivirus para smartphones. Desde entonces, han aparecido más y más virus para móviles. Y desde entonces, también hemos estado modificando y adaptando las protecciones para móviles. ¿Preguntabas si no teníamos nada con que defendernos? ¡Bueno, como ves algo había!