ANTIVIRUS FALSOS: cuando el riesgo lo instala el usuario

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

A principios de 2013, una nueva compañía de antivirus (AV) móvil llamada Armor for Android surgió en la industria del software de seguridad móvil que dejó a todos perplejos.

Parecía misteriosamente como malware conocido como Fake AV, y algunos incluso le dieron esa etiqueta.

Poco después, Armor for Android se puso en contacto con la empresa de seguridad que lo etiquetó y exigió que se eliminara su detección.

Armor para Android parece haber regresado. Echemos un vistazo a cómo jugaban en el sistema hace cinco años, y qué trucos nuevos están haciendo ahora.

Engañando el sistema

De repente, Armor for Android compite con todos los demás en la industria después de solo un par de meses. ¿Pero cómo? Sencillo. Estaban engañando.

Las convenciones de nomenclatura que usaban para detectar malware eran las mismas que otros escáneres móviles antimalware bien recibidos.

Para ser leales, muchos en la industria usan convenciones de nomenclatura similares. Sin embargo, los que usa Android para Armor eran PUNTUALMENTE los mismos que otras compañías.

Era obvio que estaban robando las detecciones de otras compañías. ¿Pero cómo?

Compartir, pero no robar

VirusTotal es una compañía que todos en la industria de seguridad de software usan para compartir detecciones con el mundo. Simplemente puede subir un archivo, incluso una APK de Android, a virustotal.com y varios escáneres antivirus / antimalware le devolverán los resultados.

Esto puede ayudar al usuario típico a descubrir si un archivo es malicioso. Además, ayuda a los investigadores de seguridad en la dirección correcta para determinar por sí mismos si algo es malicioso.

Lo que no está permitido es robar directamente de VirusTotal para producir sus resultados.

Esto no solo está en contra de los términos del servicio, sino que es un pecado mortal entre todos en la industria de la seguridad.

Pero eso es exactamente lo que hace Android para Armor. Al utilizar una herramienta de análisis de red y ejecutar Android para Armor, puede ver el tráfico hacia y desde VirusTotal.

Los datos detallados revelan que realmente roban las detecciones de otros.

Fake AV o legítimo

Debido a los elevados permisos necesarios, los consumidores deben tener especial cuidado al elegir un escáner antivirus / antimalware móvil.

Desafortunadamente, a menudo es difícil saber qué es un antivirus falso frente a una aplicación móvil antivirus / antimalware legítima, especialmente cuando los antivirus falsos se infiltran en Google Play y se toman su tiempo para crear un sitio web convincente.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris