En el siguiente artículo mostraré brevemente cómo podrías terminar con tu dispositivo móvil troyanizado al descargar aplicaciones de dudosa procedencia o bien no prestar atención a los permisos que solicitan.
Para la demostración que se puede ver en el video de más abajo, utilizo el reconocido framework Metasploit que permite crear fácilmente una aplicación .apk con un módulo de Meterpreter adaptado para Android.
De esta forma, una vez que esta aplicación especial se ejecuta en el dispositivo es posible controlarlo remotamente y realizar diversas acciones como tomar fotografías con la cámara, acceder a todas las fotos y videos, activar el micrófono para escuchar el sonido ambiente, ver todos los mensajes de texto, las llamadas realizadas y mucho más.
Los comandos necesarios para generar el entorno de prueba en Metasploit son los siguientes:
En un ataque real se utilizaría una aplicación con funciones similares a las de esta demostración, la instalación se podría realizar teniendo acceso físico al dispositivo o bien por medio de alguna técnica de ingeniería social.
En este último caso los permisos solicitados durante la instalación serían los mínimos necesarios para no levantar sospechas.
Por esta razón es importante evitar descargar aplicaciones de dudosa procedencia y prestar atención a los permisos que solicitan durante la instalación. La forma más segura de descargar aplicaciones es hacerlo desde Google Play, aunque tampoco se debe confiar plenamente en todas las Apps.
El uso de un antivirus es algo recomendable, pero se debe tener en cuenta que no son 100% efectivos y para un atacante no sería complicado evadirlos. En este sentido les recomiendo ver esta conferencia de la DragonJAR Security Conference 2016 donde se explica el funcionamiento básico de los antivirus en Android y cómo se podría camuflar el .apk generado por Metasploit.