É mais provável que você seja atingido por um raio do que infectado por malware móvel

Na conferência RSA 2015, pesquisadores da empresa de segurança Damballa anunciaram que, nos Estados Unidos, é muito mais provável que você seja atingido por um raio do que infectado por malware móvel. Embora isso apóie um estudo anterior realizado pela empresa, Damballa encontrou algo muito estranho acontecendo em dispositivos móveis.

Rastreando tráfego malicioso

Os negócios da Damballa são a defesa automatizada de violações com base em análises de big data. Enquanto trabalhava com uma grande operadora de telefonia móvel dos EUA, Damballa conseguiu comparar dados de tráfego com URLs maliciosos conhecidos extraídos de cerca de 70.000 amostras de malware móvel. "Foi um processo manual para remover os domínios comuns que provavelmente não estão associados ao malware", explicou o pesquisador científico sênior Charles Lever. "Foi doloroso."

Em sua pesquisa, Lever disse que Damballa não tinha acesso às cargas úteis dessas transmissões, apenas aos URLs. A empresa deixou claro que não tinha visibilidade dos dados dos clientes.

O escopo do estudo de Damballa é enorme, concentrando-se em cerca de 151 milhões de dispositivos por dia, acima dos 25 milhões quando a empresa realizou o estudo em 2012. A empresa disse que isso representava 50% do tráfego de dados móveis nos EUA. nesses, a empresa viu apenas 9.688 dispositivos acessando URLs associados a malware móvel.

Isso resulta em 0, 0064% do tráfego sendo malicioso. No comunicado de imprensa da empresa, Damballa disse que as chances oficiais dos Serviços Meteorológicos Nacionais de serem atingidas por raios eram significativamente maiores em 1, 3%.

Porto Seguro

Lever disse que as conclusões do estudo sustentam a noção de que, embora o malware móvel tenha sido muito discutido nos círculos de segurança (e por este autor). "Estamos encontrando muitas amostras de malware, mas não tenho certeza de que essas amostras estejam chegando aos dispositivos", disse Lever.

"Temos fortes mercados primários nos EUA", continuou Lever, referindo-se à Apple App Store e à Google Play Store. Ele disse que essas lojas têm boas medidas de segurança que mantiveram de fora os piores atores e incluem ferramentas que permitem à Apple e ao Google desativar ou remover remotamente aplicativos maliciosos que possam aparecer nos dispositivos dos usuários.

Obviamente, o estudo de Damballa tem limitações. É, por exemplo, focado no tráfego de rede potencialmente malicioso, em vez de instalações maliciosas reais em dispositivos móveis. Também cobre apenas metade dos EUA, o que deixa grande parte do mundo sem explicação. Lever disse que é possível que as infecções por malware móvel possam ser muito maiores fora dos EUA "Eu podia ver isso mais alto, mas não podia dizer empiricamente", disse Lever.

Curiosamente, do tráfego malicioso para celular que Damballa observou, a maioria seria caracterizada como adware.

Tráfego sombrio

Mas enquanto o malware móvel não fez uma grande exibição no estudo de Damballa, outra coisa aconteceu. Além do tráfego associado ao malware móvel, Lever explicou que Damballa também rastreava solicitações de dispositivos móveis para outros tipos de infraestrutura maliciosa. Pode ser uma infraestrutura para malware de desktop, operações de phishing, redes de bots e assim por diante. Lever explicou que essas solicitações para partes obscuras da Internet por dispositivos móveis eram significativamente maiores do que as solicitações para URLs de malware para dispositivos móveis.

Quanto maior? Por várias ordens de magnitude. Damballa relatou 100.000 solicitações associadas a malware móvel, que foram rastreadas até esses 10.000 dispositivos. Ele rastreou 100 milhões de solicitações para sites que pareciam ser downloads diretos e 1 bilhão (com um "b!") Solicitações associadas a malware direcionado à área de trabalho. Novamente, essas solicitações são provenientes de dispositivos móveis.

Lever disse que, embora essas solicitações obscuras de dispositivos móveis sejam "significativamente maiores do que as que estamos vendo para malware móvel", sua causa é amplamente desconhecida.

A Lever sugeriu que parte do tráfego poderia ser proveniente de usuários móveis vítimas de sites de phishing. Outros especialistas em segurança sugeriram que o phishing pode ser mais fácil em dispositivos móveis, porque a tela comparativamente pequena corta URLs com aparência suspeita e o ícone de cadeado associado a uma conexão SSL não é visível.

Durante a conversa, Lever permaneceu bastante otimista em relação à segurança móvel, mas ao discutir essas descobertas incomuns, ele tomou uma decisão decididamente negativa. Ele disse que, embora o que esteja causando essa enorme quantidade de tráfego de rede suspeito possa não ser um problema hoje, pode ser no futuro. Ou pode até ser o resultado de aplicativos maliciosos desconhecidos no momento.

• Android 4.1.1 ainda vulnerável ao Heartbleed Android 4.1.1 ainda vulnerável ao Heartbleed
• Aplicativos Android maliciosos podem invadir o Gmail Aplicativos Android maliciosos podem invadir o Gmail
• Segunda-feira móvel de ameaças: aplicativos Android ocultam malware do Windows Segunda-feira móvel de ameaças: aplicativos Android ocultam malware do Windows

"É uma grande área de risco que não está sendo bem estudada no momento e poderia usar mais pesquisas para descobrir o que é isso", disse Lever. "É phishing? É spam? Qual é o detalhamento? E quanto disso afeta atualmente os dispositivos móveis e quanto poderia no futuro?"

Esperançosamente, pesquisas futuras serão capazes de montar esse quebra-cabeça.