Artigo: Como criar uma botnet de smartphones

Por Danny Tijerina

Na semana passada, na RSA Conference, meu colega Derek Brown, e eu, apresentamos os resultados de um projeto de pesquisa intitulado MOBOTS: Pocketful of Pwnage, que foi concebido para mostrar o quão fácil seria criar uma botnet larga móvel. Por favor, notem que não chegamos a criar uma botnet, nós simplesmente apresentados resultados de duas experiências diferentes que mostraram o quão fácil seria criar uma.

Apesar da falta de drama (quer dizer, nada de botnet), a sessão atraiu muita atenção, então vou aproveitar a oportunidade para compartilhar os resultados da pesquisa.

Cenário e Pesquisa

Como afirmado, a propósito desta investigação era mostrar o quão fácil e rapidamente um hacker poderia acumular um grande exército de robôs móveis. O experimento envolveu duas peças-chave:

• Um aplicativo de controle: O WeatherFist foi um aplicativo de previsão do tempo legítimo que os usuários poderiam baixar para seus smartphones. O WeatherFist usava uma técnica que permite ao smartphone enviar sua posição GPS para o servidor do aplicativo, para que o usuário obtivesse a previsão mais próxima de seu local. Esta aplicação foi publicada - com links para um contrato (EULA) - em csites de compartilhamento de apps como ModMyl (iPhone) e SlideMe (Android).
  
• Um aplicativo de teste: O WeatherFistBadMonkey foi uma versão "mal-intencionada" do mesmo aplicativo projetada para parecer - e na superfície, funcionar como - a aplicação WeatherFist. O WeatherFistBadMonkey foi criado como uma prova de conceito do que um aplicativo mal-intencionado pode fazer. Ele usou a mesma técnica para enviar as coordenadas GPS, mas também realizou outras funções para converter o telefone em um "zumbi" e enviar dados confidenciais do usuário para o servidor da aplicação. A aplicação WeatherFistBadMonkey não foi distribuída ao público. Ela foi testada apenas em telefones comprados para o experimento. Esses aparelhos continuam conosco.

Resultados

A aplicação de controle, a WeatherFist, recebeu uma série de promoções em sites de compartilhamento de aplicativos e foi turbinada ainda pelas rede sociais, o que leva as pessoas a esses sites. No final do projeto, 20 000 usuários tinham visto o software e mais de 8 000 fizeram o download.

Novamente, é importante notar que realmente não criamos uma botnet móvel. Em vez disso, usou esses dois experimentos para mostrar como seria fácil  1) acumular um grande número de usuários se alguém quisesse criar uma botnet e 2) criar um aplicativo que parece legítimo capaz de tornar um smartphone parte de uma botnet móvel.

Smartphones são uma parte crítica do tecido da rede de hoje e os resultados desta pesquisa mostram um buraco na segurança dela. As organizações podem utilizar esses resultados para criar mudanças na política para o uso apropriado dos smartphones em ambientes de negócios, bem como proporcionar uma melhor formação sobre o uso de aplicativos no smartphone. Isso evidencia ainda mais a importância do bloqueio da rede da empresa para impedir os smartphones de enviar dados que não devem deixar o centro de dados.

 O objetivo primordial foi o de destacar os riscos de segurança que continuam a ameaçar o mundo empresarial e acho que os resultados desta pesquisa conseguiram exatamente isso.

* Danny Tijerina ié um pesquisador de segurança da TippingPoint's DVLabs especializado em BotNets, malware/spyware etc.