26 de marzo de 2019

Los analistas de virus de la empresa Doctor Web detectaron en el navegador móvil popular UC Browser una posibilidad oculta de descarga e inicio del código no comprobado. La aplicación es capaz de descargar los módulos de software extra esquivando los servidores de Google Play. Esto infringe las normas de la corporación Google y es una amenaza importante porque de esta forma cualquier código, así mismo, un código nocivo, puede ser descargado en dispositivos en Android.

Actualmente el número de descargas de UC Browser desde Google Play superó 500 000 000. La amenaza potencial es actual para todos los que instalaron este programa. Los expertos de la empresa Doctor Web detectaron en la misma una posibilidad oculta de descarga de componentes extra desde Internet. El navegador acepta los comandos del servidor administrativo para descargar las nuevas bibliotecas y módulos que implementan las nuevas funciones en el programa y pueden ser usadas para su actualización.

Por ejemplo, durante el análisis, UC Browser descargó del servidor remoto una biblioteca Linux ejecutable que no es nociva y sirve para trabajar con los documentos del paquete de oficina MS Office, así como con los archivos de formato PDF. Inicialmente esta biblioteca no está en el navegador. Una vez descargada, este programa la guardó en su catálogo de trabajo y la inició. De esta forma, en realidad la aplicación recibe y ejecuta el código esquivando los servidores de Google Play. Esto infringe las normas de la corporación Google para programas difundidos a través de su catálogo de software. Según la política vigente, las aplicaciones descargadas de Google Play no pueden modificar su propio código ni descargar algún componente software desde orígenes terceros. Estas normas aparecieron para afrontar los troyanos modulares que descargan e inician los plugins nocivos. Unos ejemplos bastante representativos de estos troyanos son Android.RemoteCode.127.origin y Android.RemoteCode.152.origin, de los cuales nuestra empresa informó en enero y abril de 2018.

La función de actualización potencialmente peligrosa está en UC Browser como mínimo a partir del año 2016. Aunque no se detectó ninguna difusión de programas troyanos o no deseados por la aplicación, la misma es capaz de descargar e iniciar los módulos nuevos y no comprobados, lo cual es una amenaza potencial. Nadie garantiza que los malintencionados no accedan a los servidores del desarrollador del navegador y no usen la función de actualización incrustada en el mismo para infectar a centenares de millones de dispositivos en Android.

La función vulnerable de UC Browser puede ser usada para realizar los ataques de tipo MITM (Man in the Middle). Para descargar los nuevos plugins, el navegador envía una solicitud al servidor de control y recibe un enlace al archivo del mismo, Como el programa se comunica con el servidor por canal no protegido (el protocolo HTTP en vez de HTTPS cifrado), los malintencionados son capaces de interceptar las solicitudes de red de la aplicación. Los atacantes pueden suplantar los comandos recibidos al indicar en los mismos la dirección del recurso nocivo. Como resultado, el programa descargará los nuevos módulos del mismo y no del servidor de control real. Como UC Browser trabaja con plugins no firmados, iniciará los módulos nocivos sin ninguna comprobación.

Más abajo puede consultarse un ejemplo del ataque de este tipo modelado por nuestros analistas de virus. En el vídeo puede consultarse cómo la víctima potencial descarga un documento pdf a través del navegador UC Browser e intenta consultarlo en el mismo. Para abrir el archivo, el navegador intenta descargar el plugin correspondiente del servidor de control, pero, por causa de suplantación de la dirección de tipo MITM, UC Browser descarga e inicia otra biblioteca. Esta biblioteca crea un mensaje SMS con el texto «PWNED!».

De esta forma, con el ataque MITM los malintencionados pueden difundir, a través del UC Browser, los plugins nocivos capaces de realizar varias acciones. Por ejemplo, visualizar los mensajes phishing para robar los nombres de usuario, las contraseñas, la información sobre las tarjetas bancarias y otros datos personales. Además, los módulos troyanos pueden acceder a los archivos protegidos del navegador y robar las contraseñas de los sitios web guardadas en el mismo que están en el catálogo de trabajo del programa.

Para más información sobre esta vulnerabilidad, consulte el enlace.

La posibilidad de descargar los componentes no comprobados esquivando los servidores de Google Play también la tiene el «hermano menor» del navegador — la aplicación UC Browser Mini. Esta función apareció en el mismo en diciembre del año 2017 como más tarde. Hasta la fecha, el programa fue descargado por más de 100 000 000 usuarios de Google Play, la amenaza sigue siendo actual para todos ellos también. Pero, a diferencia de UC Browser, en UC Browser Mini el ataque MITM descrito más arriba no funciona.

Una vez detectada la función peligrosa en UC Browser y UC Browser Mini, los expertos de Doctor Web se pusieron en contacto con su desarrollador que se negó a comentarlo. Luego los analistas del virus informaron a la empresa Google sobre su hallazgo, pero en el momento de publicación de esta noticia ambos navegadores aún estaban disponibles para la descarga y seguían pudiendo descargar los nuevos componentes esquivando los servidores de Google Play. Los titulares de dispositivos en Android deben decidir por su cuenta si van a seguir usando estos programas o eliminarlos y esperar que se lance su actualización con la vulnerabilidad potencial corregida.

La empresa Doctor Web sigue supervisando el caso.