Durante la RSA Conference de ayer en San Francisco, un investigador presentó una nueva forma de detectar el malware en los dispositivos móviles. Afirma que es capaz de captar hasta infecciones desconocidas y puede proteger al dispositivo sin gastar su batería o tomar demasiada potencia de procesado.

Los expertos están de acuerdo en que el malware se encamina hacia los smartphones, y los investigadores han comenzado a identificar formas para proteger a los dispositivosc contra este tipo de software malicioso. Sin embargo los métodos tradicionales para proteger los ordenadores de escritorio contra amenazas no se traducen bien a los smartphones, afirma Markus Jakobsson, científico principal en Xerox PARC, así como la persona detrás de la nueva tecnología de detección de malware. También es fundador de FatSkunk, que pondrá en el mercado el software de detección de malware basado en la investigación.

La mayoría del software antivirus trabaja entre bambalinas, comparando los nuevos archivos con una enorme biblioteca de firmas de virus. Los dispositivos móviles carecen de la potencia de proceso necesaria para escanear grandes cantidades de firmas, señala Jakobsson. El escaneado continuo también hace que las baterías se agoten. Su método se basa en poseer un servidor central que haga un seguimiento de la memoria del dispositivo a la búsqueda de señales que indiquen que ha sido infectado, en vez de buscar un tipo de software específico.

Los dispositivos tienen dos tipos de memoria—memoria de acceso aleatorio (RAM), usada por los programas activos, y almacenaje secundario, cuyo acceso es más lento y generalmente guarda datos que no estén en uso en la actualidad. El sistema de Jakobsson chequearía los dispositivos, en primer lugar, mediante el cierre de aplicaciones que no sean vitales, como por ejemplo una aplicación de correo electrónico o un navegador. En ese punto, nada debería estar siendo ejecutado excepto el software de detección y el sistema operativo en sí mismo. Hizo una demostración del software utilizando un dispositivo con el sistema operativo móvil Android en la conferencia RSA.

Si el malware está presente y activo, necesita usar parte de la RAM para ejecutar instrucciones en el dispositivo. Por tanto el servidor central contacta al software de detección para comprobar si hay malware utilizando la RAM. Para ello se hace una medición de la memoria disponible. Esto se lleva a cabo mediante el llenado del espacio de memoria restante con datos aleatorios, y comprobando la cantidad de datos necesarios en comparación con una huella de la memoria creada en el momento en el que el dispositivo estaba libre de malware.

En ese momento, cualquier malware que estuviese siendo ejecutado sería revelado. El malware podría intentar ocultar su presencia dejando que los datos aleatorios lo sobreescribieran en la RAM, señala Jakobsson, pero eso evitaría que llevase a cabo ninguna acción. Y si intenta esconderse mediante el acceso de datos en el sector de almacenaje secundario del dispositivo, esto ralentizaría la respuesta del dispositivo ante el servidor central, revelando la propia existencia del malware.

Una vez que el dispositivo pasa esta comprobación, señala Jakobsson, el sistema puede estar seguro de que no hay programas de malware ejecutándose de forma activa. Después puede escanear de forma segura el almacenaje secundario a la búsqueda de malware dormido. Jakobsson explica que el sistema no está diseñado para evitar que el malware entre en el dispositivo—sólo para encontrarlo cuando esté ahí. Al contrario que el escaneo constante que normalmente llevan a cabo los programas antivirus, con su sistema el escaneado podría darse antes de que el dispositivo tuviese que hacer una transacción delicada o a unos intervalos predeterminados. También podría funcionar como sistema de seguridad de repuesto para los antivirus tradicionales.

“Esta técnica está ciertamente diseñada por investigadores muy reconocidos dentro de la comunidad y está claro que es el resultado de mucho esfuerzo,” afirma Aurélien Francillon, investigador en el grupo de seguridad de sistemas del Instituto Federal Suizo de Tecnología en Zurich, encargado del estudio de métodos de detección de malware. Sin embargo habrá que llevar a cabo un análisis más cuidadoso para evaluar por completo el método, afirma.

Francillon se cuestiona la dependencia del sistema de detección en el tiempo. Por ejemplo, factores ambientales como la congestión de la red podrían provocar retrasos legítimos en la respuesta del aparato ante un reto, afirma. Francillon también sospecha que podría ser posible atacar el código responsable de la detección del malware. Como con cualquier nueva tecnología de seguridad, se necesita más análisis para evaluarla por completo, afirma.

Por ahora la amenaza permanece al nivel académico, señala Mikko Hyppönen, investigador jefe de F-Secure Corporation, una compañía de seguridad con sede en Helsinki, Finlandia. Sólo existen unos cuantos centenares de programas de malware móviles conocidos, en comparación con los millones que existen para los PCs. Hasta ahora, afirma, el malware móvil ha sido rudimentario, y no ha empleado los esquemas de evasión sofisticados que comúnmente se usan en los ordenadores de escritorio.

Hyppönen afirma que por ahora es más importante proteger a los dispositivos robados que la protección contra el malware móvil. Sin embargo, cree que el malware móvil se volverá más sofisticado en el futuro. En ese punto, afirma, necesitaremos unos esquemas de detección inteligentes como los de Jakobsson.

Jakobsson tiene pensado comercializar su plan de detección entre los fabricantes de teléfonos a través de FatSkunk. Espera convencerlos para incluir su código con el software. Si otra compañía, como por ejemplo un fabricante de software antivirus o un banco, quisiera hacer uso del sistema de protección, pagarían una cuota de licencia al fabricante del dispositivo y a FatSkunk.