Cuando los desarrolladores crean aplicaciones móviles, no solo codifican la funcionalidad, además agregan funcionalidades de kits de desarrollo de software (SDK) de terceros, para anuncios, análisis y varias estadísticas extras sobre el uso.

Una gran función del SDK es comunicarse con un servidor central para recibir instrucciones y contenidos, pero los investigadores han encontrado que muchos de estos servidores han sido abandonados con un buen número de esos dominios disponibles para su compra en GoDaddy y otros registradores.

Una vez que un atacante compra y controla un dominio zombi, según los investigadores, pueden volver a implementar el canal de comunicación original y obtener los mismos privilegios que el administrador anterior. Bibliotecas de anuncios agresivos, por ejemplo, pueden comenzar a recoger información de ubicación, además de los datos del dispositivo, como el tipo de dispositivo y la información de IMSI con el fin de servir correctamente anuncios y contenido al teléfono. Un atacante también podría empujar automáticamente aplicaciones maliciosas y código para móviles a través de este canal. También podrían habilitar JavaScript en vista Web, que se utiliza para cargar los anuncios, que en este caso se podrían utilizar para cargar los anuncios de phishing o llevar a cabo la ejecución remota de código.

Esto presenta una gran oportunidad a los atacantes para adquirir los dominios a bajo costo y enviar código malicioso para vulnerar dispositivos iOS y Android.

"Cientos de estas empresas SDK eran nuevas empresas existentes en un momento, pero muchas de estas nuevas empresas murieron y nadie da mantenimiento a esta infraestructura. Una gran parte de esta infraestructura está sin mantenimiento ", dijo Xu Zhi, quien, junto con el investigador de Palo Alto Networks, TongBo Luo expuso esta área de preocupación durante una charla en la Conferencia Internacional Virus Bulletin. "Si no se da mantenimiento, las aplicaciones que incluyen estos SDK tratarán de comunicarse con el servidor maestro para obtener instrucciones, sin obtener respuesta alguna. A medida que expiran los dominios, los atacantes pueden adquirirlos para enviar instrucciones y contenidos maliciosos."

Los investigadores publicaron un artículo titulado "¡Cuidado! Los zombis están viniendo "que no sólo explica los riesgos, sino también cuantifica el número de dominios zombi abandonados. Los investigadores observaron 2.8 millones de muestras APK de Android, dijo Xu, que utilizaban 575,000 dominios raíz únicos. De ellos, 65,000 actualmente no responden y se consideran zombis, dijo, agregando que 33,000 estaban disponibles en GoDaddy.

Los investigadores también estudiaron el comportamiento de los clientes legítimos y maliciosos y el uso de protocolos predefinidos en la comunicación con un servidor maestro. Detectaron que éstos comparten comportamientos bastante similares, ambos con interés en servicios tales como administración de telefonía, servicios de localización, SMS, administradores de cuentas y mucho más.

"Sólo depende de quién controla los dominios maestros para decidir si va a ser bueno o malo", dijo Xu.

Una vez que un atacante compra y controla un dominio zombi, según los investigadores, pueden volver a implementar el canal de comunicación original y obtener los mismos privilegios que el administrador anterior. Bibliotecas de anuncios agresivos, por ejemplo, pueden comenzar a recolectar información de ubicación, además de los datos del dispositivo, como el tipo de dispositivo y número IMSI e IMEI con el fin de servir correctamente anuncios y contenido al teléfono. Un atacante también podría enviar automáticamente aplicaciones y código malicioso para móviles a través de este canal. También podrían habilitar JavaScript en vista Web, que se utiliza para cargar los anuncios, que en este caso se podrían utilizar para cargar anuncios de phishing o llevar a cabo la ejecución remota de código.

El investigador Luo también advirtió que los dominios que controlan las aplicaciones móviles en HTML5 son potencialmente más peligrosas porque soportan la inyección y ejecución de programas JavaScript a través del canal, o explotando middleware como PhoneGap, Rhomobile y otros que soportan contenido web enriquecido. Luo advirtió que PhoneGap, por ejemplo, instala plugins que soportan transferencia de archivos, correo electrónico y SMS, la capacidad de ejecutar código a través de comandos de shell y una característica de LaunchMyApp.