Puerta trasera en modelos de Samsung Galaxy permite el “espionaje” remoto a sus usuarios

Durante los últimos días se ha venido comentando la noticia de que Samsung estaría utilizando una versión modificada de Android en nueve de sus dispositivos Galaxy para, supuestamente, “espiar” remotamente a sus usuarios. La información desvelada por desarrolladores del Replicant Project (que elaboran su propia versión gratuita de Android) parece demostrar que también se podría estar espiando a los usuarios utilizando hardware de estos dispositivos como el sistema GPS, la cámara y el micrófono.

Mientras se encontraban trabajando en Replicant, los desarrolladores encontraron que varios modelos de la familia Galaxy de Samsung disponían de esta puerta trasera, incluyendo terminales tan populares como el Galaxy Note 2, Galaxy S3 o el Nexus S. Aparentemente, estos dispositivos cuentan con un modem que permite realizar operaciones remotas que incluyen la monitorización e incluso la modificación de los datos del usuario, según un informe de PC World.

samsungnote2

Según un post en la Free Software Foundation, el desarrollador de Replicant, Paul Kocialkowski comentó, “Este programa se incluye con los dispositivos Samsung Galaxy y hace posible que el modem lea, escriba y elimine ficheros del sistema de almacenamiento del móvil. En varios modelos de teléfonos móviles este programa se ejecuta con suficientes privilegios como para acceder y modificar los datos personales del usuario.”

Este mismo desarrollador también comentó que programas de este tipo “hacen posible transformar remotamente el modem del móvil en un dispositivo espía. Este espionaje puede incluir la activación del micrófono del dispositivo pero también puede utilizar la localización GPS y acceder a la cámara, así como también a los datos almacenados en el móvil. Además, estos módems están conectados la mayor parte del tiempo a la red del operador, haciendo que esta puerta trasera sea accesible la mayor parte del tiempo.”

Kocialkowski también dijo que los nueve modelos de dispositivos Samsung puede que no sean los únicos afectados por esta puerta trasera, según el informe de Information Week’s. Los desarrolladores de Replicant demostraron la existencia de esta puerta trasera mediante un parche que puede dar órdenes a los módems en los dispositivos afectados, órdenes como abrir, leer y cerrar un fichero. Aún no está claro el propósito, de haber alguno, que puede tener esta puerta trasera aunque los desarrolladores de Replicant afirman que sería “relativamente fácil” que un atacante lo aprovechase.

“Descubrimos que el programa propietario que se ejecuta en el procesador de aplicaciones  encargado de manejar el protocolo de comunicaciones con el modem implementa una puerta trasera que permite al modem realizar operaciones I/O (de entrada y salida) en el sistema de ficheros.” comentó Kocialkowski. Asimismo, este desarrollador instó a los usuarios de dispositivos Galaxy a enviar sus quejas sobre esta puerta trasera directamente a Samsung.

En el momento de escribir este post, Samsung aún no ha realizado un comunicado oficial sobre este descubrimiento.

Josep Albors

Publicación adaptada del post original en WeLiveSecurity.



10 consejos para un uso responsable de tu smartphone

Categorias: Android,Educación,seguridad,telefonía | | Sin comentarios » |

Los móviles han pasado en relativamente poco tiempo de ser un capricho a una necesidad. Forman parte de nuestra vida cotidiana y tienen un impacto muy alto en nuestras relaciones interpersonales. Hay que reconocer que nos facilitan la vida de muchas maneras pero también hay que tener en cuenta ciertos riesgos asociados a su uso y que pueden tener consecuencias graves.

El principal problema que encontramos habitualmente en el uso de dispositivos móviles, tanto entre menores como entre adultos, es que no se hace un uso responsable. A diario nos encontramos con casos de personas que utilizan su móvil para molestar a otros usuarios e incluso vulnerar su privacidad; por eso queremos ofrecer este decálogo de consejos para que, entre todos, hagamos un uso responsable y seguro de nuestro móvil y podamos disfrutar de la tecnología sin sobresaltos.

Consejos

1.- Aunque los podemos encontrar en una amplia variedad de modelos y precios un smartphone suele suponer un desembolso importante de dinero. No obstante, la información privada que contienen sobre nosotros es mucho más valiosa que el terminal más caro del mercado. Por ello, es esencial que, en caso de pérdida o robo, denunciemos su desaparición para que no tengamos que acarrear las consecuencias de un uso indebido del dispositivo.

2.- Contactar con las operadoras en caso de pérdida o robo también ayuda aunque no es una solución infalible. Podemos intentar bloquear el terminal y la tarjeta SIM llamando a la operadora pero esto no es impedimento para que alguien con conocimientos consiga acceder al mismo y utilizarlo. Por eso es recomendable contar con aplicaciones de seguridad que permitan bloquear el acceso al terminal, intentar localizarlo y, en caso de que no creamos posible su recuperación, borrar todos los datos almacenados en el mismo.

3.- Además de proteger nuestro teléfono móvil con un pin de acceso o un patrón de desbloqueo, es recomendable cifrar los datos que almacenemos en ellos. Esta acción es sencilla de realizar y muchos de los dispositivos actuales la incluyen por defecto entre sus características de seguridad. De esta forma evitarás que miradas indiscretas accedan a tu terminal y husmeen en tus datos privados cuando te dejes olvidado tu móvil encima de la mesa con otras personas.

4.- Con los smartphones llegó la conexión permanente y los servicios de mensajería instantánea que permitían hablar con nuestros contactos de forma gratuita, evitando así los costosos SMS. Sin embargo esta sobreexposición de nuestra privacidad ha derivado en conductas peligrosas al haber usuarios que comparten fotos íntimas y que pueden poner en peligro nuestra privacidad. Del mismo modo, los ciberacosadores han encontrado en estos medios un canal perfecto para sus actividades. Por eso no debemos consentir ni producir este tipo de material que solo produce molestias a otras personas.

1900090_10152293733120908_2022427386_n

5.- Más que un teléfono, un smartphone es un ordenador de bolsillo, con sus bondades y sus defectos. Los teléfonos móviles, especialmente aquellos con sistema operativo Android, también sufren el ataque de los ciberdelincuentes por lo que debemos estar alerta. Instalar aplicaciones de confianza, evitar pulsar sobre enlaces sospechosos o instalar una solución antivirus nos pueden ayudar a evitar males mayores.

6.- Por su naturaleza, un smartphone nos sirve para conectarnos a Internet allá donde estemos. No obstante, hay que cuidar desde donde nos conectamos. Un punto de acceso gratuito puede estar siendo espiado por un atacante o podemos acceder a una red WiFi trampa que capturará todas nuestras contraseñas. Conéctate únicamente a redes con una seguridad adecuada y, en el caso de tener que hacerlo en una red que no sea de confianza, toma las medidas de seguridad oportunas como establecer una conexión segura mediante VPN.

7.- De la misma forma que andamos con cuidado a la hora de abrir ciertos mensajes o webs sospechosas en nuestro ordenador de sobremesa o portátil, en nuestro móvil no debemos bajar la guardia. Podemos ser víctimas de una suplantación de página web navegando desde nuestro móvil, con el inconveniente de que, al ser la pantalla más pequeña, tendremos más complicado reconocer si se trata de una dirección auténtica. Evita acceder con tus credenciales a un servicio online desde tu móvil si no estás seguro de estar ante el sitio web verdadero.

8.- Las aplicaciones que instalamos en nuestro móvil pueden aumentar sus posibilidades de uso hasta límites insospechados. Sin embargo algunas realizan acciones sin nuestro consentimiento que pueden repercutir, por ejemplo, en la factura mensual del teléfono. Revisa los permisos que otorgamos a las aplicaciones que instalamos en nuestro smartphone para evitar sorpresas cuando recibamos la factura.

9.- Nunca está de más hacer una copia de seguridad de los datos que almacenamos en nuestro móvil. Hacemos fotos y vídeos sin parar pero si perdemos o nos roban el móvil esa información puede desaparecer para siempre. Hay terminales que permiten hacer una copia de seguridad de tus datos en la nube de forma cómoda. Aprovecha esta característica y pon tus datos privados a buen recaudo.

10.- Por último, no debemos olvidar que los smartphones son herramientas que utilizamos para estar en contacto con nuestros seres queridos, llenar nuestros ratos de ocio o mejorar nuestra productividad. Son dispositivos que están a nuestro servicio y no a la inversa. Evita la adicción tecnológica y realiza descansos en su utilización. Es mejor hablar cara a cara que hacerlo a través de una pantalla.

Laura Grau

Josep Albors



Los Angry Birds luchan contra cerdos, ¿o son también espías?

No salimos de una y nos metemos en otra, sobre todo en lo que respecta al espionaje informático. Quiero dejar claro que no debería pillarnos por sorpresa, ya que Internet, tal y como lo conocemos hoy en día, ha sido un logro de los militares y las empresas comerciales, y a ambos sectores les interesa mucho (demasiado quizá) cómo nos comportamos en la red y nuestros datos.

Esta semana es Angry Birds. Ese juego que causó furor y fue el favorito de los usuarios de móviles y tabletas hasta que Candy Crush le arrebató la primera posición de los jugones portátiles. Resulta que alguien ha dicho que el programa proporcionaba a la NSA (National Security Agency, Agencia de Seguridad Nacional –Estadounidense, por supuesto-) y al GCHQ (Government Communications Headquarters, Cuartel General de Comunicaciones del Gobierno  -Estadounidense, por supuesto-) un montón de datos de los teléfonos en los que se ejecutaba Angry Birds. Datos como la ubicación del usuario, listas de contactos, registros de conversaciones, etc. Algunos han llegado a afirmar que también transmitían información sobre las ideologías políticas e incluso su orientación sexual.

Pero bueno, se pueden decir tantas cosas… Lo mejor es acudir a las fuentes de este tema (están aquí y aquí) y descubriremos que ¡no se habla de Angry Birds! ¿Entonces? ¿De dónde ha salido la información? Bueno, eso es otro tema que quizá los sociólogos puedan aclararnos. Lo nuestro es la seguridad informática.

Todo es posible, y mucho más en el mundo de la informática y el espionaje. Bueno, todo no, no sé cómo van a ver mi ideología política a no ser que tenga conversaciones con el secretario general de un partido político y nos dediquemos a mandarnos SMS comprometedores… Bueno, me callo, que luego todo se sabe. Lo de la orientación sexual es más fácil, viendo un registro de las páginas porno a las que me conecto… Bueno, me vuelvo a callar por si acaso. Vaya día que llevo.

No quiero entrar en si una aplicación envía datos a una agencia estadounidense o no. Eso ya depende de la honradez de cada desarrollador, aunque en este caso Rovio, los desarrolladores de Angry Birds, han negado ninguna relación con el caso, lógicamente. Pero ha pagado el pato: ayer sufrieron un “defacement” de su página web.

angry

Mucha de la culpa del espionaje y de la seguridad de nuestros dispositivos depende de nosotros. Sí, somos nosotros los que descargamos aplicaciones a nuestros maravillosos smartphones y les concedemos una ingente cantidad de permisos que ni nos preocupamos de para qué se necesitan. Hace poco, quise instalar una aplicación que siguiera las estadísticas de partidos de baloncesto, y uno de los permisos que me pedía era acceder a mis contactos y mandar SMS. ¿Para qué? Una posible función de ese programa podría ser la de informar de los resultados de los partidos a mis amigos, pero no aparecía reflejada por ningún lado. Mucho me temí que ese programa iba a utilizar mi smartphone para mandar SMS publicitarios a mi agenda de contactos. Evidentemente, busqué otro programa (hay muchos) y tan contento.

¿Cuántos tenemos un programa que hace más de lo que esperamos? Debemos revisar todas y cada una de las aplicaciones que tenemos instaladas, mirar qué permisos tienen y ser un poquito consecuentes. Por ejemplo, en mi móvil tengo una aplicación para llevar a cabo gestiones con mi banco. Y esa aplicación quiere tener acceso a mis datos de ubicación. Tal y como estamos hoy en día de enfadados con los bancos podría parecer una grave intromisión de la intimidad, hasta que necesitemos buscar el cajero automático más cercano. Ahí sí que no nos importa que el banco sepa dónde estamos, ¿verdad?

Pero hay otras aplicaciones que son sospechosas. No entiendo por qué quiere una aplicación de estadísticas de baloncesto mandar SMS (si al menos dijeran para qué, vale), o un afinador de guitarras necesita saber dónde estoy, ambos son casos verídicos de los que doy fe.

Si queremos un buen control de los permisos que le damos a las aplicaciones, lo mejor es poder llevar a cabo una auditoría de seguridad. ESET NOD32 Mobile Security lo hace, y lo recomiendo por su sencillez. De un vistazo podremos saber qué permisos de más estamos dando a aplicaciones “extrañas”, que por muy útiles que nos parezcan no tienen por qué saber determinadas cosas.

Fernando de la Cuadra



Dispositivos de todo tipo conectados a Internet utilizados para enviar spam

En los últimos meses hemos hablado largo y tendido de lo que actualmente se conoce como el “Internet de las cosas” y de cómo la tendencia actual de conectar todo tipo de dispositivos a la red no hace más que aumentar. El problema viene cuando todos estos dispositivos carecen de los mecanismos de seguridad adecuados, algo que los puede convertir en presas fáciles de los ciberdelincuentes, que los aprovecharían en su propio beneficio.

¿De qué tipo de dispositivos estamos hablando? Actualmente casi de cualquier tipo, incluyendo videoconsolas, routers y todo tipo de centros multimedia, pero también de toda una amplia variedad de electrodomésticos como neveras o incluso muñecas con la capacidad de hacer fotos y subirlas a Internet.

nevera

Una posibilidad ya anunciada

Hasta ahora siempre habíamos comentado la posibilidad de que se utilizaran estos dispositivos de forma maliciosa, ya que una gran mayoría de ellos se encuentran conectados a Internet con configuraciones inseguras.

Al parecer, esta posibilidad ya se ha hecho realidad, al menos si hacemos caso de la información proporcionada por la empresa Proofpoint, desde la que se afirma que alrededor de 100.000 dispositivos de todo tipo (entre los que se encuentran Smart TV, neveras inteligentes y otros electrodomésticos) fueron utilizados para enviar 750.000 mensajes de spam.

Un elevado porcentaje

Esto supone el 25% del total de mensajes no deseados enviados por esta particular red de dispositivos infectados, siendo el resto enviados por dispositivos más convencionales como ordenadores de sobremesa o portátiles.

Según la nota de prensa lanzada por esta empresa, este ataque se produjo en las pasadas fechas navideñas, entre el 23 de diciembre y el 6 de enero. De las 450.000 direcciones IP identificadas como participantes en esta campaña de envío de spam, se calcula que 100.000 pertenecen a dispositivos que podríamos catalogar como “no habituales” en este tipo de ataques.

Si bien sorprende la cantidad de dispositivos utilizados, acabado de empezar 2014 no debería extrañarnos este tipo de noticias. El “Internet de las cosas” forma parte de nuestra vida desde hace tiempo y las previsiones no hacen sino aumentar el número de dispositivos de todo tipo conectados a la red.

smarttv

Por eso, ahora que ya se ha demostrado el potencial que tienen para los ciberdelincuentes este tipo de dispositivos, deberíamos empezar a preocuparnos por la seguridad de estos aparatos.

Medidas a adoptar

El problema que nos encontramos como usuarios es que, a diferencia de los ordenadores, tabletas o móviles, donde podemos tener un control bastante elevado de la seguridad del dispositivo, en el “Internet de las cosas” muchas veces los fabricantes no dejan definir los parámetros de seguridad deseados, poniendo en riesgo nuestra privacidad y permitiendo que estos electrodomésticos puedan ser utilizados para realizar ciberdelitos.

Algunos de nuestros lectores seguramente se estarán preguntando si debemos empezar a plantearnos instalar un antivirus también en nuestra flamante Smart TV o nevera inteligente. Podría parecer la solución más obvia, pero hemos de recordar que el antivirus es solo una capa de seguridad y que hay otras que se deben tener en cuenta, empezando por las medidas de seguridad que implementan los fabricantes.

De momento, como usuarios podemos mitigar posibles ataques de este tipo evitando instalar aplicaciones de dudosa procedencia en aquellos dispositivos que las admitan (principalmente Smart TV). Asimismo, estar atentos ante cualquier posible actualización del firmware de todos los dispositivos que tenemos conectados a Internet no deja de ser otra buena medida de seguridad.

Lo que queda claro es que  este tipo de ataques van  a dejar de ser anecdóticos para pasar a convertirse en algo desgraciadamente habitual. No obstante, nosotros estaremos aquí para informar y ofrecer consejos de seguridad para mitigar el alcance de estos ataques.

Josep Albors

Entradas relacionadas:

Cafeteras y planchas modificadas para infectar dispositivos conectados a redes vulnerables

Smart TV, ¿el nuevo objetivo de los ciberdelincuentes?

¿Tenemos controlados todos los dispositivos con acceso a Internet?

[Podcast] hacking de dispositivos tecnológicos



“Escuchando” un microprocesador

Categorias: Android,Espionaje,Estudio,seguridad | | Sin comentarios » |

Hace poco escribí en este blog acerca de un posible nuevo método de transmisión de información entre dos ordenadores, que podría emplearse para propagar malware. Era muy difícil la transmisión de información, no imposible, pero la transmisión de malware se volvía complicadísima: basándose en sonidos, unos investigadores fueron capaces de transmitir algo de información entre dos PC.

Hoy volvemos a ocuparnos de los sonidos de los ordenadores, y no me refiero a los MP3. Unos investigadores han conseguido averiguar una clave de cifrado de 4096 bits simplemente “escuchando” el ruido que hace el procesador a la hora de descifrar un mensaje con esa clave. Es un experimento, sí. No es fácil llevarlo a la práctica. Pero puede que sea tan complicado como cuando algún departamento de I+D en Mesopotamia presentó el proyecto de algo llamado “rueda”. Era complicado hacerlas, no se tenía muy claro cómo llevarla a la práctica… pero ahí estaba el invento. Y hasta hoy.

El “escuchar” el ruido de un microprocesador se muestra como algo complicado, su volumen es muy bajo (o nos hemos acostumbrado a él y no lo percibimos). Pero los investigadores han conseguido registrarlo con unos simples teléfonos móviles: HTC Sensation, Samsung Galaxy S II y un Samsung Galaxy Note II, con una aplicación especial. Luego llega un complejo estudio de la señal, pero consiguen su propósito: averiguar la clave.

Parece que el sonido de los ordenadores se está volviendo un peligro. Se conocía de hace tiempo la posibilidad de espiar un teclado “escuchando” las pulsaciones de teclas, e incluso analizando las radiaciones electromagnéticas que pueden emitir ciertos dispositivos. Más lejos llegaron los que analizando las vibraciones de un cristal en una ventana adivinaban lo que estaba haciendo el ordenador. Todo ello implicaba unos complejos sistemas de medición, indudablemente carísimos, lo que hacía poco viable para el público en general su uso. Seguro que los servicios de inteligencia de muchos países pueden permitírselos, pero no están al alcance de todo el mundo.

escucha

Sin embargo, como se ve en la foto, no es especialmente complicado ese dispositivo que han montado para escuchar el ruido de un microprocesador.

De continuar así, vamos a tener que “reinventar” la estructura de un ordenador. Muchos sistemas de alta seguridad incluyen jaulas de Faraday para evitar que sus radiaciones electromagnéticas salgan del ordenador. El próximo paso puede que sean los sistemas construidos en cámaras anecoicas, o lo que no creo que tarde en producirse: un “disclaimer” en el manual de producto en el que se avisa de que el ordenador hace ruido y puede ser espiado, librando de responsabilidades al fabricante.

Fernando de la Cuadra



Vulnerabilidad permite bloquear o reiniciar dispositivos Nexus usando SMS

Categorias: Android,telefonía,Vulnerabilidades | | Sin comentarios » |

Los móviles de la gama Nexus son la apuesta de Google para ofrecer terminales de gama alta a precios más asequibles pero también son normalmente los terminales elegidos para estrenar nuevas versiones del sistema operativo Android. Hace unas semanas salía a la luz el Nexus 5 con la nueva versión de Android 4.4 bautizada como KitKat cosechando un gran éxito de ventas entre los usuarios por su ajustado precio y grandes prestaciones.

Precisamente por el éxito cosechado por estos terminales es cuanto menos preocupante la reciente publicación de una vulnerabilidad existente en todos los dispositivos Nexus. Según la información dada a conocer en el evento de seguridad DefCamp celebrado el pasado fin de semana, aprovechándose de esta vulnerabilidad, un atacante podría hacer que un terminal Nexus con cualquier versión de Android 4.x se reiniciase o se bloquease.

nexus5

Fue en este evento donde el investigador Bogdan Alecu presentó la vulnerabilidad descubierta que permitiría a un atacante bloquear o reiniciar terminales Nexus de Google (Nexus, Nexus 4 y Nexus 5) mediante el envío de mensajes SMS conocidos como Class 0. Actualmente, todas las versiones de Android que se incluyen estos terminales se ven afectadas (4.2, 4.3 y 4.4).

¿Pero que es un mensaje Class 0 o Flash SMS? Estos mensajes son un tipo especial de SMS que no se almacena por defecto en el terminal que lo recibe y que es mostrado de manera inmediata al destinatario. Este tipo de mensajes suelen ser utilizados por las operadoras para enviar alertas o notificaciones y, tal y como demostró el investigador, al enviarse muchos de estos mensajes (alrededor de 30) en poco tiempo, el dispositivo puede llegar a reiniciarse, tal y como vemos en el siguiente vídeo:

No es el único efecto resultante del envío de estos mensajes puesto que en algunas ocasiones puede mostrarse el aviso de que la aplicación de mensajes se ha detenido o hacer que el sistema que permite la comunicación con la red móvil se reinicie, dejando al teléfono sin cobertura y forzando al usuario a realizar un reinicio de manera manual.

Sobre los dispositivos de otros fabricantes como Samsung o LG que también utilizan Android 4.x, este investigador no ha conseguido replicar este fallo por lo que el error parece estar en la manera en la que Google implementa estas características vulnerables en sus dispositivos Nexus.

El motivo de publicar esta vulnerabilidad parece ser el desinterés de Google en solucionarla, ya que este investigador asegura haber informado de este fallo a la empresa hace ya un año y que Google aseguró que la solucionaría cuando se publicase la versión 4.3 de Android (algo que no se ha cumplido, tal y como acabamos de ver).

Además de las evidentes molestias que esta vulnerabilidad pudiera causar a los usuarios de dispositivos Nexus, nuestros compañeros de Hispasec consideran que hay un escenario en el que podría ser aprovechado por un atacante. Este escenario es el de la seguridad bancaria ya que muchas entidades envían alertas SMS al realizar cierto tipo de operaciones y, si el dispositivo del usuario estuviese infectado por un malware que se aprovechase de esta vulnerabilidad este no recibiría aviso de posibles transacciones fraudulentas.

De momento y hasta que Google no publique un parche o nueva versión de Andorid que solucione esta vulnerabilidad la única manera existente de proteger nuestros dispositivos Nexus del envío malicioso de estos mensajes es utilizando alguna aplicación que filtre este tipo de mensajes. Un ejemplo de este tipo de utilidades es Class0Firewall desarrollada por Michael Mueller en colaboración con el descubridor de esta vulnerabilidad.

Josep Albors



Win32/KanKan. El drama chino

Categorias: Android,Malware,seguridad,telefonía | | Sin comentarios » |

El siguiente post es una traducción y adaptación de la publicación “Win32/Kankan – Chinese Drama” escrita por Pierre-Marc Bureau y disponible en el blog de ESET We Live Security.

En este post se analiza un código malicioso detectado por los productos de ESET comoWin32/Kankan. Este malware nos pareció interesante debido a los siguientes motivos:

  • Registra un plugin de Office que no añade ninguna funcionalidad a la suite ofimática, sino para persistir en el sistema.
  • Instala silenciosamente aplicaciones móviles para Android. Esto lo hace cuando se conecta un teléfono inteligente que tenga la opción de USB debugging (depuración USB, en los sistemas operativos en español) activada al computador infectado.
  • El ejecutable está firmado por una conocida empresa china llamada Xunlei Networking Technologies, que se destaca particularmente por desarrollar uno de los clientes torrent más famosos del mundo

Primero se analizará el contexto que involucra este código malicioso y se explicará por qué su descubrimiento impactó a tantos usuarios chinos. Luego se realizará un análisis técnico de sus funcionalidades en profundidad y la evidencia que sugiere que Xunlei Networking Technologies está implicada en este caso.

Contexto

Esta historia comienza el pasado junio cuando aparecieron varios informes de usuarios chinos que publicaban en foros sobre la aparición de una aplicación sospechosa que estaba firmada por la compañía antes mencionada. Rápidamente el tema se convirtió en noticia de portada de varios sitios web chinos.

Para entender este interés mediático, debemos comprender un contexto que para muchos usuarios que no sean chinos es totalmente desconocido. El principal desarrollo de Xunlei Networking Technologies es Xunlei, un software cuyo propósito es acelerar la descarga de varios tipos de archivos (de forma similar a Orbit Downloader) y cuyo uso es bastante popular en China.

Para explicar esta popularidad, es necesario mencionar cómo funciona esta herramienta. Explicado de forma sencilla, Xunlei mantiene una lista de sitios para cada archivo conocido. Cuando el usuario inicia la descarga de alguno de esos ficheros en su navegador o cliente torrent, el programa elige el servidor más rápido para la descarga de dicho archivo. Para implementar este proceso, Xunlei Networking Technologies desarrolló un complejo ecosistema de software que consta de un buscador de archivos compartidos, un cliente torrent multiprotocolo y un protocolo peer-to-peer personalizado. Para aquellos interesados en profundizar sobre este tema, es posible consultar la publicación “Measurement Study of Xunlei: Extended Version” escrita por Dhungel y otros autores en 2012.

Como se mencionó previamente, Xunlei es extremadamente popular entre usuarios chinos. Un estudio publicado en 2009 por TorrentFreak posicionó este software como el cliente de torrent más utilizado del mundo con más de 100 millones de nodos ID mientras uTorrent registra un pico de 92 millones de nodos ID. Por otro lado, este software no es utilizado en ninguna otra parte del mundo y su sitio web tampoco ha sido traducido a otros idiomas. Cabe destacar que la herramienta ha sido traducida solo por terceros de forma no oficial. En base a lo anterior se puede especular que esto obedece a una estrategia intencionada por parte de la empresa involucrada.

Análisis

INPEn.dll comienza instalando una copia de sí mismo llamada esta vez INPEnh.dll y que actúa como un plugin para Word, Excel y PowerPoint. Para lograr este objetivo, crea una llave en el registro de Windows que provoca que esta DLL sea cargada como plugin. Algunas de estas llaves pueden ser observadas en la siguiente captura:

image1

  • Carga el archivo conf.kklm.n0808.com/tools.ini. Parte del contenido es el siguiente:

numbers-1024x449

Este fichero contiene varios parámetros como, por ejemplo, una lista de herramientas de seguridad cifradas en base64.

  •    Comprueba si se está ejecutando alguna de las herramientas mencionadas. De ser así, el pluginde Office termina el proceso. La lista decodificada es la siguiente: 

taskmgr.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|

filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|

wireshark.exe

Cabe destacar que dicha lista solo contiene herramientas como el Administrador de Tareas de Windows, OllyDebugger y una aplicación de manejo de Wi-Fi y no soluciones de seguridad. Se puede inferir que esta funcionalidad está destinada a evitar el análisis de la muestra.

  •  Comprueba si existe una conexión a Internet contactando a dominios chinos como baidu.com y qq.com. Cuando no existe conexión, se mantiene buscando una constantemente.

Si todos los puntos son ejecutados, el plugin envía información a StatServer como la versión de Windows y el nombre de la aplicación (por ejemplo, WINWORD.exe). Luego, ejecuta el archivo INPEnhUD.exe.

  • Finalmente, entra en un bucle constante de administración de tareas (procesos). Este procedimiento es realizado por otra pieza de este puzle.

Actualizador

La ejecución la continúa INPEnhUD.exe que puede ser descrito como un actualizador. Particularmente, consulta la URL update.kklm.n0808.com/officeaddinupdate.xml. En ese momento, el contenido del archivo era el siguiente:

image2

Este fichero XML incluye una lista de direcciones y hashes MD5. Luego, el actualizador descarga cada archivo, verifica el MD5, y, si corresponde, lo ejecuta. Tal como se aprecia en la captura anterior, la URL apunta a un archivo llamado Uninstall.exe. La descripción de tal componente será explicada en este post más adelante.

Servicio

INPEnhSvc.exe, el que será nombrado como “el servicio”, es el núcleo de este programa compuesto por tres componentes. Después de realizar la misma prueba que el plugin de Office para determinar la ejecución de herramientas de seguridad, el servicio obtiene un archivo de configuración XML que contiene varios comandos, cada uno con cierto número de parámetros. Los comandos pueden ser divididos en dos grupos:

  • Comandos locales: scanred, scandesktop y scanfavorites.
  • Comandos “externos”: installpcapp, installphoneapp, setdesktopshortcut, addfavorites y setiestartpage.

Como el propio nombre indica, los comandos locales están implementados en el mismo servicio: scanred busca llaves de registro específicas e informan de su presencia o ausencia al servidor. Scandesktop y scanfavorites buscan archivos .lnk (accesos directos) y .url (archivos de enlace de red) en la carpeta escritorio y favoritos respectivamente. Por otro lado, cuando un comando externo es recibido, el programa se comunica con el plugin de Office que es el responsable de ejecutar dicha acción. Esta comunicación pasa mediante un archivo de configuración llamado tasklist.ini que contiene tres secciones diferentes: DoingDone y DoneByDate. Ambos binarios contienen también una lista única de identificadores (GUIDs), siendo cada uno procesado por una tarea. La comunicación ocurre de la siguiente manera:

  • Cuando se recibe un comando externo, el servicio simplemente escribe la GUID asociada en la sección Doing con sus parámetros (URLs, etc.)
  • Durante el bucle de administración de tareas, el plugin de Office lee el GUID, luego comprueba si el GUID no está presente en las secciones Done y DoneByDate del archivo tasklist.ini. Si el GUID solo está en la sección Doing, se ejecuta la lógica de programa asociada. 
  • Una vez finalizado, el plugin de Office escribe el GUID en la sección Done. Asimismo, las GUID para los comandos installpcap e installphoneapp también son escritas en la secciónDoneByDate. Esto se debe a que probablemente los comandos son ejecutados regularmente

La arquitectura completa se resume a continuación. Los rectángulos azules representan procesos y los amarillos archivos:

kankanIPdrawing

El nombre de los comandos externos se explican por sí solos y no requieren mayor explicación exceptuando el comando installphoneapp.

Aplicaciones para móviles

Como es de suponer, el comando installphoneapp provoca que el plugin descargue una aplicación para Android (archivos .APK) que luego son instalados a cualquier dispositivo Android que sea conectado al ordenador. Para hacer esto, el servicio descarga el binario Android Debug Bridge (ADB) – que es parte de Android SDK – más las librerías que necesita. Posteriormente, el plugin de Office descarga el APK en concordancia a las URL especificadas en el archivo XML de comandos. Finalmente, lista los dispositivos Android conectados al ordenador utilizando el comando de ADB “devices” y luego instala cada APK utilizando la sentencia “install”.

De todos modos, la instalación solo funcionará si el dispositivo Android tiene la opción USB debugging activada dentro del menú de opciones del teléfono. Oficialmente esta característica está destinada para propósitos de desarrollo, sin embargo, también es necesaria para el funcionamiento de algunas aplicaciones y por la mayoría de técnicas de root o para instalar ROMs personalizadas. Cabe destacar que la instalación mediante esta técnica no muestra nada en el dispositivo del usuario, es decir, es un proceso completamente transparente para la persona.

Durante la investigación, las aplicaciones de Android no pudieron ser descargadas, no obstante, se pudieron conseguir cuatro de ellas en algunos foros chinos de seguridad. A continuación se muestra la captura de esas aplicaciones para móviles:

APKs

De acuerdo al análisis, todas esas aplicaciones son de utilidad para el usuario. Tres de estas son repositorios de Android que le permiten al usuario descargar otros programas. No se pudo encontrar ninguna característica específicamente maliciosa. Lo que sí llama la atención es que el código está bastante ofuscado. La última aplicación, todavía disponible en Google Play en el momento de la escritura de este post, le permite al usuario realizar llamadas con una tarificación especial. De todos modos, este programa exhibe un comportamiento sospechoso al contactar con diversas direcciones conocidas por distribuir Adware para Android. Esta aplicación es detectada por los productos de ESET como una variante de Android/SMSreg.BT, que corresponde a un Programa Potencialmente Indeseable (PUA). En términos generales, el motivo detrás de la instalación de estas aplicaciones para móviles es desconocido.

La confesión de Xunlei Networking Technologies

La última pregunta que se debe responder es qué rol tuvo Xunlei Networking Technologies en toda esta historia. No solo el ejecutable está firmado con el certificado de la compañía, sino que el subdominio kankan.com corresponde al servicio de vídeo bajo demanda que ofrece dicha empresa. En agosto pasado y frente a la molestia de varios usuarios, la compañía admitió oficialmente durante una conferencia de prensa, que algunos de sus empleados utilizaron los recursos de la empresa para desarrollar y distribuir el programa. La compañía afirmó que el programa fue creado por una subdivisión sin la autorización correspondiente. Asimismo, se afirma que las cinco personas responsables fueron despedidas y que se pidieron disculpas públicamente.

Por otra parte, el archivo uninstaller – (firmado por la misma compañía) - ha sido detectado a partir de comienzos de agosto. Cualquier ordenador infectado descargará este archivo gracias al actualizador. De acuerdo a nuestros análisis, la desinstalación funciona correctamente eliminando todos los componentes del programa. El final de la propagación de Kankan puede ser verificado contrastando los números de archivos detectados por ESET durante agosto y septiembre:

DetectionStat

Se puede observar que la propagación del programa ha disminuido considerablemente tras del pico registrado el 8 de agosto (el desinstalador fue firmado el 9 de agosto). Finalmente, la distribución geográfica de las infecciones puede ser obtenida gracias al sistema de ESET Virus Radar:

geo

Sin ninguna sorpresa, China ha sido el único país realmente afectado por este programa.

Conclusión

El uso de un plugin falso para Office como forma de obtener persistencia, la habilidad de instalar aplicaciones para Android, y las capacidades de backdoor, confirman la validez de la preocupación mostrada por usuarios chinos y es el motivo de que ESET detecte este programa malicioso comoWin32/Kankan. Todavía quedan preguntas abiertas como el vector original de propagación y el motivo para instalar aplicaciones para Android. Finalmente, determinar con exactitud el grado de implicación de Xunlei Networking Technologies en todo este caso es difícil de comprobar. Como nota al margen recordamos que hasta donde sabemos, ningún otro sitio que no sea chino, ha mencionado esta historia.

Agradecimientos

Gracias a Jean-Ian Boutin, Sieng Chye Oh y Alexis Dorais-Joncas por la ayuda durante el análisis de este código malicioso.

Ficheros analizados:

Dropper

A059D6851013523CDC052A03A91D71D3246A14C2
DB59E003D9F5EBF84EB895B2EE7832AF94D0C93E
722773145CB38249E96CC6A7F0FBC7955ACC5D56
 

Plugin de Office

688B5B319F0E2F5DCD2EDE7BBE39FAE29B5ED83F
B221B71CF14E14FEBC4636DE624A2C6CEE3CE725
089A3BB51C5D5218DF47831489F1D8227E73F4B3

Actualizador

1EFD454130A658DB83A171A8DCB944CAEADC8D8F
4F29B2A9778C02F6FDB63F9041DC4D2F4668B484

Servicio

1C223DA59F4BE7907A2FB00FF756083342166A5B
2D00B2DF8B1CEE7411B2D7B8201B382E2896708C

Aplicaciones de Android

A439B1EA45769EC2FA0EFC4098EC263662EF40AE (market)
693E15A00B4934EE21A6423DE62C4A01947CE06A (market)
0A1813FB3D1DD8B871D0575B15124543FF2313E1 (market)
C6013DE01EC260DC5584FAA2A35EF0580B3BDC89 (llamadas)



Aprovechan el lanzamiento de Grand Theft Auto V para propagar malware

Categorias: Android,Juegos,Malware | | 1 Comentario » |

Cuando ya ha pasado una semana del que probablemente sea ya el lanzamiento más exitoso de la historia del videojuego, nadie puede negar que Grand Theft Auto V está en boca de muchos jugadores y medios especializados. Dejando de lado la polémica acerca de si este videojuego muestra una excesiva violencia, polémica que siempre ha perseguido a esta saga y que no ha hecho sino incrementar sus ventas, no es extraño que millones de jugadores busquen información acerca de uno de los juegos más esperados de los últimos tiempos.

Sabedores de este interés, los ciberdelincuentes no han perdido el tiempo y han preparado varias trampas a aquellos jugones más desprevenidos. Hay varios ejemplos que ya han sido detectados y que buscan sus víctimas entre los usuarios de ordenadores y dispositivos móviles con Android.

Uno de los primeros ejemplos detectados fueron varios sitios web que ofrecían versiones gratuitas del juego, supuestamente en forma de betas o versiones de evaluación. Hay que recordar que GTA V tan solo ha sido lanzado, al menos por el momento, en consolas de sobremesa, concretamente en PS3 y XBOX 360, aunque muchos usuarios desconocen este hecho y buscan a toda costa una versión para PC.

gtaV_trial

Estas webs podrían engañar perfectamente a cualquier usuario desprevenido que andase buscando desesperadamente conseguir una copia del juego, a pesar de que no exista para PC. No obstante, el hecho de que muchas de estas versiones gratuitas se anuncien como versión de prueba o beta puede servir para ganarse la confianza de aquellos que saben que GTA V solo aparece en consolas de sobremesa.

Junto con estas web ofreciendo versiones gratuitas del juego, también encontramos otras que nos proporcionan una supuesta clave para desbloquear el juego completo. Parece interesante, ¿verdad? Por desgracia, este tipo de webs tan solo sirven para redirigir al usuario que acceda a ellas a otros enlaces externos en los que tendrá que realizar encuestas para conseguir el ansiado código de activación, que en realidad no existe o no sirve para nada, o, en el peor de los casos, descargará código malicioso en el sistema.

gtaV_serial

Pero los usuarios de ordenadores no son los únicos que se ven afectados por esta nueva campaña preparada por los ciberdelincuentes aprovechando el éxito de este videojuego. Rockstar, la empresa desarrolladora del juego, ha lanzado una aplicación para iPhone e iPads que permite a los usuarios, entre otras cosas, revisar el manual del juego de forma interactiva y disfrutar de minijuegos como “Los Santos Customs” (permitiendo crear y personalizar nuestros propios coches para después usarlos en el juego) o “Chop the dog” (donde cuidaremos del rottweiler de uno de los protagonistas como si de una mascota virtual se tratase).

ifruit

Al haberse lanzado de momento solo para dispositivos iOS, no es de extrañar que ya hayan aparecido varias versiones falsas de esta misma aplicación en mercados (autorizados o no) de aplicaciones para Android. Estas aplicaciones copian el diseño de la original aunque, si nos fijamos, comprobaremos que el desarrollador no es Rockstar, sino otro que no tiene nada que ver con la compañía desarrolladora.

En realidad, este tipo de aplicaciones lo único que buscan es instalar todo tipo de aplicaciones indeseadas en el dispositivo y/o suscribir al usuario a cualquier tipo de servicio de tarificación especial. A pesar de que Google ha eliminado varias de estas aplicaciones en su tienda Google Play, aún se puede encontrar alguna, por lo que es importante desconfiar de ellas (los comentarios dejados por los usuarios pueden servir de ayuda para detectar cuándo se trata de una aplicación fraudulenta).

gtafruit1

Por su parte, Rockstar ha anunciado que avisará debidamente cuando la aplicación para Android se encuentre finalizada, algo que no debería tardar mucho, según los desarrolladores.

Ya hemos visto con anterioridad que los jugones son un grupo de usuarios muy apetecibles para los ciberdelincuentes. De hecho, no hace mucho publicamos unos consejos de seguridad especialmente orientados a ellos debido al incremento de ataques que los tenían como objetivo. Es muy probable que esta tendencia siga igual durante los próximos meses, por lo que no debemos bajar la guardia si queremos disfrutar de todos los lanzamientos aparecidos en los últimos meses y, especialmente, en los que quedan por salir durante  el último trimestre del año.

Josep Albors



Vulneran la protección Touch ID del nuevo iPhone 5S a los pocos días de salir al mercado

Categorias: Android,Apple,seguridad,telefonía | | Sin comentarios » |

Una de las características más destacadas en el recientemente presentado iPhone 5S es la incorporación de un sensor biométrico en el botón Home que permite identificar huellas dactilares y usarlas como método de autenticación. Y como siempre que aparece una nueva capa de seguridad (especialmente en dispositivos como iPhone), no tardaron en aparecer varios grupos de investigadores dispuestos a saltársela.

Y así ha sido. Menos de una semana después de la presentación en sociedad del teléfono estrella de Apple, un grupo de investigadores alemanes conocidos como el Chaos Computer Club han publicado un vídeo donde se observa cómo pueden engañar al Touch ID con una huella falsificada a partir de una fotografía en alta calidad de la huella del propietario del iPhone. Este procedimiento se puede observar en el vídeo que mostramos a continuación:

Según este grupo, para engañar al sensor biométrico incorporado en el iPhone 5S tan solo han tenido que utilizar una imagen en alta resolución de la huella de la víctima, debido a que el sensor incorporado en el dispositivo es de mayor resolución que los que se ven habitualmente en otros dispositivos. No obstante, para poder utilizar esta técnica se necesita tanto el acceso físico a un iPhone 5S como obtener una huella fresca, preferiblemente de superficies como el cristal.

Además, se necesita procesar la imagen de la huella para que esta pueda engañar al sensor biométrico, por lo que, si bien no es algo excesivamente complejo para alguien que esté acostumbrado a realizar este tipo de operaciones (un médico forense, por ejemplo) y cuente con el material adecuado, tampoco es algo que está al alcance de cualquiera. El problema no es tanto evitar que alguien acceda al dispositivo sin nuestro consentimiento, sino almacenar información suficientemente importante en él como para que alguien se tome todas estas molestias para acceder a ella.

TouchID

Por desgracia, muchos usuarios almacenan información cada vez más importante en dispositivos móviles o los utilizan para acceder a ella si se encuentra almacenada en algún servicio alojado en lo que conocemos como nube. La mayoría de ellos pensarán que con las medidas de protección incorporadas por el fabricante hay más que suficiente, pero si el objetivo es lo suficientemente goloso para un atacante, podrá intentar vulnerar las capas de seguridad incorporadas ya sea utilizando software malicioso o de análisis forense u otras técnicas como la que acabamos de describir si se consigue acceso físico al dispositivo.

Como bien apuntan nuestros compañeros de ESET Latinoamérica, el uso de métodos de bloqueo del dispositivo como los patrones de dibujo en Android han demostrado que pueden resultar más sencillos de vulnerar que las contraseñas tradicionales, especialmente si estas cuentan con más caracteres de los cuatro que suelen usarse habitualmente. Pocos usuarios conocen la posibilidad de establecer contraseñas más complejas en sus dispositivos y por eso consideramos importante recordarlo.

  • En iOS  se puede acceder al menú de Ajustes > General > Bloqueo con código. Una vez allí tan solo deberemos desactivar la opción Código simple para definir una nueva contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-iOS-más-de-cuatro-caracteres1

  • Para Android se puede acceder al menú Ajustes > Pantalla de bloqueo > Contraseña. Una vez ahí, podremos definir una contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-Android-más-de-cuatro-caracteres

Hay que tener en cuenta no solo el acceso físico al dispositivo, sino también a todos los servicios a los que nos conectamos desde nuestro móvil. Solemos acceder a cuentas como las de Apple, Gmail, Twitter o Facebook y almacenamos nuestros datos de registro en el dispositivo para evitar tener que registrarnos cada vez que queremos consultar el correo o comprobar actualizaciones de nuestras amistades en Facebook. Esto es lo que más nos debería preocupar en caso de robo o pérdida del dispositivo, y no tanto su valor económico.

Para evitar este tipo de acceso no autorizado se pueden aplicar ciertas medidas como cifrar los datos almacenados en el dispositivo, utilizar autenticación de doble factor a la hora de acceder a cuentas personales o corporativas de correo u otros servicios y contar con un sistema antirrobo que nos permita localizar el móvil o borrar los datos almacenados en él en caso de pérdida o robo. Como vemos, no nos faltan opciones, pero la responsabilidad final para aplicarlas siempre recaerá en nosotros.

Josep Albors



Vulnerabilidad en Android Webview permitiría instalar aplicaciones maliciosas

Categorias: Android,Malware,telefonía,Vulnerabilidades | | 1 Comentario » |

Las amenazas y agujeros de seguridad en sistemas operativos de dispositivos móviles se descubren de forma tan continua que ya no nos sorprendemos cuando se anuncia uno nuevo. Especialmente preocupante es el caso de Android, con la mayor cuota de mercado en dispositivos móviles pero también el blanco preferido de los ciberdelincuentes.

En esta ocasión, investigadores de AVG han descubierto una vulnerabilidad en el manejo de WebView, algo que un atacante podría aprovechar para conseguir que la víctima ejecutase una aplicación maliciosa en su dispositivo. WebView, por defecto, solo permite mostrar una aplicación web (o una página web) como parte de una aplicación para Android. Si deseamos que se cargue alguna web que utilice JavaScript, primero deberemos activarlo en WebView.

El problema reside en las versiones de Android 4.1 y anteriores, puesto que en esas versiones el método addJavascriptInterface inyecta un objeto Java en WebView. Esto permitiría preparar una web de tal forma que, cuando un usuario con una versión de Android vulnerable la visite, termine ejecutando un Javascript que permita la descarga e instalación de aplicaciones maliciosas en el dispositivo.

Android_WebView

Este fallo de diseño ya se encuentra solucionado en las versiones de Android 4.2 y posteriores, por lo que la solución ideal sería actualizar a esta versión. Sin embargo, el ecosistema Android no se caracteriza por tener sus dispositivos actualizados a la versión más reciente, algo que se complica aún más en el caso de aquellos móviles y tabletas que dependen de las operadoras de telefonía para poder acceder a la versión más reciente de su sistema operativo. Es de esperar entonces que, de no cambiar los planes de Google, millones de dispositivos queden expuestos a ataques que se aprovechen de esta vulnerabilidad.

Por suerte, como usuarios podemos evitar comprometer nuestros dispositivos móviles si andamos con cuidado y no pulsamos sobre enlaces sospechosos y evitando descargar aplicaciones de dudosa procedencia. Esto no es siempre fácil y basta con que nos descuidemos una sola vez para infectar nuestro dispositivo, por eso nunca debemos bajar la guardia.

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje