¿El vídeo más impactante de 2014? ¡Ten cuidado con los engaños en Facebook!

Categorias: Facebook,redes sociales,telefonía | | 2 Comentarios » |

Está claro que si quieres propagar un engaño de forma rápida y efectiva, has de usar las redes sociales. Al menos así piensan la mayoría de ciberdelincuentes y estafadores que no dudan en aprovecharse de cualquier estratagema o noticia de impacto para engañar a la mayor cantidad de usuarios de estas redes sociales y sacar algún beneficio.

En esta ocasión nos encontramos con un enlace que hemos visto publicándose últimamente en varios perfiles de Facebook. Como ya hemos analizado en anteriores ocasiones en este mismo blog, se intenta llamar la atención de los usuarios de esta popular red social con algo como un “vídeo impactante”, aunque el tema del vídeo sea tan absurdo como el de una supuesta bruja llorando.

En esta ocasión la descripción nos promete ver el vídeo más impactante de lo que llevamos de año tal que así:

enlace_fb

Como la curiosidad y el cotilleo es uno de los motivos principales por los que uno se hace una cuenta en Facebook, es fácil deducir que no habrán sido pocos los usuarios que han pulsado sobre el enlace. El problema es que ese enlace nos lleva a una web que no tiene nada que ver en Facebook (por mucho que intenten imitar el aspecto) y pertenece a un portal de noticias “curiosas”.

comparte1No obstante, para ver el vídeo primero te piden que lo compartas. Para eso hemos de acceder a nuestra cuenta de Facebook en caso de no estar registrado, pero muchos de los usuarios que han pulsado en el enlace ya se encontraban en Facebook, puesto que es el medio principal por el que se difunde este enlace. De esta forma, se encuentran a solo un clic de compartir esta publicación en su muro y difundirla entre todos sus contactos, algo que propagará aún más este vídeo.

comparte2

Ya hemos compartido el vídeo en nuestro muro y es hora de comprobar si es tan impactante como dicen, así que hacemos clic y se nos envía a un portal de noticias donde se aloja el vídeo. No obstante, el vídeo que se nos presenta nada más acceder a esta web no es el que buscamos (este se encuentra al final de la noticia y no es tan impactante como prometen). El supuesto vídeo que se nos incita a que visualicemos cuando entremos a esta web es más que eso…

blog2

Como algunos usuarios avispados ya habrán deducido por experiencias similares anteriores, este primer vídeo esconde una sorpresa, y es que para poder visualizarlo se nos solicita la instalación de un Media Player. Si no lo han hecho ya, en este punto deberían saltar todas las alarmas, puesto que esta ha sido una de las técnicas más utilizadas por ciberdelincuentes durante años para engañarnos y conseguir que instalemos malware en nuestro sistema.

codec2

Da igual que pulsemos sobre cualquiera de las opciones que se nos presentan para descargar o instalar este supuesto Media Center, puesto que ambas nos redigirán a una nueva web. Es aquí donde descubrimos el pastel y el interés por hacer llegar este vídeo al mayor número de usuarios posible, ya que desde este enlace se nos incita a suscribirnos a un servicio de películas en streaming a cambio únicamente de nuestro número de móvil y, por supuesto, del pago de una cuota máxima de 36.25 € al mes que se realizará mediante el envío periódico de mensajes sms de tarificación especial.

smstreaming2b

Seguramente, durante las próximas semanas, los pobres incautos que hayan proporcionado su número de teléfono a este servicio y aceptado las condiciones de uso se encuentren con un cargo inesperado en su factura telefónica. Es entonces cuando se empieza a pensar en reclamar a la operadora o a emprender medidas legales contra este tipo de empresas.

Sin embargo, hemos de leer la letra pequeña, y este tipo de empresas saben cubrirse muy bien las espaldas en lo que respecta a temas legales. Solo necesitan avisar de los cobros que realizarán en los pasos que hemos ido dando hasta proporcionarles nuestro número de teléfono y ya cumplen con la legislación. Por suerte también están obligados a proporcionar algún método para darse de baja de este servicio, tal y como vemos en la imagen a continuación con las condiciones de uso de este servicio.

condiciones

Que este tipo de prácticas estén dentro de la legalidad no los exculpa de las triquiñuelas realizadas para conseguir que alguien pique y se suscriba a su servicio. Como usuarios hemos de permanecer atentos y evitar que nos líen de mala manera, y para evitarlo podemos empezar por desconfiar de este tipo de publicaciones en muros ajenos. Suficientemente impactantes son los vídeos que vemos en el Telediario como para ir buscando más todavía y que encima nos causen un descalabro económico.

Josep Albors



Puerta trasera en modelos de Samsung Galaxy permite el “espionaje” remoto a sus usuarios

Durante los últimos días se ha venido comentando la noticia de que Samsung estaría utilizando una versión modificada de Android en nueve de sus dispositivos Galaxy para, supuestamente, “espiar” remotamente a sus usuarios. La información desvelada por desarrolladores del Replicant Project (que elaboran su propia versión gratuita de Android) parece demostrar que también se podría estar espiando a los usuarios utilizando hardware de estos dispositivos como el sistema GPS, la cámara y el micrófono.

Mientras se encontraban trabajando en Replicant, los desarrolladores encontraron que varios modelos de la familia Galaxy de Samsung disponían de esta puerta trasera, incluyendo terminales tan populares como el Galaxy Note 2, Galaxy S3 o el Nexus S. Aparentemente, estos dispositivos cuentan con un modem que permite realizar operaciones remotas que incluyen la monitorización e incluso la modificación de los datos del usuario, según un informe de PC World.

samsungnote2

Según un post en la Free Software Foundation, el desarrollador de Replicant, Paul Kocialkowski comentó, “Este programa se incluye con los dispositivos Samsung Galaxy y hace posible que el modem lea, escriba y elimine ficheros del sistema de almacenamiento del móvil. En varios modelos de teléfonos móviles este programa se ejecuta con suficientes privilegios como para acceder y modificar los datos personales del usuario.”

Este mismo desarrollador también comentó que programas de este tipo “hacen posible transformar remotamente el modem del móvil en un dispositivo espía. Este espionaje puede incluir la activación del micrófono del dispositivo pero también puede utilizar la localización GPS y acceder a la cámara, así como también a los datos almacenados en el móvil. Además, estos módems están conectados la mayor parte del tiempo a la red del operador, haciendo que esta puerta trasera sea accesible la mayor parte del tiempo.”

Kocialkowski también dijo que los nueve modelos de dispositivos Samsung puede que no sean los únicos afectados por esta puerta trasera, según el informe de Information Week’s. Los desarrolladores de Replicant demostraron la existencia de esta puerta trasera mediante un parche que puede dar órdenes a los módems en los dispositivos afectados, órdenes como abrir, leer y cerrar un fichero. Aún no está claro el propósito, de haber alguno, que puede tener esta puerta trasera aunque los desarrolladores de Replicant afirman que sería “relativamente fácil” que un atacante lo aprovechase.

“Descubrimos que el programa propietario que se ejecuta en el procesador de aplicaciones  encargado de manejar el protocolo de comunicaciones con el modem implementa una puerta trasera que permite al modem realizar operaciones I/O (de entrada y salida) en el sistema de ficheros.” comentó Kocialkowski. Asimismo, este desarrollador instó a los usuarios de dispositivos Galaxy a enviar sus quejas sobre esta puerta trasera directamente a Samsung.

En el momento de escribir este post, Samsung aún no ha realizado un comunicado oficial sobre este descubrimiento.

Josep Albors

Publicación adaptada del post original en WeLiveSecurity.



10 consejos para un uso responsable de tu smartphone

Categorias: Android,Educación,seguridad,telefonía | | Sin comentarios » |

Los móviles han pasado en relativamente poco tiempo de ser un capricho a una necesidad. Forman parte de nuestra vida cotidiana y tienen un impacto muy alto en nuestras relaciones interpersonales. Hay que reconocer que nos facilitan la vida de muchas maneras pero también hay que tener en cuenta ciertos riesgos asociados a su uso y que pueden tener consecuencias graves.

El principal problema que encontramos habitualmente en el uso de dispositivos móviles, tanto entre menores como entre adultos, es que no se hace un uso responsable. A diario nos encontramos con casos de personas que utilizan su móvil para molestar a otros usuarios e incluso vulnerar su privacidad; por eso queremos ofrecer este decálogo de consejos para que, entre todos, hagamos un uso responsable y seguro de nuestro móvil y podamos disfrutar de la tecnología sin sobresaltos.

Consejos

1.- Aunque los podemos encontrar en una amplia variedad de modelos y precios un smartphone suele suponer un desembolso importante de dinero. No obstante, la información privada que contienen sobre nosotros es mucho más valiosa que el terminal más caro del mercado. Por ello, es esencial que, en caso de pérdida o robo, denunciemos su desaparición para que no tengamos que acarrear las consecuencias de un uso indebido del dispositivo.

2.- Contactar con las operadoras en caso de pérdida o robo también ayuda aunque no es una solución infalible. Podemos intentar bloquear el terminal y la tarjeta SIM llamando a la operadora pero esto no es impedimento para que alguien con conocimientos consiga acceder al mismo y utilizarlo. Por eso es recomendable contar con aplicaciones de seguridad que permitan bloquear el acceso al terminal, intentar localizarlo y, en caso de que no creamos posible su recuperación, borrar todos los datos almacenados en el mismo.

3.- Además de proteger nuestro teléfono móvil con un pin de acceso o un patrón de desbloqueo, es recomendable cifrar los datos que almacenemos en ellos. Esta acción es sencilla de realizar y muchos de los dispositivos actuales la incluyen por defecto entre sus características de seguridad. De esta forma evitarás que miradas indiscretas accedan a tu terminal y husmeen en tus datos privados cuando te dejes olvidado tu móvil encima de la mesa con otras personas.

4.- Con los smartphones llegó la conexión permanente y los servicios de mensajería instantánea que permitían hablar con nuestros contactos de forma gratuita, evitando así los costosos SMS. Sin embargo esta sobreexposición de nuestra privacidad ha derivado en conductas peligrosas al haber usuarios que comparten fotos íntimas y que pueden poner en peligro nuestra privacidad. Del mismo modo, los ciberacosadores han encontrado en estos medios un canal perfecto para sus actividades. Por eso no debemos consentir ni producir este tipo de material que solo produce molestias a otras personas.

1900090_10152293733120908_2022427386_n

5.- Más que un teléfono, un smartphone es un ordenador de bolsillo, con sus bondades y sus defectos. Los teléfonos móviles, especialmente aquellos con sistema operativo Android, también sufren el ataque de los ciberdelincuentes por lo que debemos estar alerta. Instalar aplicaciones de confianza, evitar pulsar sobre enlaces sospechosos o instalar una solución antivirus nos pueden ayudar a evitar males mayores.

6.- Por su naturaleza, un smartphone nos sirve para conectarnos a Internet allá donde estemos. No obstante, hay que cuidar desde donde nos conectamos. Un punto de acceso gratuito puede estar siendo espiado por un atacante o podemos acceder a una red WiFi trampa que capturará todas nuestras contraseñas. Conéctate únicamente a redes con una seguridad adecuada y, en el caso de tener que hacerlo en una red que no sea de confianza, toma las medidas de seguridad oportunas como establecer una conexión segura mediante VPN.

7.- De la misma forma que andamos con cuidado a la hora de abrir ciertos mensajes o webs sospechosas en nuestro ordenador de sobremesa o portátil, en nuestro móvil no debemos bajar la guardia. Podemos ser víctimas de una suplantación de página web navegando desde nuestro móvil, con el inconveniente de que, al ser la pantalla más pequeña, tendremos más complicado reconocer si se trata de una dirección auténtica. Evita acceder con tus credenciales a un servicio online desde tu móvil si no estás seguro de estar ante el sitio web verdadero.

8.- Las aplicaciones que instalamos en nuestro móvil pueden aumentar sus posibilidades de uso hasta límites insospechados. Sin embargo algunas realizan acciones sin nuestro consentimiento que pueden repercutir, por ejemplo, en la factura mensual del teléfono. Revisa los permisos que otorgamos a las aplicaciones que instalamos en nuestro smartphone para evitar sorpresas cuando recibamos la factura.

9.- Nunca está de más hacer una copia de seguridad de los datos que almacenamos en nuestro móvil. Hacemos fotos y vídeos sin parar pero si perdemos o nos roban el móvil esa información puede desaparecer para siempre. Hay terminales que permiten hacer una copia de seguridad de tus datos en la nube de forma cómoda. Aprovecha esta característica y pon tus datos privados a buen recaudo.

10.- Por último, no debemos olvidar que los smartphones son herramientas que utilizamos para estar en contacto con nuestros seres queridos, llenar nuestros ratos de ocio o mejorar nuestra productividad. Son dispositivos que están a nuestro servicio y no a la inversa. Evita la adicción tecnológica y realiza descansos en su utilización. Es mejor hablar cara a cara que hacerlo a través de una pantalla.

Laura Grau

Josep Albors



Qadars – Un troyano bancario con los Países Bajos en su punto de mira

El siguiente artículo es una traducción y adaptación del publicado por nuestro compañero Jean-Ian Boutin en el blog de ESET We Live Security.

Introducción

Un nuevo troyano bancario ha hecho aparición en los últimos meses. Siendo analizado en primera instancia por LEXSI, este troyano bancario ha estado muy activo y ha infectado a usuarios de todo el mundo. Su modus operandi consiste en el fraude bancario mediante inyecciones web. A pesar de que este vector de ataque ha estado presente durante mucho tiempo en varias familias de troyanos bancarios, aún sigue siendo efectiva. Win32/Qadars utiliza una amplia variedad de inyecciones web, algunas de ellas con componentes móviles de Android, utilizados para saltarse la seguridad de la banca online o para obtener acceso a la cuenta bancaria del usuario.

Normalmente, los troyanos bancarios tienen como objetivos a varias instituciones financieras importantes o se centran en un grupo más pequeño que suele incluir a aquellas instituciones en las que su base principal de usuarios se encuentra geográficamente cerca. Win32/Qadars se encuentra en la segunda categoría, obteniendo sus objetivos de regiones específicas y utilizando ficheros de configuración de inyecciones web diseñados a medida para aquellas entidades financieras más utilizadas por los usuarios. A lo largo de esta investigación hemos visto que hay principalmente seis países afectados por Win32/Qadars:

-          Países Bajos

-          Francia

-          Canadá

-          India

-          Australia

-          Italia

Mientras que la mayoría de ataques dirigidos a los usuarios en estos países fueron lanzados en sucesivas oleadas, los usuarios de los Países Bajos fueron objetivos durante todo el periodo de monitorización. Esto llamó poderosamente nuestra atención por lo siguiente:

  • Sigue siendo muy activo tras seis meses y es actualizado constantemente.
  • Apunta a regiones muy específicas del mundo.
  • Utiliza una amplia variedad de inyecciones web, alguna de las cuales también fue utilizada por otra familia de troyanos bancarios en una campaña sin relación alguna.
  • Utiliza Android/Perkele para saltarse los sistemas de doble factor de autenticación en los móviles.

Perspectiva histórica

Las primeras muestras de actividad que observamos de este malware fue a mediados de mayo de 2013. El siguiente gráfico muestra la detección diaria de Win32/Qadars.

daily_detection_globalImagen 1 : Detecciones diarias de Win32/Qadars

A pesar de que las primeras detecciones se produjeron en mayo, la primera oleada de infecciones sucedió a finales de junio. De forma interesante, los autores parece que tuvieron una fase de pruebas hasta que se observó el siguiente pico de infecciones semanas después sin apenas detecciones entre oleadas. Asimismo, los usuarios italianos fueron el objetivo principal durante la primera oleada mientras que las campañas siguientes tenían como objetivo a usuarios holandeses. Pensamos que este kit se ha mantenido privado o vendido únicamente a un grupo de usuarios seleccionados cuidadosamente. Hemos viso unas cuantas campañas de propagación más, pero la mayoría de infecciones que hemos analizado son de la misma campaña y por eso comparten los mismos servidores de mando y control (C&C).

Podemos seguir la evolución del malware a través del número de versión que se incluye en el ejecutable. La primera versión que vimos fue la 1.0.0.0 y la última fue la 1.0.2.7. El lanzamiento constante de nuevas versiones nos indica que este malware se encuentra en continuo mantenimiento y desarrollo. El siguiente gráfico nos muestra la fecha en que se observó cada nueva versión.

versioning_first_sampleImagen 2 : Evolución del número de versión a través del periodo de monitorización

Análisis técnico

Win32/Qadars utiliza un esquema Man-in-the Browser (MitB) para realizar el fraude financiero. Tal y como hace Win32/Spy.Zbot, Win32/Qadars se inyecta en los procesos del navegador para anclarse a ciertas APIs. Utilizando este anclaje, es posible inyectar contenido en las webs visitadas por el usuario. Este contenido inyectado puede ser cualquier cosa, pero normalmente se trata de un formulario que pretende recopilar credenciales de los usuarios o un código Javascript diseñado para intentar realizar  transferencias automáticas sin conocimiento o autorización del usuario.

Los ficheros de configuración de la inyección web se descargan del servidor C&C y contiene la URL de la web objetivo, el contenido que debería ser inyectado en la web y, finalmente, dónde debería ser inyectado. El formato de configuración del fichero es muy similar a otros troyanos bancarios existentes. Una vez descargada, la configuración se almacena cifrada con AES en las claves de registro del ordenador. Actualmente, Win32/Qadars es capaz de anclarse en dos navegadores para realizar la inyección de contenido: Firefox e Internet Explorer. También hay líneas de código que hacen referencia a Chrome, por lo que podríamos ver versiones que afecten a este navegador en el futuro.

Una vez que el malware ha infectado una máquina, el delincuente al mando de la botnet puede controlar las máquinas infectadas mediante diferentes comandos, la mayoría de los cuales aparecen listados en la tabla a continuación.

Tabla 1:  Comandos y descripción

tabla1

Un añadido que se realiza en la versión 1.0.2.7 es un ladrón de credenciales FTP. Soporta un amplio rango de clientes FTP e intenta abrir sus ficheros de configuración para robar las credenciales del usuario. Curiosamente, para poder robar las credenciales de los usuarios integra algunas contraseñas estáticas conocidas que algunos de estos clientes FTP utilizan para cifrar sus ficheros de configuración. Este comportamiento no es novedoso y ya se ha visto en otras muestras de malware como por ejemplo Win32/PSW.Fareit (Pony Loader).

Comunicaciones de red

Win32/Qadars usa un cifrado AES en modo ECB para cifrar sus comunicaciones de red. Antes de enviar un mensaje, el cliente generará una cadena aleatoria de nueve caracteres y utilizará su hash MD5 como la llave AES para cifrarlo. También generará otra cadena aleatoria que incluirá en el mensaje enviado al servidor. Esta llave será utilizada por el servidor para cifrar su respuesta. Para transferir de forma segura la clave AES utilizada para cifrar el mensaje al servidor el cliente lo cifrará una vez más, dos caracteres cada vez, y la añadirá al mensaje. Finalmente, el mensaje resultante se codifica usando base64 y se envía al servidor. La siguiente imagen representa este proceso y muestra los diferentes campos presentes en los mensajes enviados al servidor.

client_to_server_commImagen 3 : Comunicación Cliente/Servidor

La respuesta del servidor se cifra usando la clave del servidor introducida en la petición del cliente. También se añade el resumen MD5 del mensaje como un mecanismo de detección de errores. La siguiente imagen muestra la estructura de la respuesta del servidor.

server_to_client_commImagen 4 :Comunicación Servidor/Cliente

El análisis de los diferentes ID de los mensajes utilizados por Win32/Qadars nos dicen más cosas acerca de sus funcionalidades. La tabla a continuación nos muestra un listado de los diferentes identificadores de los mensajes y su descripción.

Tabla 2 : ID de los mensajes y su descripción

tabla2

Conocer el protocolo de red utilizado por Win32/Qadars mejoró notablemente nuestra habilidad para realizar el seguimiento de la botnet y estudiar su comportamiento

Vector de infección

 El fichero de configuración de la inyección web de Win32/Qadars cambia frecuentemente y apunta a instituciones específicas. Para maximizar su éxito con estas inyecciones web, los autores del malware intentan infectar a los usuarios en regiones específicas del mundo. En la siguiente sección mostraremos qué países fueron los más atacados, pero echemos primero un vistazo a los vectores de infección que el creador del malware eligió para atacar a ciertos países. Desde mayo a octubre no está claro cómo se propagaba el malware pero, mediante nuestro sistema de telemetría, encontramos numerosas pistas para deducir que los delincuentes habían comprado hosts comprometidos en los países en los que estaban interesados. Llegamos a esta conclusión porque todos los sistemas infectados que analizamos también tenían descargadores de troyanos y otros tipos de malware Pago-por-instalación (PPI) como Win32/Virut

A comienzos de noviembre vimos que Win32/Qadars estaba siendo distribuido a través del Nuclear Exploit Kit. A continuación hay una serie de URL que fueron utilizadas para distribuir este malware a principios de noviembre. El patrón utilizado por Nuclear Exploit Kit en ese momento es claramente visible:

hxxp://nb7wazsx[.]briefthink[.]biz:34412/f/1383738240/3447064450/5

hxxp://o3xzf[.]checkimagine[.]biz:34412/f/1383770160/1055461891/2

hxxp://pfsb77j2[.]examinevisionary[.]biz:34412/f/1383780180/1659253748/5

Ambos vectores de infección permiten a los gestores de la botnet elegir la ubicación de los sistemas comprometidos.

Objetivos regionales

Win32/Qadars se ha centrado hasta ahora principalmente en seis países: los Países Bajos, Francia, Canadá, Australia, India e Italia. El siguiente gráfico muestra la distribución geográfica de la detección en el periodo comprendido entre mayo y noviembre de 2013.

pie_detectionsImagen 5 : Distribución de la detección

Win32/Qadars claramente busca infectar ordenadores holandeses ya que el 75% de las detecciones vienen de esta región. El análisis de las fechas en las que fue detectado muestra que hubieron varias oleadas de infecciones.

area_detections

Imagen 6: Detecciones diarias de Win32/Qadars por países

Las detecciones en los Países Bajos siempre son las más importantes, seguidas por las detectadas en Francia. El caso de Canadá es especialmente interesante ya que todas las detecciones en este país ocurrieron en los últimos quince días de octubre. Por supuesto, el fichero de configuración de la inyección web descargado por los bots en esas fechas contenía código que apuntaba a las principales instituciones financieras canadienses.

El inyector web descargado por los bots apunta a instituciones financieras en los seis países mencionados anteriormente con un grado variante de sofisticación. Algunas inyecciones web solamente recopilarán información extra cuando un usuario intente registrarse en la web segura de su banco. Esto se realiza a través de la inyección de un formulario adicional o de elementos que preguntan al usuario por información privada cuando se conecta a su banco. A continuación se muestra un ejemplo de formulario.

bank_log_screenshotImagen 7 : Inyección web con apariencia de phising

Otras inyecciones web son más complicadas y pueden realizar transacciones automáticamente y saltarse los sistemas de autenticación de doble factor implementados por los bancos.

Inyecciones web

Las inyecciones web utilizadas por los troyanos bancarios pueden ser obtenidas de diferentes formas. Pueden ser programadas directamente por los cibercriminales que manejan la botnet o pueden comprarse. Hay varios programadores que ofrecen inyecciones web públicas o las producen a medida según las necesidades del usuario. Hay muchas de estas ofertas y algunas pedirán una cantidad diferente de dinero dependiendo de las características solicitadas.

Cuando analizamos las inyecciones web utilizadas por Win32/Qadars nos pareció claro que no fueron escritas por las mismas personas, ya que las técnicas empleadas y estilos de programación son bastante diferentes. De hecho, pensamos que todas fueron compradas en varios foros underground. Una plataforma de inyecciones web que utilizan tiene una forma distintiva de obtener contenido externo como por ejemplo scripts e imágenes. La URL en el Javascript inyectado será algo parecido a esto:

hxxp://domain.com/gate.php?data=cHJvamVjdD1tb2ItaW5nbmwtZmFuZCZhY3Rpb249ZmlsZSZpZD1jc3M=

La porción “data=” de la URL está codificada en base 64. Cuando se descodifica se puede leer la siguiente cadena “project=mob-ingnl-fand&action=file&id=css”, lo que nos permite conocer el objetivo así como también el fichero que está tratando de obtener. Curiosamente, encontramos el mismo tipo de sintaxis en inyecciones web utilizadas en una campaña que tenía a  bancos de la República Checa como objetivo y que utilizaba Win32/Yebot (alias Tilon) como troyano bancario. No obstante, a pesar de que no encontramos restos de esta particular plataforma de inyección web en los foros underground en los que buscamos, sí que encontramos otro tipo de ofertas.

Sistemas de Transferencias Automáticas (ATS)

ATS, utilizadas frecuentemente en troyanos bancarios, es un término aplicado a las inyecciones web que persiguen iniciar una transferencia automática una vez que el usuario accede a su cuenta bancaria a través de un ordenador infectado. Normalmente contendrá código para encontrar automáticamente la cuenta con la mayor cantidad de dinero y realizar una transferencia a la cuenta destino controlada por el atacante/mulero. Este código normalmente contiene algunos trucos (a base de ingeniería social) para saltarse los sistemas de autenticación de doble factor que algunos bancos imponen a la hora de realizar transferencias.

Hemos encontrado varios programadores en foros underground que venden ATS públicos o privados para varios bancos de todo el mundo. En los foros underground, una inyección web “pública” es aquella que se vende a cualquiera que la solicite mientras que la “privada” se personaliza según las necesidades del comprador y normalmente no vuelve a ser vendida por el programador. Por regla general, los compradores de las inyecciones web privadas reciben el código fuente y los derechos para redistribuirlas a terceros. Sabemos que los autores de Win32/Qadars están comprando algunas inyecciones web porque encontramos una ATS pública que había sido integrada en el fichero de configuración de su inyección web. Como muchas otras ofertas, este código vende, junto con el inyector web, un panel de administración (mostrado a continuación), que permite a los cibercriminales controlar varios aspectos sobre cómo debe realizarse la transferencia automática de fondos.

french-ats-editedImagen 8 : Panel de administración de inyección web ATS

Esta oferta en particular está apuntando a un banco francés y el programador afirma que puede saltarse el sistema de autenticación de doble factor por SMS establecido por el banco para evitar transferencias fraudulentas.

Perkele

En varios de los ATS que hemos analizado, como el que hemos descrito anteriormente, el malware debe interceptar un SMS para hacer que la transferencia se realice. Esto es necesario porque el banco envía un número de autorización de la transacción (TAN) al móvil del usuario cuando este inicia la transferencia de dinero. El usuario debe introducir este TAN en su navegador antes de que se autorice la transferencia. El uso de un componente móvil en un troyano bancario no es nuevo, puesto que ZitMo y otros han estado entre nosotros durante bastante tiempo.

Lo que resulta particularmente interesante en este caso es que varios programadores de inyecciones web están añadiendo estos malware para móviles en sus inyecciones web. Esto significa que el delincuente que gobierna una botnet puede comprar inyecciones web muy complejas que no son solamente código JavaScript, sino que también contienen un panel de administración y algunos malware para móviles personalizados para el banco objetivo.

En el caso de Win32/Qadars, el componente móvil que hemos visto unido a la inyección web es Android/Perkele, un malware para móviles que puede interceptar mensajes SMS y reenviárselos a los ciberdelincuentes, tal y como comenta Brian Krebs en el análisis de este malware. La inyección web se encarga de todo en este caso: cuando el usuario accede a su cuenta bancaria el contenido se inyecta en su navegador, solicitándole que especifique su marca de móvil y la descarga de una aplicación de “seguridad” en su dispositivo móvil. Debido a que el usuario puede ver este contenido mientras  accede a su cuenta, será más propenso a pensar que este mensaje es genuino y que la aplicación realmente proviene de su banco. En una de las muestras que analizamos, una vez que la aplicación bancaria se instala en el móvil, envía un SMS a un número de teléfono en Ucrania.

ats_frenchImagen 9: Captura de pantalla de Android/Perkele con un banco francés como objetivo

Android/Perkele soporta los sistemas Android, Blackberry y Symbian, pero tan solo hemos visto el componente de Android siendo utilizado en conjunto con Win32/Qadars. Una vez la aplicación se instala en el móvil del usuario se puede realizar la transferencia automática ya que el SMS que contiene el TAN puede ser obtenido por los delincuentes.

Esta oferta de inyectores web es un buen ejemplo de personalización del malware. El gestor de la botnet puede ahora comprar una solución completa que le permitirá realizar transferencias automáticas y saltarse los sistemas de autenticación de doble factor. Todo lo que necesita es proporcionar una manera de inyectar contenido en el navegador del usuario. Esta funcionalidad se encuentra implementada en todos los troyanos bancarios modernos.

Conclusión

Recientemente hemos visto un resurgimiento de nuevos troyanos bancarios distribuidos por ciberdelincuentes. Win32/Napolar, Win32/Hesperbot y Win32/Qadars han aparecido en los últimos meses. Probablemente no sea una coincidencia que haya un elevado número de troyanos bancarios y de su código fuente disponible tras las filtraciones del código de Win32/Zbot y Win32/Carberp.

Otro punto interesante que observar es la scene de los programadores de inyecciones web. Estos individuos están ofreciendo piezas de código cada vez más sofisticadas capaces de saltarse una amplia variedad de sistemas de autenticación de doble factor. Será interesante observar si en algún momento el mercado madura lo suficiente para que podamos ver aparecer kits de inyectores web, de la misma forma que sucedió con la scene de kits de exploits.

Agradecimientos especiales a Hugo Magalhães por su contribución a este análisis.

Hashes SHA1

Win32/Qadars (Nuclear Pack): F31BF806920C97D9CA8418C9893052754DF2EB4D

Win32/Qadars (1.0.2.3): DAC7065529E59AE6FC366E23C470435B0FA6EBBE

Android/Perkele: B2C70CA7112D3FD3E0A88D2D38647318D68f836F

Josep Albors

 



Nuevas variantes de Hesperbot apuntan a Alemania y Australia

Categorias: Botnets,telefonía,Troyanos | | 1 Comentario » |

El siguiente es un artículo traducido y adaptado del que ha publicado nuestro compañero Robert Lipovsky en WeLiveSecurity.

 El pasado mes de septiembre informábamos sobre un nuevo troyano bancario llamado Hesperbot (detectado por las soluciones de seguridad de ESET como Win32/Spy.Hesperbot ). Los creadores de esta amenaza siguen activos y durante el noviembre han desarrollado nuevas variantes que vamos a analizar en el siguiente post.

Nuevos objetivos: Alemania y Australia

La distribución geográfica de las infecciones por Hesperbot se han concentrado en unos cuantos países, debido principalmente al hecho de que los correos fraudulentos suplantan a instituciones de confianza en los países afectados (p.ej. servicio postal o ISP)  y sigue siendo el principal vector de infección.

Tal y como sospechábamos, no paso mucho tiempo hasta que los atacantes empezaron  a buscar nuevos objetivos en usuarios de banca online de otros países. Además de los cuatro países en los que inicialmente se detectó esta amenaza (Turquía, República Checa, Portugal y Reino Unido) en noviembre descubrimos nuevas versiones de Hesperbot que apuntaban a Alemania y Australia.

Mientras tanto, nuevas oleadas de infecciones continuaban en la República Checa y los scripts de inyección web (que no estaban presentes previamente) se añadieron a los ficheros de configuración para la botnet Checa. El siguiente gráfico muestra las detecciones de Hesperbot en noviembre clasificadas por país.

1

Archivos de configuración. Bancos objetivo

La arquitectura modular y el modus operandi de la amenaza siguen sin cambios. El fichero de configuración proporcionado determina que URL debe ignorar el recopilador de formularios (todas las demás peticiones HTTPS POST son capturadas con la intención de recopilar credenciales de acceso a la banca online), las URL que deben activar la captura de vídeo (tanto como método para saltarse la protección ofrecida por los teclados virtuales y también como forma rápida para el operador de la botnet de ver el balance de la cuenta de la víctima sin tener que registrarse) y define las inyecciones web en un formato similar a Zeus o SpyEye. La siguiente tabla muestra las direcciones de los bancos online afectados obtenida de los archivos de configuración más recientes.

tablebotnet

Los formularios web inyectados, a través de los cuales los atacantes intentan engañar a la víctima para que instale el componente móvil, tienen el siguiente aspecto:

2

3

4

Nótese que las capturas de pantalla anteriores han sido realizadas sin el formato CSS, específico para las webs de cada banco. A continuación vemos un caso real de inyección web en la URL de un banco checo:

6La técnica man-in-the-browser de Hesperbot se asegura de que la conexión HTTPS aparezca como segura. Para obtener más detalles acerca de cómo funciona esta técnica, se puede consultar nuestro análisis técnico de esta amenaza.

Nuevos módulos para bloquear procesos y robar Bitcoines

En nuestros artículos anteriores donde analizamos técnicamente esta amenaza (parte 1 y parte 2) describimos a los módulos individuales de Hesperbot y su funcionalidad. La última versión del troyano utiliza ahora dos nuevos módulos.

El primero de ellos, gbitcoin, intenta robar los siguientes ficheros y enviarlos al servidor C&C:

  • %APPDATA%\Bitcoin\wallet.dat
  • %APPDATA%\MultiBit\multibit.wallet

Estos ficheros representan los monederos de Bitcoin que almacenan las claves privadas del cliente original de Bitcoin y MultiBit, respectivamente. Con al valor actual de Bitcoin por las nubes, la decisión de añadir este módulo es muy comprensible. Podemos encontrar noticias relacionadas con el robo de Bitcoines en nuestro blog y consejos para proteger nuestro monedero de monedas virtuales en la Bitcoin wiki.

El Segundo módulo es quizás el más interesante. Sus acciones están determinadas por el fichero de configuración de Hesperbot. Si las entradas correspondientes están presentes, el módulo puede:

  • Suspender todos los hilos de un proceso específico y luego desactivar y ocultar todas sus ventanas visibles.

7

  • Mostrar un mensaje usando la función MessageBox.
  • Bloquear la comunicación con la red al anclarse en las funciones recvWSARecv, recvWSARecv, send, WSASend desde la librería WS2_32.dll durante un periodo de tiempo.

hook4hooks2

Las funciones ancladas simplemente devuelven el error WSAEACCESS . Nótese que para aplicar estos anclajes, Hesperbot utiliza el módulo auxiliar sch_mod .

Hasta ahora, no hemos encontrado ficheros de configuración que hagan uso de esta nueva funcionalidad. No obstante, un posible propósito sería bloquear las aplicaciones independientes de los bancos, ya que el troyano no podría tomar el control de las mismas. De esta forma el usuario se vería obligado a utilizar su navegador infectado.

Panel de administración de la botnet

Tuvimos la oportunidad de echar un vistazo al panel del C&C de Hesperbot:

adminpanel

Esta pantalla muestra los diferentes bancos afectados en un país en concreto y el número de instalaciones con éxito del componente móvil. Tal y como hemos mencionado previamente, el atacante engaña a la víctima para que instale el componente de reenvio de SMS a través de inyecciones web introducidas en la web del banco.

Nótese que este panel de administración muestra botnets de Turquía, Australia y Alemania.

Los operadores de Hesperbot están muy activos, causando pérdidas monetarias reales a los usuarios de la banca online y parece que aún no hemos escuchado al última palabra de este malware. Seguiremos monitorizando esta amenaza y os mantendremos informados de futuras actualizaciones o cambios.

Josep Albors

Autores:
Anton Cherepanov
Robert Lipovsky

Listado de MD5 de las muestras analizadas:

dropper (DE-BOTNET) 04bbb39578d3fa76cab5c16367b9abe1c1a01106
dropper (AU-BOTNET) 3195768f3647b9ee99acc6dd484b997e4661b102
dropper (AU-BOTNET) 0563e9960abb703f72368fdf8ad8fcf641574898
gbitcoin_mod_x64.mod  e1f7a1bb5e4991ca6c77f8fcb2a63df1ab84983c
gbitcoin_mod_x86.mod  43667df9e811863a5456a16b6bfd8ad59f7ff18c
procblock_mod_x64.mod daefe673cd1e7625831b3365602918b33b05dbe0
procblock_mod_x86.mod b1a2603c1850a07ea2f26780ea166ff69c0b39ad



Vulnerabilidad permite bloquear o reiniciar dispositivos Nexus usando SMS

Categorias: Android,telefonía,Vulnerabilidades | | Sin comentarios » |

Los móviles de la gama Nexus son la apuesta de Google para ofrecer terminales de gama alta a precios más asequibles pero también son normalmente los terminales elegidos para estrenar nuevas versiones del sistema operativo Android. Hace unas semanas salía a la luz el Nexus 5 con la nueva versión de Android 4.4 bautizada como KitKat cosechando un gran éxito de ventas entre los usuarios por su ajustado precio y grandes prestaciones.

Precisamente por el éxito cosechado por estos terminales es cuanto menos preocupante la reciente publicación de una vulnerabilidad existente en todos los dispositivos Nexus. Según la información dada a conocer en el evento de seguridad DefCamp celebrado el pasado fin de semana, aprovechándose de esta vulnerabilidad, un atacante podría hacer que un terminal Nexus con cualquier versión de Android 4.x se reiniciase o se bloquease.

nexus5

Fue en este evento donde el investigador Bogdan Alecu presentó la vulnerabilidad descubierta que permitiría a un atacante bloquear o reiniciar terminales Nexus de Google (Nexus, Nexus 4 y Nexus 5) mediante el envío de mensajes SMS conocidos como Class 0. Actualmente, todas las versiones de Android que se incluyen estos terminales se ven afectadas (4.2, 4.3 y 4.4).

¿Pero que es un mensaje Class 0 o Flash SMS? Estos mensajes son un tipo especial de SMS que no se almacena por defecto en el terminal que lo recibe y que es mostrado de manera inmediata al destinatario. Este tipo de mensajes suelen ser utilizados por las operadoras para enviar alertas o notificaciones y, tal y como demostró el investigador, al enviarse muchos de estos mensajes (alrededor de 30) en poco tiempo, el dispositivo puede llegar a reiniciarse, tal y como vemos en el siguiente vídeo:

No es el único efecto resultante del envío de estos mensajes puesto que en algunas ocasiones puede mostrarse el aviso de que la aplicación de mensajes se ha detenido o hacer que el sistema que permite la comunicación con la red móvil se reinicie, dejando al teléfono sin cobertura y forzando al usuario a realizar un reinicio de manera manual.

Sobre los dispositivos de otros fabricantes como Samsung o LG que también utilizan Android 4.x, este investigador no ha conseguido replicar este fallo por lo que el error parece estar en la manera en la que Google implementa estas características vulnerables en sus dispositivos Nexus.

El motivo de publicar esta vulnerabilidad parece ser el desinterés de Google en solucionarla, ya que este investigador asegura haber informado de este fallo a la empresa hace ya un año y que Google aseguró que la solucionaría cuando se publicase la versión 4.3 de Android (algo que no se ha cumplido, tal y como acabamos de ver).

Además de las evidentes molestias que esta vulnerabilidad pudiera causar a los usuarios de dispositivos Nexus, nuestros compañeros de Hispasec consideran que hay un escenario en el que podría ser aprovechado por un atacante. Este escenario es el de la seguridad bancaria ya que muchas entidades envían alertas SMS al realizar cierto tipo de operaciones y, si el dispositivo del usuario estuviese infectado por un malware que se aprovechase de esta vulnerabilidad este no recibiría aviso de posibles transacciones fraudulentas.

De momento y hasta que Google no publique un parche o nueva versión de Andorid que solucione esta vulnerabilidad la única manera existente de proteger nuestros dispositivos Nexus del envío malicioso de estos mensajes es utilizando alguna aplicación que filtre este tipo de mensajes. Un ejemplo de este tipo de utilidades es Class0Firewall desarrollada por Michael Mueller en colaboración con el descubridor de esta vulnerabilidad.

Josep Albors



Win32/KanKan. El drama chino

Categorias: Android,Malware,seguridad,telefonía | | Sin comentarios » |

El siguiente post es una traducción y adaptación de la publicación “Win32/Kankan – Chinese Drama” escrita por Pierre-Marc Bureau y disponible en el blog de ESET We Live Security.

En este post se analiza un código malicioso detectado por los productos de ESET comoWin32/Kankan. Este malware nos pareció interesante debido a los siguientes motivos:

  • Registra un plugin de Office que no añade ninguna funcionalidad a la suite ofimática, sino para persistir en el sistema.
  • Instala silenciosamente aplicaciones móviles para Android. Esto lo hace cuando se conecta un teléfono inteligente que tenga la opción de USB debugging (depuración USB, en los sistemas operativos en español) activada al computador infectado.
  • El ejecutable está firmado por una conocida empresa china llamada Xunlei Networking Technologies, que se destaca particularmente por desarrollar uno de los clientes torrent más famosos del mundo

Primero se analizará el contexto que involucra este código malicioso y se explicará por qué su descubrimiento impactó a tantos usuarios chinos. Luego se realizará un análisis técnico de sus funcionalidades en profundidad y la evidencia que sugiere que Xunlei Networking Technologies está implicada en este caso.

Contexto

Esta historia comienza el pasado junio cuando aparecieron varios informes de usuarios chinos que publicaban en foros sobre la aparición de una aplicación sospechosa que estaba firmada por la compañía antes mencionada. Rápidamente el tema se convirtió en noticia de portada de varios sitios web chinos.

Para entender este interés mediático, debemos comprender un contexto que para muchos usuarios que no sean chinos es totalmente desconocido. El principal desarrollo de Xunlei Networking Technologies es Xunlei, un software cuyo propósito es acelerar la descarga de varios tipos de archivos (de forma similar a Orbit Downloader) y cuyo uso es bastante popular en China.

Para explicar esta popularidad, es necesario mencionar cómo funciona esta herramienta. Explicado de forma sencilla, Xunlei mantiene una lista de sitios para cada archivo conocido. Cuando el usuario inicia la descarga de alguno de esos ficheros en su navegador o cliente torrent, el programa elige el servidor más rápido para la descarga de dicho archivo. Para implementar este proceso, Xunlei Networking Technologies desarrolló un complejo ecosistema de software que consta de un buscador de archivos compartidos, un cliente torrent multiprotocolo y un protocolo peer-to-peer personalizado. Para aquellos interesados en profundizar sobre este tema, es posible consultar la publicación “Measurement Study of Xunlei: Extended Version” escrita por Dhungel y otros autores en 2012.

Como se mencionó previamente, Xunlei es extremadamente popular entre usuarios chinos. Un estudio publicado en 2009 por TorrentFreak posicionó este software como el cliente de torrent más utilizado del mundo con más de 100 millones de nodos ID mientras uTorrent registra un pico de 92 millones de nodos ID. Por otro lado, este software no es utilizado en ninguna otra parte del mundo y su sitio web tampoco ha sido traducido a otros idiomas. Cabe destacar que la herramienta ha sido traducida solo por terceros de forma no oficial. En base a lo anterior se puede especular que esto obedece a una estrategia intencionada por parte de la empresa involucrada.

Análisis

INPEn.dll comienza instalando una copia de sí mismo llamada esta vez INPEnh.dll y que actúa como un plugin para Word, Excel y PowerPoint. Para lograr este objetivo, crea una llave en el registro de Windows que provoca que esta DLL sea cargada como plugin. Algunas de estas llaves pueden ser observadas en la siguiente captura:

image1

  • Carga el archivo conf.kklm.n0808.com/tools.ini. Parte del contenido es el siguiente:

numbers-1024x449

Este fichero contiene varios parámetros como, por ejemplo, una lista de herramientas de seguridad cifradas en base64.

  •    Comprueba si se está ejecutando alguna de las herramientas mencionadas. De ser así, el pluginde Office termina el proceso. La lista decodificada es la siguiente: 

taskmgr.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|

filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|

wireshark.exe

Cabe destacar que dicha lista solo contiene herramientas como el Administrador de Tareas de Windows, OllyDebugger y una aplicación de manejo de Wi-Fi y no soluciones de seguridad. Se puede inferir que esta funcionalidad está destinada a evitar el análisis de la muestra.

  •  Comprueba si existe una conexión a Internet contactando a dominios chinos como baidu.com y qq.com. Cuando no existe conexión, se mantiene buscando una constantemente.

Si todos los puntos son ejecutados, el plugin envía información a StatServer como la versión de Windows y el nombre de la aplicación (por ejemplo, WINWORD.exe). Luego, ejecuta el archivo INPEnhUD.exe.

  • Finalmente, entra en un bucle constante de administración de tareas (procesos). Este procedimiento es realizado por otra pieza de este puzle.

Actualizador

La ejecución la continúa INPEnhUD.exe que puede ser descrito como un actualizador. Particularmente, consulta la URL update.kklm.n0808.com/officeaddinupdate.xml. En ese momento, el contenido del archivo era el siguiente:

image2

Este fichero XML incluye una lista de direcciones y hashes MD5. Luego, el actualizador descarga cada archivo, verifica el MD5, y, si corresponde, lo ejecuta. Tal como se aprecia en la captura anterior, la URL apunta a un archivo llamado Uninstall.exe. La descripción de tal componente será explicada en este post más adelante.

Servicio

INPEnhSvc.exe, el que será nombrado como “el servicio”, es el núcleo de este programa compuesto por tres componentes. Después de realizar la misma prueba que el plugin de Office para determinar la ejecución de herramientas de seguridad, el servicio obtiene un archivo de configuración XML que contiene varios comandos, cada uno con cierto número de parámetros. Los comandos pueden ser divididos en dos grupos:

  • Comandos locales: scanred, scandesktop y scanfavorites.
  • Comandos “externos”: installpcapp, installphoneapp, setdesktopshortcut, addfavorites y setiestartpage.

Como el propio nombre indica, los comandos locales están implementados en el mismo servicio: scanred busca llaves de registro específicas e informan de su presencia o ausencia al servidor. Scandesktop y scanfavorites buscan archivos .lnk (accesos directos) y .url (archivos de enlace de red) en la carpeta escritorio y favoritos respectivamente. Por otro lado, cuando un comando externo es recibido, el programa se comunica con el plugin de Office que es el responsable de ejecutar dicha acción. Esta comunicación pasa mediante un archivo de configuración llamado tasklist.ini que contiene tres secciones diferentes: DoingDone y DoneByDate. Ambos binarios contienen también una lista única de identificadores (GUIDs), siendo cada uno procesado por una tarea. La comunicación ocurre de la siguiente manera:

  • Cuando se recibe un comando externo, el servicio simplemente escribe la GUID asociada en la sección Doing con sus parámetros (URLs, etc.)
  • Durante el bucle de administración de tareas, el plugin de Office lee el GUID, luego comprueba si el GUID no está presente en las secciones Done y DoneByDate del archivo tasklist.ini. Si el GUID solo está en la sección Doing, se ejecuta la lógica de programa asociada. 
  • Una vez finalizado, el plugin de Office escribe el GUID en la sección Done. Asimismo, las GUID para los comandos installpcap e installphoneapp también son escritas en la secciónDoneByDate. Esto se debe a que probablemente los comandos son ejecutados regularmente

La arquitectura completa se resume a continuación. Los rectángulos azules representan procesos y los amarillos archivos:

kankanIPdrawing

El nombre de los comandos externos se explican por sí solos y no requieren mayor explicación exceptuando el comando installphoneapp.

Aplicaciones para móviles

Como es de suponer, el comando installphoneapp provoca que el plugin descargue una aplicación para Android (archivos .APK) que luego son instalados a cualquier dispositivo Android que sea conectado al ordenador. Para hacer esto, el servicio descarga el binario Android Debug Bridge (ADB) – que es parte de Android SDK – más las librerías que necesita. Posteriormente, el plugin de Office descarga el APK en concordancia a las URL especificadas en el archivo XML de comandos. Finalmente, lista los dispositivos Android conectados al ordenador utilizando el comando de ADB “devices” y luego instala cada APK utilizando la sentencia “install”.

De todos modos, la instalación solo funcionará si el dispositivo Android tiene la opción USB debugging activada dentro del menú de opciones del teléfono. Oficialmente esta característica está destinada para propósitos de desarrollo, sin embargo, también es necesaria para el funcionamiento de algunas aplicaciones y por la mayoría de técnicas de root o para instalar ROMs personalizadas. Cabe destacar que la instalación mediante esta técnica no muestra nada en el dispositivo del usuario, es decir, es un proceso completamente transparente para la persona.

Durante la investigación, las aplicaciones de Android no pudieron ser descargadas, no obstante, se pudieron conseguir cuatro de ellas en algunos foros chinos de seguridad. A continuación se muestra la captura de esas aplicaciones para móviles:

APKs

De acuerdo al análisis, todas esas aplicaciones son de utilidad para el usuario. Tres de estas son repositorios de Android que le permiten al usuario descargar otros programas. No se pudo encontrar ninguna característica específicamente maliciosa. Lo que sí llama la atención es que el código está bastante ofuscado. La última aplicación, todavía disponible en Google Play en el momento de la escritura de este post, le permite al usuario realizar llamadas con una tarificación especial. De todos modos, este programa exhibe un comportamiento sospechoso al contactar con diversas direcciones conocidas por distribuir Adware para Android. Esta aplicación es detectada por los productos de ESET como una variante de Android/SMSreg.BT, que corresponde a un Programa Potencialmente Indeseable (PUA). En términos generales, el motivo detrás de la instalación de estas aplicaciones para móviles es desconocido.

La confesión de Xunlei Networking Technologies

La última pregunta que se debe responder es qué rol tuvo Xunlei Networking Technologies en toda esta historia. No solo el ejecutable está firmado con el certificado de la compañía, sino que el subdominio kankan.com corresponde al servicio de vídeo bajo demanda que ofrece dicha empresa. En agosto pasado y frente a la molestia de varios usuarios, la compañía admitió oficialmente durante una conferencia de prensa, que algunos de sus empleados utilizaron los recursos de la empresa para desarrollar y distribuir el programa. La compañía afirmó que el programa fue creado por una subdivisión sin la autorización correspondiente. Asimismo, se afirma que las cinco personas responsables fueron despedidas y que se pidieron disculpas públicamente.

Por otra parte, el archivo uninstaller – (firmado por la misma compañía) - ha sido detectado a partir de comienzos de agosto. Cualquier ordenador infectado descargará este archivo gracias al actualizador. De acuerdo a nuestros análisis, la desinstalación funciona correctamente eliminando todos los componentes del programa. El final de la propagación de Kankan puede ser verificado contrastando los números de archivos detectados por ESET durante agosto y septiembre:

DetectionStat

Se puede observar que la propagación del programa ha disminuido considerablemente tras del pico registrado el 8 de agosto (el desinstalador fue firmado el 9 de agosto). Finalmente, la distribución geográfica de las infecciones puede ser obtenida gracias al sistema de ESET Virus Radar:

geo

Sin ninguna sorpresa, China ha sido el único país realmente afectado por este programa.

Conclusión

El uso de un plugin falso para Office como forma de obtener persistencia, la habilidad de instalar aplicaciones para Android, y las capacidades de backdoor, confirman la validez de la preocupación mostrada por usuarios chinos y es el motivo de que ESET detecte este programa malicioso comoWin32/Kankan. Todavía quedan preguntas abiertas como el vector original de propagación y el motivo para instalar aplicaciones para Android. Finalmente, determinar con exactitud el grado de implicación de Xunlei Networking Technologies en todo este caso es difícil de comprobar. Como nota al margen recordamos que hasta donde sabemos, ningún otro sitio que no sea chino, ha mencionado esta historia.

Agradecimientos

Gracias a Jean-Ian Boutin, Sieng Chye Oh y Alexis Dorais-Joncas por la ayuda durante el análisis de este código malicioso.

Ficheros analizados:

Dropper

A059D6851013523CDC052A03A91D71D3246A14C2
DB59E003D9F5EBF84EB895B2EE7832AF94D0C93E
722773145CB38249E96CC6A7F0FBC7955ACC5D56
 

Plugin de Office

688B5B319F0E2F5DCD2EDE7BBE39FAE29B5ED83F
B221B71CF14E14FEBC4636DE624A2C6CEE3CE725
089A3BB51C5D5218DF47831489F1D8227E73F4B3

Actualizador

1EFD454130A658DB83A171A8DCB944CAEADC8D8F
4F29B2A9778C02F6FDB63F9041DC4D2F4668B484

Servicio

1C223DA59F4BE7907A2FB00FF756083342166A5B
2D00B2DF8B1CEE7411B2D7B8201B382E2896708C

Aplicaciones de Android

A439B1EA45769EC2FA0EFC4098EC263662EF40AE (market)
693E15A00B4934EE21A6423DE62C4A01947CE06A (market)
0A1813FB3D1DD8B871D0575B15124543FF2313E1 (market)
C6013DE01EC260DC5584FAA2A35EF0580B3BDC89 (llamadas)



Vulneran la protección Touch ID del nuevo iPhone 5S a los pocos días de salir al mercado

Categorias: Android,Apple,seguridad,telefonía | | Sin comentarios » |

Una de las características más destacadas en el recientemente presentado iPhone 5S es la incorporación de un sensor biométrico en el botón Home que permite identificar huellas dactilares y usarlas como método de autenticación. Y como siempre que aparece una nueva capa de seguridad (especialmente en dispositivos como iPhone), no tardaron en aparecer varios grupos de investigadores dispuestos a saltársela.

Y así ha sido. Menos de una semana después de la presentación en sociedad del teléfono estrella de Apple, un grupo de investigadores alemanes conocidos como el Chaos Computer Club han publicado un vídeo donde se observa cómo pueden engañar al Touch ID con una huella falsificada a partir de una fotografía en alta calidad de la huella del propietario del iPhone. Este procedimiento se puede observar en el vídeo que mostramos a continuación:

Según este grupo, para engañar al sensor biométrico incorporado en el iPhone 5S tan solo han tenido que utilizar una imagen en alta resolución de la huella de la víctima, debido a que el sensor incorporado en el dispositivo es de mayor resolución que los que se ven habitualmente en otros dispositivos. No obstante, para poder utilizar esta técnica se necesita tanto el acceso físico a un iPhone 5S como obtener una huella fresca, preferiblemente de superficies como el cristal.

Además, se necesita procesar la imagen de la huella para que esta pueda engañar al sensor biométrico, por lo que, si bien no es algo excesivamente complejo para alguien que esté acostumbrado a realizar este tipo de operaciones (un médico forense, por ejemplo) y cuente con el material adecuado, tampoco es algo que está al alcance de cualquiera. El problema no es tanto evitar que alguien acceda al dispositivo sin nuestro consentimiento, sino almacenar información suficientemente importante en él como para que alguien se tome todas estas molestias para acceder a ella.

TouchID

Por desgracia, muchos usuarios almacenan información cada vez más importante en dispositivos móviles o los utilizan para acceder a ella si se encuentra almacenada en algún servicio alojado en lo que conocemos como nube. La mayoría de ellos pensarán que con las medidas de protección incorporadas por el fabricante hay más que suficiente, pero si el objetivo es lo suficientemente goloso para un atacante, podrá intentar vulnerar las capas de seguridad incorporadas ya sea utilizando software malicioso o de análisis forense u otras técnicas como la que acabamos de describir si se consigue acceso físico al dispositivo.

Como bien apuntan nuestros compañeros de ESET Latinoamérica, el uso de métodos de bloqueo del dispositivo como los patrones de dibujo en Android han demostrado que pueden resultar más sencillos de vulnerar que las contraseñas tradicionales, especialmente si estas cuentan con más caracteres de los cuatro que suelen usarse habitualmente. Pocos usuarios conocen la posibilidad de establecer contraseñas más complejas en sus dispositivos y por eso consideramos importante recordarlo.

  • En iOS  se puede acceder al menú de Ajustes > General > Bloqueo con código. Una vez allí tan solo deberemos desactivar la opción Código simple para definir una nueva contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-iOS-más-de-cuatro-caracteres1

  • Para Android se puede acceder al menú Ajustes > Pantalla de bloqueo > Contraseña. Una vez ahí, podremos definir una contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-Android-más-de-cuatro-caracteres

Hay que tener en cuenta no solo el acceso físico al dispositivo, sino también a todos los servicios a los que nos conectamos desde nuestro móvil. Solemos acceder a cuentas como las de Apple, Gmail, Twitter o Facebook y almacenamos nuestros datos de registro en el dispositivo para evitar tener que registrarnos cada vez que queremos consultar el correo o comprobar actualizaciones de nuestras amistades en Facebook. Esto es lo que más nos debería preocupar en caso de robo o pérdida del dispositivo, y no tanto su valor económico.

Para evitar este tipo de acceso no autorizado se pueden aplicar ciertas medidas como cifrar los datos almacenados en el dispositivo, utilizar autenticación de doble factor a la hora de acceder a cuentas personales o corporativas de correo u otros servicios y contar con un sistema antirrobo que nos permita localizar el móvil o borrar los datos almacenados en él en caso de pérdida o robo. Como vemos, no nos faltan opciones, pero la responsabilidad final para aplicarlas siempre recaerá en nosotros.

Josep Albors



Apple lanza iOS 7 y aparecen los primeros fallos

Categorias: Apple,telefonía,Vulnerabilidades | | Sin comentarios » |

El esperado lanzamiento del iPhone 5S (y su colorista hermano ligeramente más económico, el 5C) ha traído consigo también, como es tradición, la aparición de la nueva versión del sistema operativo iOS. Esta nueva versión del sistema operativo incluye novedades, con el cambio de interfaz como el que más destaca a primera vista, pero también en materia de seguridad y el arreglo de 80 agujeros de seguridad existentes.

Entre las novedades que más han dado de que hablar encontramos el nuevo sensor biométrico incorporado en el botón Home del iPhone 5S. Esto permitirá desbloquear el dispositivo con nuestra huella dactilar, aunque aún queda por ver si este método de autenticación también permitiría acceder a nuestros datos almacenados en iCloud. En caso de confirmarse esta posibilidad, los usuarios más paranoicos deberían empezar a plantearse llevar siempre puestos guantes para evitar dejar huellas que puedan ser utilizadas para desbloquear su dispositivo o acceder a sus datos privados almacenados en la nube.

Touch_ID

Además, tenemos a la comunidad de jailbreakers trabajando duro para conseguir explotar los fallos de seguridad de iOS 7 y lograr un jailbreak en esta nueva versión. De momento, solo la confirmación de la utilización de arquitectura de 64 bits en el iPhone 5S y el 5C ha retrasado un poco el lanzamiento de este jailbreak, pero los investigadores detrás de esta tarea ya han anunciado que no deberían tardar mucho en conseguirlo.

Sin embargo, aun sin la existencia de un jailbreak para iOS 7, ya se han descubierto algunos fallos que afectan a la seguridad del dispositivo. Uno de estos fallos está relacionado con la función Find my iPhone, el sistema de Apple que permite ubicar un dispositivo si ha sido robado o perdido. Con la nueva versión, si se quiere desactivar esta función es necesario introducir nuestra contraseña de Apple ID, algo que dificulta que sea desactivado por los amigos de lo ajeno.

No obstante, si utilizamos el asistente Siri para poner nuestro dispositivo en modo avión, esta función se desactiva, sin necesidad de introducir ni el Apple ID ni la contraseña de acceso al dispositivo. Tan sencillo como eso.

modoavion

Precisamente, la contraseña o passcode utilizado para bloquear nuestro dispositivo también puede ser saltada y acceder a algunas de las funciones del iPhone como el carrete de fotos, el correo electrónico o la cuenta de Twitter, por ejemplo. La manera de hacerlo es realizando una combinación de botones en el nuevo Control Center de iOS7, tal y como se puede observar en el vídeo a continuación.

Se ha comprobado la existencia de este fallo en los modelos de iPhone 4S, 5, 5S y 5C, así como también en el modelo de iPad más reciente. De momento no existe una solución por parte de Apple que arregle este fallo, el cual, por otra parte, ya ha sucedido en versiones anteriores de iOS. La única solución temporal que podemos aplicar pasa por desactivar el Control Center, con la pérdida de funcionalidad que esto supone.

Como vemos, el lanzamiento de iOS 7 ha venido cargado, además de novedades, de algún percance, cosa bastante frecuente cada vez que Apple saca una nueva versión de este sistema operativo. Es de suponer que este tipo de agujeros de seguridad se solucionen en las próximas semanas, por lo que los usuarios de iOS 7 deben estar atentos a futuras actualizaciones.

Josep Albors



Vulnerabilidad en Android Webview permitiría instalar aplicaciones maliciosas

Categorias: Android,Malware,telefonía,Vulnerabilidades | | 1 Comentario » |

Las amenazas y agujeros de seguridad en sistemas operativos de dispositivos móviles se descubren de forma tan continua que ya no nos sorprendemos cuando se anuncia uno nuevo. Especialmente preocupante es el caso de Android, con la mayor cuota de mercado en dispositivos móviles pero también el blanco preferido de los ciberdelincuentes.

En esta ocasión, investigadores de AVG han descubierto una vulnerabilidad en el manejo de WebView, algo que un atacante podría aprovechar para conseguir que la víctima ejecutase una aplicación maliciosa en su dispositivo. WebView, por defecto, solo permite mostrar una aplicación web (o una página web) como parte de una aplicación para Android. Si deseamos que se cargue alguna web que utilice JavaScript, primero deberemos activarlo en WebView.

El problema reside en las versiones de Android 4.1 y anteriores, puesto que en esas versiones el método addJavascriptInterface inyecta un objeto Java en WebView. Esto permitiría preparar una web de tal forma que, cuando un usuario con una versión de Android vulnerable la visite, termine ejecutando un Javascript que permita la descarga e instalación de aplicaciones maliciosas en el dispositivo.

Android_WebView

Este fallo de diseño ya se encuentra solucionado en las versiones de Android 4.2 y posteriores, por lo que la solución ideal sería actualizar a esta versión. Sin embargo, el ecosistema Android no se caracteriza por tener sus dispositivos actualizados a la versión más reciente, algo que se complica aún más en el caso de aquellos móviles y tabletas que dependen de las operadoras de telefonía para poder acceder a la versión más reciente de su sistema operativo. Es de esperar entonces que, de no cambiar los planes de Google, millones de dispositivos queden expuestos a ataques que se aprovechen de esta vulnerabilidad.

Por suerte, como usuarios podemos evitar comprometer nuestros dispositivos móviles si andamos con cuidado y no pulsamos sobre enlaces sospechosos y evitando descargar aplicaciones de dudosa procedencia. Esto no es siempre fácil y basta con que nos descuidemos una sola vez para infectar nuestro dispositivo, por eso nunca debemos bajar la guardia.

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje