• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (54)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (70)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (54)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (13)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Filtraciones en la farándula española: teléfonos de famosos al descubierto

Entre tanto ciberataque entre naciones, filtraciones en multinacionales y demás ataques informáticos que analizamos cada día, resulta, cuanto menos, divertida la noticia de la que prácticamente todos los medios informativos se hicieron eco ayer al mediodía. Y es que la filtración de casi un centenar de teléfonos de famosos personajes de la vida pública española siempre despierta interés.

Las fuentes que hemos consultado resultan confusas y, mientras algunas apuntan a que estos números salieron de la agenda telefónica del periodista Pipi Estrada, tras acceder sin permiso a su móvil, otras fuentes apuntan a un acceso a un ordenador donde se encontrarían almacenados estos números. El caso es que alguien obtuvo este listado y lo hizo público, propagándose rápidamente entre usuarios que no dudaron en llamar a los teléfonos ocasionando que los afectados recibieran cientos de llamadas de desconocidos.

Este tipo de filtraciones de datos o incidentes de seguridad relacionados con famosos no es nuevo y en este mismo blog ya hemos comentado, por ejemplo, el despiste de la presentadora Paula Vázquez, el secuestro de las cuentas de Twitter de varios futbolistas durante la Supercopa, la publicación accidental de una foto de la mujer de Cañizares desnuda o la difusión del video erótico de la concejala socialista Olvido Hormigos.

Como vemos, tenemos todo tipo de filtraciones indeseadas e incidentes con la privacidad relacionados con los famosos, y es que ellos tampoco dejan de ser usuarios, con la salvedad de que la información que manejan suele ser más interesante para la prensa rosa. Y es que, casi sin darnos cuenta, tanto las redes sociales como los dispositivos móviles contienen mucha más información confidencial de la que nos imaginamos, información que, en malas manos, puede amargarnos la existencia durante un tiempo.

Es por ello que, a pesar de que no seamos famosos, no debemos descuidar nuestra privacidad evitando publicar datos privados que puedan volverse en nuestra contra y proteger nuestro dispositivo móvil para, en caso de pérdida o robo, intentar recuperarlo o, en última instancia, eliminar la información que en él almacenamos.

Josep Albors

Boxer: primer troyano SMS para Android que envia SMS Premium de 63 países, entre ellos españoles, desde los teléfonos de los usuarios sin su conocimiento

El sistema que utiliza no es nuevo en sí mismo, pero sí lo es el hecho de que sea capaz de diferenciar en qué país se encuentra la víctima infectada… Bueno, no quiero empezar la casa por el tejado… déjame que empiece por el principio .

El Laboratorio de Investigación de ESET de Latinoamérica ha descubierto el primer troyano SMS diseñado específicamente para usuarios de Android que suscribe a las víctimas a servicios Premium locales de 63 países sin su conocimiento ni consentimiento. En el caso de usuarios españoles, envía mensajes SMS Premium. Se trata de Boxer, y está distribuyéndose de forma masiva, ya que va camuflado en 22 falsas aplicaciones de juegos o de salud que los usuarios se descargan de sitios no oficiales.

Sí, ya sé, ahora mismo estás repasando mentalmente cuándo ha sido la última vez que has descargado un app para tu teléfono desde el sitio no oficial… Bueno, si ese es tu caso, y para que salgas de dudas, sigue leyendo: te damos más pistas.

Para formentar su descarga e instalación, utiliza títulos tan sugerentes como “Sim City Deluxe Free”, “Need for Speed Shift Free”, “Assassin’s Creed” y algunos accesorios para “Angry Birds”. Dichos títulos estaban disponibles hasta hace poco tiempo para su descarga a través de Google Play, y aunque se ha procedido a su eliminación, se siguen pudiendo descargar desde repositorios y tiendas no oficiales.

Bueno… asume que quizá lo has descargado o quizá no. En cualquier caso, quizá lo que hace te dé más pistas…

Una vez descargado e instalado en el terminal Android, el troyano suscribe a la víctima a números de mensajería Premium locales a partir de la obtención de los códigos numéricos de identificación por país y operador MCC (Mobile Country Code) y MNC (Mobile Network Code). Tras determinar en qué país reside la víctima y cuál es la compañía telefónica a la que pertenece, procede a enviar SMS a números Premium de tarificación especial, de acuerdo a la información recopilada anteriormente.

La mayoría de los troyanos SMS solo son capaces de afectar a determinados países porque los servicios de mensajería Premium a los que suscriben al usuario varían de acuerdo a cada operador y nación. La información recopilada sobre Boxer nos permite afirmar que no solo se trata de un troyano SMS capaz de afectar usuarios de España y de Latinoamérica, sino que también se trata de una amenaza con un amplio potencial de propagación y gran rango de acción…

Ahora ya quizá te estés acordando de algún cargo raruno que puedes haber visto en tu factura de tu proveedor de telefonía.. ¿es así? Pues sigue, que quizá puedes despejar más dudas con un poquito más de información…

En el caso de España, Boxer envía mensajes SMS Premium a sus víctimas al 35969, número que está siendo utilizado para diferentes fines, pero que se vincula de forma muy directa a un servicio de Tarot de Tenerife. Una vez se instala, envía 3 mensajes SMS Premium a dicho número cada vez que la aplicación se ejecuta, dando como resultado altos cargos económicos cargados a la cuenta de la víctima sin que esta sea consciente de que se están produciendo dichos envíos desde su terminal móvil y quedándose sin derecho a ningún tipo de reclamación o devolución.

Dicho número pertenece a la compañía World Premium Rates, que no tiene ningún tipo de vinculación con este fraude y que se limita a proveer la numeración sms conforme a las normales legales. Cautelarmente, la compañía WPR ha cortado el acceso a la numeración afectada. Además, estamos colaborando conjuntamente para intentar averiguar más sobre este troyano y facilitar la máxima información a las autoridades competentes con el fin de localizar cuál de sus clientes es el que está llevando a cabo este tipo de acciones. Su Consejero Director General, Sr. D. Antonio Hernández, se ha puesto en contacto con nosotros para esclarecer el hecho, afirmando que “World Premium Rates es un operador de telecomunicaciones que desde hace más de 11 años provee servicios de tarificación adicional a empresas (entre ellos números cortos SMS), de acuerdo con la legalidad vigente y con una reputación intachable” .

¿Es tu caso? ¿Has detectado algo raro? Si lo has detectado, empieza a olvidarte de reclamar: a todos los efectos, tu teléfono móvil ha enviado esos mensajes SMS Premium, así que, por lo que hemos visto en foros de Internet, es prácticamente imposible que la empresa telefónica quiera devolverte nada… Y si no has detectado nada, te damos dos pistas para que evites caer en este tipo de trampas que utilizan la inteligencia social para engañarte.

La primera: te recomendamos que pierdas un rato leyendo los contratos de licencia o los permisos que una aplicación está solicitando para instalarse. Ya, ya sé, a veces es farragoso y aburrido, pero si lo leemos, probablemente seremos capaces de frenar aplicaciones con condiciones sospechosas.

La segunda, y para que te quedes más tranquilo, analiza tu teléfono móvil Android en busca de amenazas. Y si puedes instalar una buena solución de seguridad que te prevenga de estos problemas en el futuro, mejor que mejor: así podrás descargar lo que quieras desde donde quieras y, en el caso de que sea malware, el antivirus actuará por ti. Nosotros ponemos a tu disposición ESET Mobile Security, que puedes probar gratuitamente al menos para quedarte más tranquilo.

Y para los que tenéis curiosidad por ampliar más información, os dejo el análisis técnico de nuestros chicos de laboratorio:

Prueba de concepto de malware para Android permite recrear recintos cerrados en 3D

Cuando hablamos de lo rápido que evolucionan las amenazas para dispositivos móviles no nos referimos únicamente a la implementación de conocidas amenazas ya usadas en ordenadores de sobremesa. Las características únicas de los dispositivos móviles hace que estas se aprovechen para obtener datos o causar daños a la víctima de formas novedosas. Ya hace años, los primeros malware para teléfonos móviles hacían que la víctima se gastase inconscientemente una cantidad importante de dinero enviando mensajes SMS a números de tarificación especial.

Con la llegada de los smartphones las posibilidades para los atacantes se multiplicaron, puesto que contaban con nuevos vectores de ataque y más características desde las cuales robar información a los usuarios. Uno de los últimos ejemplos de cómo usar un dispositivo móvil para espiar a un usuario ha venido en forma de prueba de concepto dentro de un estudio realizado por investigadores que trabajan para la universidad de Indiana y la Marina de los Estados Unidos.

Estos investigadores han conseguido camuflar un software espía dentro de lo que aparenta ser una aplicación fotográfica. Hasta aquí nada nuevo bajo el sol. La sorpresa viene cuando esta aplicación empieza a tomar control del dispositivo infectado y de recursos tales como la cámara, el acelerómetro o el giroscopio para generar modelos en tres dimensiones de habitaciones o entornos cerrados.

Esta prueba de concepto de un malware que se ha denominado PlaceRaider realiza fotografías aleatoriamente de su entorno, las clasifica y selecciona únicamente aquellas con buena definición para enviarlas a un servidor central. Es allí donde se puede montar este puzle fotográfico y generar un modelo tridimensional de donde se encuentra el dispositivo infectado y, por ende, la víctima.

Esta herramienta de espionaje plantea la típica pregunta acerca de su moralidad. Por supuesto puede ser utilizada por las fuerzas de seguridad para investigar delitos o perseguir a individuos potencialmente peligrosos (aunque habría que estudiar las leyes en cada país para ver si se permitiría una intrusión de estas características en la vida privada de una persona). Pero a su vez también puede ser usada por delincuentes para buscar víctimas potenciales de robos físicos o, incluso, como se puede observar en la captura de pantalla a continuación, obtener datos bancarios a partir de tarjetas de crédito cheques, etc.,  o grabando al usuario mientras accede a la banca online.

Como vemos, pruebas de concepto como la que acaban de presentar estos investigadores demuestran que aún hay mucho potencial para el malware en dispositivos móviles. Aunque esta investigación se haya realizado en terminales Android con una versión 2.3 o superior de su sistema, es perfectamente posible que también consiga afectar a otros terminales con sistemas Windows Phone, iOS o Blackberry. Tan solo se ha de conseguir aprovechar una vulnerabilidad en estos sistemas (y muchas veces ni siquiera eso) y engañar al usuario para que una inofensiva aplicación pase a convertirse en todo un centro de espionaje.

Josep Albors

Nueva aplicación gratuita de ESET que protege de la vulnerabilidad USSD en Android

La semana pasada nos hacíamos eco de varias vulnerabilidades en dispositivos móviles Android y Apple. Entre ellas se encontraba una grave vulnerabilidad que se aprovecha de un uso inapropiado del código USSD y que afectaba a varios modelos de diferentes fabricantes de smartphones con Android, entre los que se encontraban, por ejemplo, marcas como Samsung, HTC o Motorola.

Para proteger a los usuarios de los teléfonos vulnerables, ESET ha lanzado una aplicación gratuita disponible en Google Play, de manera que puedan proteger sus dispositivos Android de posibles ataques que se aprovechen de esta vulnerabilidad. De esta manera, una vez tengamos instalada esta aplicación en nuestro smartphone Android podremos elegir si ejecutar o evitar que se ejecute un código USSD en nuestro sistema.

 

USSD es un código utilizado por los fabricantes de móviles y los operadores para poder realizar un soporte técnico más eficaz. Las siglas significan Unstructured Supplementary Service Data (servicio de datos suplementarios no estructurados). Este código empieza con un asterisco (*) y continua con almohadillas o números que representan comandos o datos, para finalizar con otra almohadilla (#). Al introducir estos códigos en el teléfono se puede, por ejemplo, ver el código IMEI del teléfono utilizando el código USSD *#06#. Otros códigos muestran distinta información o realizan acciones como un reseteo del dispositivo.

Existe el peligro de que, desde una web, se le indique al teléfono que cargue una URI (identificador uniforme de recursos) del tipo “tel:” con un código especial incluido en un iframe que devuelva al teléfono a su configuración de fábrica. Como ya indicamos en este mismo blog la semana pasada, este ataque fue mostrado por el investigador Ravishankar Borgaonkar en la pasada Ekoparty celebrada en Buenos Aires.

Los iframes maliciosos pueden colocarse en sitios webs que hayan sido comprometidos o creados especialmente. Existen muchas maneras de engañar a nuestro smartphone para que se dirija a un sitio web malicioso, usando enlaces incluidos en mensajes o emails, códigos QR o chips NFC, por ejemplo. Una vez instalada esta aplicación en nuestro dispositivo Android podremos protegernos de forma más eficaz frente a este tipo de ataques.

A continuación mostramos una pequeña infografía donde se muestran, por una parte, un código QR para comprobar si nuestro smartphone es vulnerable, y por otra otro código QR desde donde descargar la aplicación gratuita de ESET directamente desde Google Play a nuestro dispositivo.

Josep Albors

Múltiples vulnerabilidades críticas en dispositivos móviles

Hay un dicho popular español que dice: “¿No querías caldo? ¡Pues toma dos tazas!”. En el laboratorio de ESET España, donde somos muy fans del cocido (o puchero, como lo llamamos por aquí), lo usamos a menudo para referirnos a la acumulación de noticias de seguridad de un tema en concreto. Esta semana ha sido muy prolífica en cuanto a este tipo de noticias pero, sobre todo, en lo referente a la seguridad en dispositivos móviles con sistemas Android e iOS.

Por una parte tenemos una vulnerabilidad grave que afecta al navegador de iOS 5 en iPhones 4S y anteriores (que también afectaría a iPads/iPod Touch) y que, según desvelaron los investigadores Joost Pol y Daan Keuper en la competición Mobile Pwn2Own celebrada recientemente dentro de la EuSecWest Conference de Ámsterdam, permitiría la ejecución de código.

Esta pareja, que realizó toda su investigación en apenas tres semanas y durante su tiempo libre, consiguió evitar todas las restricciones de código firmado que Apple impone eludiendo, a su vez, la seguridad del navegador Safari, por lo que pudieron preparar una web maliciosa para aprovechar este exploit. Una vez ejecutado el exploit, un atacante podría conseguir los datos privados del móvil, incluyendo su agenda, historial de navegación, fotografías o vídeos, entre otros.

Esta vulnerabilidad se dio a conocer casi coincidiendo con la puesta a la venta del iPhone 5 (el teléfono que, según algunos cachondos con mala baba, solo sirve para ver al Real Madrid en la clasificación de la liga de fútbol española sin tener que desplazar la pantalla hacia abajo) con su correspondiente versión 6 de iOS, versión que corrige 197 vulnerabilidades. A pesar de estos parches incluidos en esta nueva versión, esta pareja de investigadores han especulado que la vulnerabilidad presentada podría llegar a funcionar también en iOS 6, entre otras cosas porque la versión para desarrolladores también es vulnerable.

En la misma conferencia de seguridad también se hicieron públicas dos vulnerabilidades que permitían la ejecución de código y escalar privilegios en un dispositivo que usase el sistema Android, usando para las demostraciones un Samsung Galaxy S3 con Android 4.0.4, del que obtuvieron un control completo.

Para conseguir cargar un fichero malicioso necesario para la ejecución de código, el equipo de investigadores de MRW Labs usó la tecnología NFC (tecnología de comunicación en proximidad). No obstante, también sería posible alojar este fichero en una web y enviar un enlace en un mensaje SMS, adjunto en un correo electrónico, etc.

A pesar de la gravedad de esta vulnerabilidad lo mejor estaba aún por llegar, y es que en Ekoparty, la conferencia de seguridad más importante de América Latina y que cuenta con el apoyo y patrocinio de nuestros compañeros de ESET Latinoamérica, el investigador Ravi Borgaonkar mostró un método para inutilizar teléfonos móviles de algunos fabricantes que usen Android. En la demostración que podemos observar en el vídeo que ofrecemos a continuación, Ravi mostró a todos los asistentes cómo conseguía resetear un Samsung Galaxy S3 con tan solo visitar una web especialmente modificada y, a la vez, bloquear la tarjeta SIM, dejando el móvil inservible.

Esto permitiría a un atacante preparar una web maliciosa y enviar el enlace mediante correo electrónico, SMS o vincularlo a un código QR, haciendo que los posibles afectados se cuenten por millones. Lo mejor de todo es que para inutilizar el móvil se usó una llamada a un código especial que no es para nada secreto. Es más, cualquiera que investigue un poco y busque códigos utilizados para acceder a funciones especiales no tardará mucho en encontrarlo.

De momento se han publicado varios enlaces desde donde comprobar si nuestro móvil es vulnerable. En este mismo se puede revisar si nuestro teléfono es vulnerable. Si aparece el teclado para marcar y un número significa que no estamos afectados. No obstante, si aparece el teclado numérico e inmediatamente muestra en pantalla una ventana con nuestro IMEI significará que nuestro teléfono es vulnerable.

De momento solo Samsung ha anunciado la publicación de un parche que solucione esta vulnerabilidad en el modelo Galaxy S3, aunque otros modelos de la empresa como el Galaxy S2, Galaxy Ace y Galaxy Advance también han se ven afectados por esta grave vulnerabilidad. Teléfonos de otros fábricantes como HTC o Motorola son también vulnerables.

Nuestros compañeros de Security By Default han elaborado un completo resumen con información detallada acerca de esta vulnerabilidad, englobado dentro del resumen que han hecho de esta edición de la Ekoparty.

Como hemos podido observar, tenemos vulnerabilidades de todo tipo, para todos los gustos y que afectan a los sistemas operativos móviles más usados del momento. Los próximos meses prometen ser interesantes para los investigadores de seguridad que se dediquen a buscarles las cosquillas a los dispositivos móviles. Tan solo esperamos que estas noticias no se produzcan tan seguidas como en esta ocasión o tendremos que pensar en llevarnos hamacas para dormir en nuestro laboratorio

Josep Albors

@JosepAlbors

Ataques usando WhatsApp aprovechando fallos de diseño en la generación de contraseñas

Cuando una aplicación se hace tan popular como WhatsApp, no es de extrañar que muchas miradas se posen en ella buscándole las cosquillas. La cantidad de información confidencial que se puede obtener espiando conversaciones entre usuarios que usen esta aplicación es muy atractiva, pero tras la reciente publicación de la metodología usada por WhatsApp para generar la contraseña de un usuario parece que las posibilidades para los ciberdelincuentes aumentan de forma considerable.

El año pasado ya informábamos en nuestro blog del grave fallo en nuestra privacidad que suponía que los mensajes enviados por WhatsApp no estuviesen cifrados. Gracias a la información proporcionada por los chicos de Security By Default descubrimos este grave fallo y sus posibles consecuencias. No fue hasta hace unas semanas que esta aplicación decidió empezar a cifrar sus mensajes.

No obstante, este sería el menor de sus problemas, puesto que las investigaciones sobre su seguridad hechas públicas desde entonces no han hecho sino aumentar el número de fallos graves de diseño descubiertos que permitirían toda una serie de acciones maliciosas contra sus usuarios. A pesar de que desde Security By Default nos informan de nuevo de que los métodos de generación de la contraseña eran conocidos desde febrero de este año, no fue hasta principios de este mes que la noticia cobró relevancia al publicarse los métodos usados para generar las contraseñas en dispositivos Android primero y luego en iOS.

La verdad es que a muchos se nos quedó cara de tonto cuando comprobamos que toda la seguridad de nuestra cuenta de WhatsApp dependía únicamente de hacer una reducción criptográfica usando el algoritmo MD5 del número IMEI invertido de nuestro dispositivo Android y de aplicar un MD5 a la dirección MAC duplicada de nuestra tarjeta de red en caso de dispositivos iOS. Especialmente grave resulta la manera de generar la contraseña en dispositivos iOS, puesto que cualquiera que esté espiando las comunicaciones en una red Wi-Fi insegura podría obtener nuestra dirección MAC de forma sencilla, y con ella, nuestra contraseña.

A partir de aquí, fiesta. La suplantación de la identidad de otra persona es solo uno de los ataques que se pueden realizar a los usuarios de WhatsApp. Alejandro Ramos (@aramosf), investigador colaborador en Security By Default, nos describe una serie de posibles ataques, a cada cual más preocupante:

• Spam: aprovechándose de la posibilidad de enviar mensajes a cualquier usuario tan solo conociendo su número de teléfono, es posible bombardearnos con spam. Además, si alguien consiguiera el listado de todos los números de teléfono dados de alta en WhatsApp, tendría millones de víctimas potenciales a coste cero.

• Inundación: como si de un ataque de denegación de servicio se tratase, usando una técnica similar a la anterior se podrían enviar millones de mensajes a un número en concreto dejando el teléfono inservible hasta que elimine la aplicación o deje de recibir datos.

• Robo de cuenta: como ya hemos dicho antes, si conocemos el IMEI o la dirección MAC del dispositivo (dependiendo de si es Android o iOS) podríamos llegar a obtener acceso a una cuenta de WhatsApp. El sueño de todos aquellos que sospechan de sus parejas, vamos, aunque quedarían por ver las consecuencias legales de esta acción.

Como vemos, se abre todo un mundo de posibilidades a aquellos interesados en aprovecharse de estas vulnerabilidades para inmiscuirse en la vida privada de otras personas o fastidiarles un poco la existencia. Por su parte, WhatsApp debería empezar a asumir que su popularidad los compromete también realizar un esfuerzo en cuestiones de seguridad, ya que millones de usuarios no pueden quedar expuestos a estos ataques de esta forma.

Josep Albors

@JosepAlbors

Pingüinos bailarines: un ejemplo de pago por instalación para Android

Nuestro compañero Pierre-Marc Bureau, director del laboratorio de ESET en Montreal, ha estado analizando en las últimas semanas nuevas variantes de malware para Android que usan técnicas idénticas a las de cierto tipo de malware para ordenadores de sobremesa para sacar beneficios. A continuación procedemos a realizar una transcripción del texto original.

Durante años, los ciberdelincuentes han organizado sus operaciones e intercambiado recursos a través de foros de discusión y sitios de subastas. Un trueque muy popular es el intercambio de accesos a ordenadores infectados por dinero. Estos esquemas de intercambio son conocidos como “pago por instalación” (PPI por sus siglas en inglés). Recientemente hemos comenzado una investigación de un nuevo tipo de instalación PPI, pero esta vez orientado a dispositivos Android.

Empezamos nuestra investigación fijándonos en nombres de dominio y ficheros maliciosos relacionados en lo que parece ser un foro ruso usado por los ciberdelincuentes para promocionar y dar soporte a su esquema PPI. El foro empezó a funcionar a finales de 2011 y, según la información que hemos podido recopilar, aquellos que consiguen instalar con éxito software malicioso en dispositivos Android reciben entre 2 y 5 dólares americanos por cada instalación. Esta es una cantidad mucho más elevada que el precio habitual para ordenadores con Windows. Tal y como se observa en la imagen a continuación, tomada de la página principal de este foro, los administradores de este programa incluso han preparado imágenes atractivas para atraer a tantos estafadores como sea posible.

El software que se instala en los dispositivos Android es normalmente de la familia Android/TrojanSMS. Estos programas maliciosos envían mensajes SMS a números de tarificación especial, dando importantes beneficios a los que controlan este malware. Nuestros compañeros en Quickheal han realizado una investigación sobre estas aplicaciones.

Los métodos para conseguir infectar los dispositivos Android son variados, pero normalmente consisten en distribuir malware en copias pirata de juegos o aplicaciones conocidas. Los teléfonos y las tabletas se infectan cuando los usuarios acceden a foros o mercados de aplicaciones no oficiales en busca de aplicaciones famosas como Angry Birds, clientes de mensajería instantánea y similares. La siguiente imagen muestra la web de descarga de un troyano que simula ser un juego.

De momento hemos descubierto treinta nombres de dominio diferentes relacionados con esta operación, así como también cientos de ficheros maliciosos. Durante nuestro análisis observamos veintitrés variantes únicas que estaban siendo distribuidas a través de 300 direcciones URL únicas. La mayoría de las muestras maliciosas que analizamos estaban programadas para enviar mensajes SMS a los siguientes números Premium: 6666, 9999, 7375.

A continuación mostramos una lista de nombres de dominio que parecen estar relacionados con esta operación:

android-programmy.ru
android-s.in
android-syst.ru
androidz-mix.ru
apk-fail.ru
cekc26.ru
download-site.in
faiil-apk.ru
faiiles.ru
fiileapk.ru
file-m-obi.net
file-mo-bi.net
filemifree.net
fileow68.net
flash-mobile-dl.ru
flashmobiledl.ru
free-mobile.in
herwekome.ru
htcffile.ru
htcfi1e.ru
htcfile.ru
inter4me.net
mobile-s.in
mobilgamesappsru.ru
nokialists.ru
operamlni.ru
qertys1016.ru
regimens.ru
regimens.ru.in
wwwmobiles.ru

Los siguientes hashes de ficheros son variantes de Android/TrojanSMS que fueron usados en esta operación:

18c86d12a7463a11836c581264b92893f840028f
1a840e11f615c251eff4c0f699258190a0496c60
1bd6556ebb463cff1d7afb5681e9e5886b636bab
1d094d925c3e3813b647b60e4a4c685620f6fee9
3b5c5ae0131566c232ebf7a4f777b55e7ab53862
409bcd6b52c705e58c53dc4c30c9287563354316
418258e490ecb1af13033193221b765f48492d42
50c2d3065ffdb6e4786fc8d4d73620da81af66c6
64efb1a181de3ffdb77b381cdf2185f74eb7cfe4
6ca52dedadb663983fc530d8860213c3207e69fe
7196e9301282b74ed33ab565a07a31dee6f8243b
7444868a3f11597781583c368c22676c14259a64
74a90abf1915c6d0fe23e4cbe1cec2a53d759d03
8943d767e1d4f6fb3bfe28e64a417af2b00163cf
90771e904db0d30e4c2dc4efd625f8030d457aed
91c97cba1e545ac45a6f892ec20cbe440928ff50
955bf6367aa5629b5fa0f7fb6f54ebba8494f499
a49d56496662b03d4913af90865a59d0a40d61cf
b73eef29993b3803dafef4c784fd87e774a8bc62
d80f10df01b0527cd0859f7ee4e575ea7b770964
e63870a7850e226e2baed964d23b1de1c56aae63
f924e13e2971f79abe6e815647284c3ff236058e

Este descubrimiento, aunque no sea algo rompedor, ilustra una tendencia preocupante en la creación de malware. Los ciberdelincuentes están apuntando cada vez más a las plataformas móviles, ya que este segmento cada vez es más interesante para los usuarios. Por ello recomendamos instalar una solución de seguridad como ESET Mobile Security para Android en tabletas y smartphones .

Josep Albors

@JosepAlbors

Usamos más de 15 apps, mayoritariamente gratis y explotamos las redes Wi-Fi gratuitas [Infografía]

Ya sabéis que somos muy curiosos, y queríamos saber cuáles eran los principales hábitos de conducta de los usuarios con smartphone en cuanto a descarga e instalación de aplicaciones. En un contexto en el que millones de usuarios utilizan este tipo de teléfonos inteligentes, los cibercriminales han descubierto un buen caldo de cultivo con nuevas víctimas a las que engañar mediante la introducción de aplicaciones falsas que realmente no hacen lo que dicen… o hacen mucho más que no cuentan.

Así, durante los meses de junio a agosto de 2012, y a través de nuestra página web, preguntamos a los usuarios acerca de sus teléfonos inteligentes, y estos son los primeros resultados del estudio “Privacidad y seguridad en dispositivos móviles”[i] a modo de infografía, junto a unos consejos que, lejos de garantizar un 100% de seguridad con aplicaciones, al menos ayuda a reducir el riesgo.

Como principales conclusiones del estudio, diremos que Android sigue siendo el sistema preferido de los usuarios y sigue creciendo, dejando bien atrás con un 74,40% al popular iPhone. Nos ha sorprendido, eso sí, que en la categoría de “Otros”, en su inmensa mayoría los usuarios han introducido datos respecto al proveedor de servicios o al modelo de teléfono, pero no a su sistema operativo. Por lo que sumando esta categoría de respuesta a la de “No lo sé”, nos encontramos con que más de un 9% de los usuarios de smartphones no saben realmente qué sistema operativo utiliza su terminal.

Además, el 49,10% de los españoles que confiesan tener más de 15 aplicaciones instaladas en su teléfono inteligente. Y en el 53,60% de las veces, estas aplicaciones son gratuitas. Eso sí, gratamente nos ha sorprendido la cantidad de usuarios (69%) que confiesan descargarse las aplicaciones desde los sitios oficiales de descarga, como el iTunes Store o el Android Market, frente al 18,90% que confiesa hacerlo desde webs no oficiales y desde redes P2P (5,50%).

También nos ha sorprendido saber que no todo son juegos en la vida, ya que las aplicaciones de mensajería y comunicación son de las más demandadas (sin duda, WhatsApp tiene mucho que ver). Eso sí, en un 70,70% de las ocasiones, aprovechamos al máximo las redes Wi-Fi libres y públicas para exprimir nuestras aplicaciones (se tenga o no contratado un plan de datos con el proveedor de servicios).

Más usuarios de apps, más ataques cibercriminales

A medida que los usuarios de smartphones son más numerosos, más ataques se producirán a este colectivo utilizando para ello las nuevas herramientas que los cibercriminales tienen a su alcance. Y el mercado de las aplicaciones es, actualmente, un buen sitio donde conseguir nuevas víctimas. Los riesgos de tener a millones de usuarios “jugando” con apps es que pueden infectarse, sus comunicaciones pueden verse interceptadas y su privacidad, quedar al descubierto.

El problema reside en que diferenciar una aplicación legítima de otra que no lo es resulta bastante complicado, y son los investigadores los que suelen dar a conocer, tras su análisis, cuáles son maliciosas.

Con el fin de ayudar a reducir el riesgo a los usuarios, ofrecemos una guía básica sobre seguridad en aplicaciones para dispositivos móviles y una útil infografía:

1. Evitar la descarga de apps desde los sitios no oficiales. Aunque los sitios oficiales no garantizan nada, suelen estar menos poblados de amenazas de otros que no lo son.
2. Antes de descargar cualquier aplicación, haz una búsqueda en la Red del fabricante o distribuidor para averiguar algo más sobre él. Si llegas hasta una web corporativa bien trabajada, será más probable que sea lícita.
3. Busca en la Red también comentarios de otros usuarios que pudieran tener experiencias previas con esa app en concreto. Si es maliciosa o no funciona bien, seguro que encuentras referencias.
4. Instala y configura un antivirus en tu móvil para que analice las aplicaciones descargadas en busca de malware.
5. Desconfía de versiones baratas de aquellas aplicaciones que, normalmente, tienen un coste elevado. Muchas veces se trata de versiones falsas que solo pretenden infectar tu dispositivo móvil.

FinFisher y FinSpy vigilan tu móvil y ordenador. ¿Para bien o para mal?

El siguiente texto es una adaptación del artículo escrito por nuestro compañero Cameron Camp, investigador de ESET Norteamérica, al cual hemos añadido nuestras propias opiniones sobre este tema.

Durante los últimos días hemos leído noticias donde se decía que “el Spyware FinFisher, programado por la compañía basada en el Reino Unido Gamma Group, puede tomar el control de varios dispositivos móviles incluyendo el iPhone de Apple y las BlackBerry de RIM…”. Tras leer el artículo que publicó Bloomberg la semana pasada, muchos de nuestros usuarios contactaron con nosotros para preguntarnos cómo de peligroso era FinSpy y si deberían preocuparse.

Podríamos pensar que la respuesta de Gamma Group, la empresa responsable de FinFisher y de una gran variedad de software de vigilancia para ordenadores de sobremesa y portátiles, así como también para dispositivos móviles, es que sus productos no tienen nada de peligrosos siempre que seamos un ciudadano que respeta la ley, así que no deberíamos preocuparnos. Ahora mismo, en la web de la empresa se anuncia lo siguiente: “El programa FinFisher solo se ofrece a las fuerzas y cuerpos de seguridad del Estado, así como también a las agencias de inteligencia”.

¿Se puede contener un software como FinFisher?

Si alguna vez ha gestionado un laboratorio de malware, sabrá que confinar una muestra de software a un determinado grupo de personas es muy difícil. Así pues, algo llamado “software de intrusión en móviles” suscita varias preguntas en los círculos de los investigadores de malware: ¿puede y/o debería el software malicioso ser usado para detectar y atrapar a delincuentes? ¿Qué pasaría si este software cayese en malas manos?

La respuesta depende probablemente del grupo de gente al que se le pregunte. Aquellos que han invertido mucho tiempo y esfuerzo luchando contra el malware, como los gerentes de TI y los desarrolladores de software, puede que no vean el lado bueno de las aplicaciones instaladas de forma secreta que permiten acceder a datos confidenciales sin autorización. Por ejemplo, nuestro compañero Stephen Cobb opinó hace unos meses sobre los malware desarrollados por naciones como Stuxnet y Flame: “No hay malware bueno”.

Mientras que la empresa desarrolladora de FinFisher afirma que solo está ayudando a las fuerzas de la ley a hacer su trabajo, la posibilidad de que los delincuentes lo usen con malas intenciones está presente. Pongamos como ejemplo lo que sucedió con DarkComet RAT hace unos meses. Como FinFisher, DarkComet RAT tiene amplias capacidades de espionaje y el autor afirma que no tienen intenciones maliciosas. No obstante, el régimen genocida de Assad en Siria no dudó en usar DarkComet RAT contra aquellos sirios que buscaban liberarse de la opresión.

Sí, su teléfono puede espiarle

Así pues, ¿que funciones realiza el software de Gamma Group para permitir el espionaje? Seguramente no nos lo lleguen a decir, pero los investigadores (tras analizar las muestras) afirman que, como mínimo, permite grabar las conversaciones realizadas en teléfonos móviles, localizarlos, leer sus emails, escuchar las llamadas grabadas y capturar SMS. Y sí, también permite activar cámaras en el dispositivo. ¿Qué dispositivos se ven afectados? En este punto, Gamma no es muy específico, muy probablemente para no dar pistas a aquellos que realizan ingeniería inversa de esta tecnología. Los investigadores han encontrado muestras de este malware en plataformas iPhone y Blackberry, pero podría estar disponible para otros sistemas operativos móviles.

Desde una perspectiva técnica, las acciones descritas anteriormente no son muy difíciles de realizar, basándose en el nivel de acceso que se tenga al dispositivo físico. De acuerdo con Stephen Cobb, el servicio secreto de los Estados Unidos ya estaba confiscando “teléfonos espía” a mediados de los 90, teléfonos que aparentaban ser normales, pero que habían sido rediseñados para ser controlados de forma remota y escuchar conversaciones de forma ilegal. Todo lo que el delincuente tenía que hacer era dejar el teléfono en manos del objetivo (probablemente como un regalo, aprovechándose del alto coste de los móviles de entonces).

Las diferencias con la situación actual son: a) la gran cantidad de información personal y confidencial que pasa a través de un smartphone, y b) la habilidad de engañar a los usuarios de smartphones para que instalen spyware desde sitios web.

Pero, ¿qué sucede cuando esta tecnología va por mal camino? Bueno, actualmente se está realizando un gran esfuerzo intentando comprender cómo las muestras llegaron a Bahrain, una zona en la que esta empresa afirma que no vendió ninguna copia de su software. Investigadores de Citizen Lab, un laboratorio interdisciplinar con sede en la escuela Munk de Asuntos Globales de la Universidad de Toronto, Canadá, han estado vigilando el caso Bahrain durante algún tiempo.

Basándonos en lo que hemos visto en el pasado, de la misma forma que cualquier código malicioso que se propaga con fines maliciosos, como Stuxnet, está destinado a convertirse en algo de conocimiento y propiedad pública, permitiendo que criminales, naciones, organizaciones o hacktivistas puedan hacer uso de él. Lo mismo se aplica a otro tipo de malware gubernamental, tal y como informaron en marzo nuestros investigadores Robert Lipovsky, escribiendo sobre el troyano alemán, y Alexis Dorais-Joncas, cuando habló de los posibles códigos maliciosos chinos.

Y luego tenemos el matiz de que las fuerzas del orden de varios países donde se vende este tipo de software no están por la labor de informar acerca de en qué contexto se están usando estas funciones de espionaje. Hablando de eso, varios países tienen una legislación que prohíbe las escuchas ilegales, incluyendo los Estados Unidos, y se requiere una orden judicial para poder realizar estas escuchas. En este punto, Gamma afirma que cumple con todas las regulaciones de exportación, así que, supuestamente, solo intentan vender su software en zonas donde sea legal hacerlo.

Si no se dispone de un dispositivo móvil, también disponen de un software que puede ser usado en un PC, lo que nos vuelve a remitir a las políticas de detección de las empresas fabricantes de antivirus. El siguiente punto en el debate sobre “malware bueno” es si la tecnología antimalware debería poder detectarlo y cómo hacerlo. Es decir, este tipo de software actúa como lo haría un malware tradicional, interfiriendo con el micrófono de la cámara, registrando las pulsaciones, etc. Estaba previsto que algo así sucediese a corto plazo pero esta sucediendo ahora en nuestros bolsillos.

Por supuesto, la diferencia está en que el flujo de información que se obtiene de nuestro dispositivo móvil es más privada e interesante si la comparamos con la que se puede obtener de un ordenador en una habitación compartida que solamente se usa para jugar. Al fin y al cabo, nuestro dispositivo móvil se encuentra casi siempre encendido,  conectado e informando.

¿Qué suponen FinFisher y FinSpy para usted y su empresa?

La respuesta, como sucede muchas veces en el caso de nuevos desarrollos de malware, está en la vigilancia mejorada. Asegurémonos de que estamos ejecutando un antivirus actualizado en todos nuestros dispositivos, ya sean ordenadores de sobremesa, portátiles o móviles (los soluciones de ESET detectan este malware como el troyano Win32/Belesak.D). Asegúrese también de que sus empleados han sido formados recientemente en los vectores de infección y en estrategias de protección, como el pulsar sobre enlaces incluidos en emails (algo desaconsejable) e informar si se detecta algún tipo de actividad sospechosa (algo muy recomendable).

Como conclusión, no estamos al tanto de que este software se esté distribuyendo de forma masiva. Es más probable que se instale enviando un enlace malicioso al objetivo y, ahora mismo, no parece que forme parte de ataques masivos a grandes empresas, sino más bien parece que se está usando en ataques dirigidos muy específicos. Si su empresa hace negocios en Oriente Medio, es probable que ya se encuentre en estado de máxima alerta para evitar ataques de este tipo.

Seguiremos vigilando de forma global las infecciones realizadas por spyware como FinFisher e iremos proporcionando más información si el nivel de estas amenazas se incrementa.

Conclusiones desde ESET España

La existencia de un programa antivirus ha evolucionado mucho más allá de los virus. Barrotes o Viernes 13 ya son paleoinformática, pero la filosofía del programa sigue siendo la misma: proteger a los usuarios de todo tipo de programa que pueda llevar a cabo una tarea no deseada a espaldas del que lo sufre.

Si antes eran solo unos cuantos virus, hoy ESET protege contra millones de códigos distintos, y no solo virus. Esos códigos maliciosos suelen provenir de ciberdelincuentes que se aprovechan de los datos que manejamos, básicamente cuentas bancarias, usuarios de redes sociales, etc. Todo aquello de lo que los delincuentes puedan sacar algún beneficio aprovechándose de incautos usuarios no protegidos.

Sin embargo, en ocasiones el código no ha sido generado tan claramente por un ciberdelincuente. Hay casos, como se ha visto recientemente, en el que una gran sombra de duda planea sobre el origen de determinados ejemplares de malware. ¿Ha sido un Gobierno? ¿Ha sido una central de inteligencia? Nunca lo sabremos. Desde el punto de vista del fabricante de seguridad, no podemos hacer excepciones a la hora de detectar esos códigos. Si atenta contra la seguridad de un usuario mientras usa un ordenador o un móvil, debemos detectarlo.

Los códigos maliciosos, como su propio nombre indica, son malos para el usuario y el sistema, así que ESET los detectará, evitará su entrada en el ordenador y, si es necesario, lo desinfectará. Da igual su origen, un chaleco antibalas detendrá cualquier tipo de bala, sea de un atracador o de un policía. Está diseñado para proteger contra amenazas, independientemente de dónde vengan.

Josep Albors

@JosepAlbors

 Fernando de la Cuadra

@ferdelacuadra

 

Detectada nueva variante de Zitmo en dispositivos móviles

Hace algunas semanas, nuestros compañeros del blog del laboratorio de ESET Latinoamérica compartían con sus lectores el análisis e informe de una variante de Android/Spy.Zitmo que permitía su control a través de mensajes de texto o el protocolo de comunicación HTTP. En los últimos días se informó de otra variante de este código malicioso, por lo que, desde el Laboratorio de análisis e investigación de ESET Latinoamérica, nuestro compañero Pablo Ramos lo analizó para explicar a nuestros lectores las diferencias entre estas dos variantes.

Uno de los primeros puntos a analizar en el caso de los códigos maliciosos para Android, son los permisos solicitados por la aplicación. En el caso de la variante anterior, que suponía ser una falsa solución de seguridad, eran necesarios una gran cantidad de permisos. Sin embargo, en esta nueva variante solo se solicitan al usuario permisos para enviar y recibir mensajes de texto.

En esta ocasión, para engañar al usuario la aplicación lleva el nombre de “Zertifikat”, que en alemán significa certificado. Esto se debe a que simula ser una aplicación de control para realizar transacciones bancarias desde los dispositivos móviles, en lo que se conoce como factor doble de autenticación. El objetivo de este tipo de procesos es agregar una capa extra de seguridad a las transferencias de dinero a través de la banca electrónica.

 La estructura interna del código malicioso es completamante distinta. Esta nueva variante cuenta con una sola función y tres BroadcastReceiver asociados a eventos tales como la carga del sistema operativo, el reinicio del sistema y, tal y como era de esperar, la recepción de mensajes de texto:

Otro punto a tener en cuenta es que el package de la aplicación también tiene un nombre diferente, en esta ocasión es com.security.service. De los tres BroadcastReceiver, el más importante es SmsReceiver, en donde se incluye todo el módulo de control de este código malicioso a través de los mensajes de texto.

Mediante una inspección más minuciosa de las capacidades de esta amenaza, podemos ver todos los métodos que incluye. El disparador es el método onReceive(), que se ejecuta cada vez que se recibe un mensaje de texto. Según las características del mensaje se puede definir cuál será el número de teléfono que pertenece al “botmaster”,  quien podrá activar y desactivar las funcionalidades del malware.

Para ejecutar cada una de las funcionalidades, el atacante debe enviar un mensaje de texto con un formato específico. En la última variante que se analizó desde el laboratorio de ESET Latinoamérica, los mensajes enviados por el botmaster debían comenzar con alguno de los símbolos “#”, “/”, “!” o “,”. En este caso, los mensajes que interpreta el malware son:

• on: activa el reenvío de mensajes
• set admin: permite definir el número al cual se van a enviar los mensajes.
• off: deshabilita la función de reenvío de mensajes.

 Todos los mensajes que se reciban con este contenido no serán notificados al usuario, con el objetivo de evitar la detección de este malware en el teléfono del usuario.

 Más allá de las funcionalidades de esta nueva versión, es necesario tener en cuenta las diferencias entre las variantes de ZITMO que hemos estado analizando y de las que hemos informado en nuestro blog. Los cambios en la estructura y las acciones de estos códigos maliciosos cumplen siempre la misma función, pero con diferencias notables en su código. Debido a estas modificaciones, contar con una solución de seguridad proactiva en los Smartphones, como ESET Mobile Security, permite a los usuarios mantenerse protegidos de este tipo de amenazas.

Josep Albors

@JosepAlbors

« Artículos Posteriores — Artículos Anteriores »