Hesperbot – Análisis técnico 2 de 2

El siguiente artículo es una traducción y adaptación del publicado por nuestro compañero Robert Lipovsky en el blog oficial de ESET WeLiveSecurity.

Win32/Spy.Hesperbot es un nuevo troyano bancario que ha estado afectando a usuarios de banca online en Turquía, la República Checa, Portugal y el Reino Unido. En este tercer post revisaremos la parte más intrigante del malware: la manera en la que intercepta el tráfico de red. Las campañas de propagación del malware y sus víctimas y una visión general técnica de la arquitectura del malware, su componente móvil y otras características han sido descritas en el primer y segundo post.

Intercepción del tráfico de red e inyecciones web

Otros conocidos troyanos bancarios como Zeus y SpyEye son capaces de interceptar y modificar el tráfico HTTP y HTTPS anclándose en las funciones WinSock (send, WSASend, etc.) y en funciones de nivel superior WinInet (HttpSendRequest, InternetReadFile, etc.). Como en las inyecciones web, el robo de datos desde formularios y otros engaños realizados por estos troyanos bancarios tienen lugar en el navegador afectado, conociéndose este método como el ataque “Man-in-the-Browser”. No obstante, Win32/Hesperbot toma una aproximación diferente no muy común pero que ha sido, de hecho, usada por el troyano bancario Gataka. Un buen análisis técnico de Win32/Gataka realizado por nuestro compañero Jean-Ian Boutin puede encontrarse aquí.

La interceptación del tráfico de red y la funcionalidad de inyección HTML en Win32/Spy.Hesperbot se consigue por el trabajo conjunto de los módulos de los plugin nethk, httphk y httpi.

1_Diagramy-02Imagen 1– Relaciones entre los módulos de interceptación de red

A continuación mostramos una breve descripción del propósito de cada uno de los módulos:

Nethk: utilizado para configurar un proxy local, anclar funciones del socket para conducir las conexiones a través del proxy y anclar las funciones de verificación del certificado SSL del navegador. También maneja el descifrado y cifrado del tráfico HTTPS que circula a través del proxy.

  • httphk – utilizado para analizar el tráfico HTTP interceptado por el proxy.
  • httpi – utilizado para tomar capturas de pantalla, vídeos, recopilación de información desde formularios e inyecciones web de acuerdo con el fichero de configuración.

Ahora echémosle un vistazo de cerca a cómo los módulos trabajan juntos y cumplen sus tareas. Tal y como hemos mencionado anteriormente, los módulos exponen sus funciones en una vtable para que puedan ser usadas por otros módulos. El programa fluye entre los módulos al tiempo que cada solicitud HTTP o respuesta es interceptada a través de funciones callback.Nethk

Nethk es el primer módulo del complemento en ser cargado por el módulo core. Win32/Spy.Hesperbot realiza un ataque man-in-the-middle creando un proxy local a través del cual dirige todas las conexiones desde el navegador.

21Imagen 2 – Direcciones IP locales en el código del Hesperbot

33Imagen 3 – Internet Explorer conectado a través del proxy de Hesperbot

Para conseguir esto, el módulo nethk del troyano crea un proxy en un puerto aleatorio en la dirección 127.0.1.1 y ancla las siguientes funciones en la librería mswsock.dll, la librería de bajo nivel Winsock SPI:

  • ·         WSPSocket
  • ·         WSPIoctl
  • ·         WSPConnect
  • ·         WSPCloseSocket

Los punteros a estas funciones son modificados en WSPPROC_TABLE. Para comprender cómo funciona la redirección del proxy, echemos un vistazo a la función anclada WSPConnect.

43

Imagen 4 – API WSPConnect anclada

El socket del navegador, cuando intentamos conectarnos a un sitio web seguro de banca online, por ejemplo, se conecta en su lugar al proxy creado por Hesperbot. En otro hilo, la conexión legítima se establece con el sitio web.

5_Diagramy-03

Imagen 5 – Vista general de la interceptación del tráfico HTTPS a través del proxy de Hesperbot

Una httphk-callbak es lanzada cada vez que el proxy intercepta una solicitud desde el navegador, antes de pasarla al servidor real. De la misma forma, otra httphk-callback es lanzada cada vez que el proxy intercepta una respuesta desde el servidor real, antes de enviársela al navegador. A continuación, el módulo httphk analiza el tráfico.

Hay una diferencia entre el manejo del tráfico HTTP y el HTTPS. En caso del HTTP, la solicitud o datos de respuesta es simplemente enviado al httphk. En el caso de HTTPS, nethk primero se “encarga del cifrado”. Cuando se intercepta una solicitud HTTPS del navegador (cifrado usando su propio certificado SSL y explicado a continuación) esta es descifrada, y los datos descifrados son enviados a httphk a través del callback y luego cifrados usando el certificado real del servidor (p.ej. sitio web de un banco) para, seguidamente, ser enviados a su destino real. Recíprocamente, cuando una respuesta HTTPS se recibe desde el servidor, es descifrada usando el certificado real mientras los datos cifrados son enviados de nuevo al httphk y luego cifrados usando el certificado falso de Hesperbot antes de ser enviados al navegador.

En efecto, a través del proxy man-in-the-middle, Win32/Spy.Hesperbot puede acceder a las comunicaciones salientes HTTPS de la víctima antes de que se cifre y sus comunicaciones entrantes HTTPS después de ser descifradas. El mismo efecto se consigue con las técnicas de Man-in-the-Browser de los malware Zeus y SpyEye, pero esta nueva aproximación es ligeramente más sigilosa.

Por supuesto, está redirección maliciosa vía proxy debe realizarse por un certificado inválido para un sitio web HTTPS. Los autores de Hesperbot también pensaron en esto. El módulo nethk lleva sus propios certificados SSL autofirmados y estos sustituyen a certificados legítimos.

62

Imagen 6 – Certificados SSL dentro del binario nethk

7

Imagen 7 – Ejemplo de certificados falsos en uso de Hesperbot. En un sistema limpio, el certificado de Google se mostraría aquí.

Para poder engañar al navegador y que crea que el certificado es válido y evite mostrar un mensaje de alerta, el módulo malicioso también secuestra las funciones responsables de la verificación de los certificados. La implementación difiere dependiendo del navegador. La siguiente tabla muestra que navegadores son soportados por Win32/Spy.Hesperbot y que funciones son secuestradas.

graph

Imagen 8 – Funciones de verificación del certificado secuestrado por Hesperbot para diferentes navegadores

Una característica interesante de este código malicioso es que los autores han usado hashes en lugar de usar  nombres de procesos del navegador directamente,para así complicar el análisis y, más importante, para proteger el malware de la detección por firmas de los antivirus.

9

Imagen 9 – Ofuscación de código en Win32/Hesperbot. Se utilizan hashes en lugar de nombres de procesos

La imagen a continuación muestra el código de CertVerifyCertificateChainPolicy.

10

Imagen 10 –  API de CertVerifyCertificateChainPolicy

En el caso del proceso de verificación de la política en cadena de un cliente/servidor SSL (otros tipos son rechazadas y enviados a la función original), la función secuestrada simplemente devuelve un resultado indicando que se comprobó la revisión de la política.

Httphk

El modulo httphk sólamente se hace responsable de interceptar los datos del protocolo HTTP. Cuando se lanza el httphk-callback, intercepta las cabeceras HTTP y los datos para rellenar una estructura interna. Esta estructura será accedida por el módulo httpi.

De nuevo, httphk expone dos funciones callbak para invocar httpi: httpi_request_callback and httpi_response_callback.

Httpi                          

Este es el módulo principal que realiza la modificación de los datos HTTP, de acuerdo con el fichero de configuración.

Cuando se llama a httpi_request_callback se realizan las siguientes acciones:

  • Captura de pantallas y vídeos: el módulo lee el fichero de configuración y revisa la URL solicitada. Si se especifica en la configuración, la captura de pantalla y vídeo se empieza a realizar.
  • Recopilación de formularios: el módulo revisa si existe una solicitud POST a través del esquema HTTP y si el tipo de contenido es “application/x-www-form-urlencoded” o “text/plain”. Si se cumplen estas condiciones, es probable que el usuario haya enviado un formulario. Si el fichero de configuración especifica que la URL debe ser monitorizada, estos datos se guardan en un registro.

Cuando se llama a httpi_response_callback ocurre lo siguiente:

  • Inyección HTML: lo primero que hace el troyano es revisar si el código de respuesta HTTP es 200. A continuación, lee el fichero de configuración y, si existen entradas de inyección web para la página web que responde, se introducen en el contenido HTML.

La imagen a continuación muestra un fichero de configuración descifrado utilizado en la botnet portuguesa. Puede observarse que el primer grupo de dominios (ignorados por httpi) son de poco interés para los operadores de la botnet. A pesar de que las credenciales robadas de sitios como Google o Facebook serían consideradas como valiosas para otro software espía, esto demuestra que los creadores de Hesperbot solo están interesados en los datos relacionados con banca online. Las páginas web  objetivo se listan a continuación de las ignoradas. El resto del fichero de configuración contiene códigos HTML que se supone deben inyectarse en los sitios web bancarios.

11

Imagen 11 – Fichero de configuración descifrado de la inyección web usado en la botnet portuguesa.

Parece que las personas que escribieron los scripts de la inyección web hablaban ruso, tal y como se deduce de los comentarios en el código fuente. No obstante, observamos que los scripts podrían ser o no escritos por las mismas personas que crearon el malware Win32/Spy.Hesperbot y/o manejan la botnet. Los scripts de inyección web son normalmente compartidos y reutilizados. Esto es posible cuando se utiliza un formato similar en varias familias de malware y la especialización entre los cibercriminales es algo común.

Authores:
Anton Cherepanov
Robert Lipovsky

Listado de MD5s
3d71bc74007a2c63dccd244ed8a16e26
ce7bcbfad4921ecd54de6336d9d5bf12
f8ef34342533da220f8e1791ced75cda
1abae69a166396d1553d312bb72daf65
83b74a6d103b8197efaae5965d099c1e
91c5a64e6b589ffcfe198c9c99c7d1f0
ae40a00aad152f9113bc6d6ff6f1c363
27d8098fe56410f1ac36008dbf4b323e
8a9cb1bb37354dfda3a89263457ece61
ff858b3c0ea14b3a168b4e4d585c4571
1243812d00f00cef8a379cb7bc6d67e7
1e1b70e5c9195b3363d8fb916fc3eb76
4cf7d77295d64488449d61e2e85ddc72
5410864a970403dae037254ea6c57464
64a59d4c821babb6e4c09334f89e7c2d
1f7b87d5a133b320a783b95049d83332
028a70de48cd33897affc8f91accb1cd
4cc533ef8105cbec6654a3a2bc38cb55
59427cfb5aa31b48150937e70403f0db
c8ee74ada32ea9040d826206a482149e
d3c7d6d10cd6f3809c4ca837ba9ae2e8



Los smartphones: ese oscuro objeto del deseo. Falsos sorteos del nuevo iPhone5S y 5C se distribuyen por Facebook

Categorias: Facebook,General,Scam,sorteos,Spam,telefonía,timos | | 1 Comentario » |

La palabra “smartphone” no solo ha pasado a ser parte de nuestro vocabulario diario, sino que estos golosos terminales forman parte de nuestro equipaje de mano diario, vayamos donde vayamos. El smartphone, teléfono inteligente o simplemente el “chisme” se ha convertido en un objeto de deseo, y no solo porque todos queremos tener uno, sino porque todos queremos tener el último modelo, el mejor, el más molón, el más nuevo.., aunque las diferencias de esta gran novedad con respecto al que ya tienes sean mínimas o no cambie más que el aspecto.

Te voy a contar algo: le pasa a mi padre, que ya ha pasado la edad de jubilación. No tiene ni idea de cómo manejar un smartphone más allá de hacer llamadas y recibirlas, pero descuida, que en cuanto puede se cambia de terminal “porque este es más rápido”, “porque me han dicho que tiene más memoria” (¡como si lo usara con cien mil aplicaciones!) o “porque es más grande, que con el otro no veía las letras”… En fin, que da igual que tengamos el último adelanto tecnológico entre nuestras manos: todos debemos tener un gen, que forma parte de nuestro ADN, y que nos incita a tener siempre lo último, aunque ello nos lleve a ser víctimas de un timo.

Y de eso realmente te venimos hoy a hablar: de cómo nuestra irresistible tendencia a correr a por lo último es aprovechada en nuestra contra por spammers, scammers, timadores, cibercriminales y otros habitantes del lugar. El caso es que esta semana, como seguramente casi todos sabréis (porque el gen de nuestro ADN nos lleva a seguir estas noticias) Apple ha desvelado los detalles de sus nuevos modelos de iPhone, el 5S y el 5C.

eset-nod32-antivirus-nuevo-iphone5s

Pues bien, poco han tardado los cibercriminales en comenzar a crear páginas con el gancho de haber resultado el ganador de un nuevo flamante iPhone 5S o iPhone 5C o a distribuir mensajes privados a los usuarios de Facebook. Para conseguirlo, como siempre, o tendréis que instalar una app que te saque todos los datos de tu perfil de Facebook o se distribuya a tu red de contactos o meter tu número de teléfono para enviarte un código y, ya de paso, suscribirte a un servicio de tarificación especial… De momento no hay muchos seguidores de estas páginas, porque la noticia es muy reciente, pero estoy convencida de que no tardará en apuntarse una legión de usuarios.

 eset-nod32-antivirus-gana-iphone5s-facebook

Las características especiales de este tipo de páginas son siempre las mismas: suelen haberse creado muy recientemente, prácticamente no tienen contenido, no se identifican en los campos de información con ninguna empresa, organización o institución en concreto y el gancho principal es el iPhone en sí. Además, suele contener información sobre los pasos a seguir para conseguirlo que, como ya hemos comentado anteriormente, incluye la obtención de datos en alguno de los pasos. También podemos encontrar webs ya preparadas para llevar a cabo esta labor:

eset-nod32-antivirus-españa-falso-sorteo-iphone5s-1

Pero con lo que hay que andar muy atentos ahora es con los mensajes privados que pueden llegar a tu bandeja de mensajes de Facebook, ya que simulan ser de Apple y te invitan a hacer clic en un link para entrar en el sorteo del preciado objeto. Cuando haces clic, llegas a un sitio prácticamente igual al de Apple en apariencia, que solicita que introduzcas el email y password de tu cuenta de Apple Store para entrar. Si lo haces, estás perdido. Como bien sabrás si eres usuario de Apple, en el Store tienes que introducir muchos datos tuyos si quieres descargar cualquier tipo de aplicación, aunque sea gratis. Y con tu email y tu password, ya tienen vía libre para entrar a tu cuenta real…

De momento estos emails se están distribuyendo en el continente asiático y comienza a saltar a Norteamérica, así que prepárate porque en breve tendremos estos mensajes en español distribuyéndose por nuestros perfiles.

Sobra decir que no conozco a nadie que haya participado en uno de estos sorteos y que haya sido agraciado con ese oscuro objeto del deseo. Así que, de momento, si quieres tener el nuevo iPhone cuando salga, tendrás que ir o alimentando al cerdito (porque el precio es bastante elevado) o esperar a alguna de las imitaciones chinas que no duran más que un respiro. ;-)

¡¡Feliz miércoles, trop@!!

Yolanda Ruiz



Hesperbot – Análisis técnico 1 de 2

El siguiente artículo es una traducción y adaptación del publicado por nuestro compañero Robert Lipovsky en el blog oficial de ESET WeLiveSecurity.

Win32/Spy.Hesperbot es un nuevo troyano bancario que ha estado afectando a usuarios de banca online en Turquía, la República Checa, Portugal y el Reino Unido. Para más información acerca de las campañas de propagación de este malware y sus víctimas se puede consultar el primer post publicado al respecto. En este artículo descubriremos los detalles técnicos del malware, incluyendo la arquitectura general así como también su componente móvil.

Visión general

Como otras familias de malware, Win32/Spy.Hesperbot posee una arquitectura modular. En el primer paso de la infección, la víctima descarga y ejecuta un componente de descarga de ficheros (dropper). Este dropper se encuentra protegido por un empaquetador de malware personalizado y distribuido en un archivo ZIP.

1_Diagramy-01

Imagen 1 – Visión general de los módulos iniciales de Hesperbot

La función del dropper es inyectar el componente principal (core) en el fichero explorer.exe. A continuación, el core descarga y carga módulos adicionales, complementos utilizados para realizar acciones maliciosas.

Screen-Shot-2013-09-06-at-11.00.35

Imagen 2 – Descripción de los módulos de Win32/Spy.Hesperbot

Los distintos módulos se encuentran disponibles en variantes x86 y x64, de acuerdo con el sistema anfitrión.

También están disponibles algunas funciones internas de módulos individuales para que otros módulos puedan usarlo a través de una tabla de métodos virtual (vtable).

Hemos aplicado ingeniería inversa a los componentes del malware y resaltaremos las características más interesantes en los siguientes párrafos. La mayoría de componentes del malware fueron compilados usando Visual Studio 2010 y escritos en el lenguaje de programación C, pero sin utilizar la librería  Run-Time de C. Aun sin ser el malware más sofisticado que hayamos analizado, Win32/Spy.Hesperbot no puede ser considerado una obra de aficionados.

Módulos principales

Dropper

El dropper puede utilizar uno entre varios métodos para inyectar el componente core en la dirección de espacio de explorer.exe:

  • Iniciando una nueva instancia de explorer.exe y modificando su punto de entrada usando NtGetContextThread para apuntar a su propio código (escrito utilizando WriteProcessMemory). Esto puede hacerse bien directamente o a través de un proceso intermedio attrib.exe.
  • Inyectándose a sí mismo en el fichero existente explorer.exe utilizando el elaborado truco Shell_TrayWnd/SetWindowLong/SendNotifyMessage usado en PowerLoader y otro malware (Aleks Matrosov ha publicado varios artículos en el blog recientemente, así que no nos extenderemos en este punto).
  • Inyectándose a sí mismo en el archivo explorer.exe utilizando la aproximación común con CreateRemoteThread.

De forma interesante, el método de inyección también está basado dependiendo de si los drivers cmdguard.sys (Comodo) o klif.sys (Kaspersky) se encuentran presentes en el sistema.

Core

El módulo core, ejecutándose ahora en el context del explorer.exe, controla las comunicaciones con el servidor C&C y lanza otros módulos complementarios. La funcionalidad del malware típico, como la de escribir en la llave Run del registro de Windows, también es controlada por core.

Para poder acceder al servidor C&C, Win32/Spy.Hesperbot.A utiliza bien una dirección URL integrada en el código (se observaron varias diferentes en las variantes utilizadas en las botnets de la República Checa, Turquía y Portugal) o genera nuevas direcciones URL del C&C utilizando un algoritmo de generación de dominios en caso de que el primer servidor se encuentre inaccesible.

La siguiente información se envía al servidor de mando y control (C&C):

  • Nombre del bot basándose en el nombre del ordenador
  • Nombre de la botnet – hasta el momento hemos observado “cz-botnet”, “tr-botnet”, “pt-botnet”, “uk-botnet” y “super-botnet” (utilizada en versiones beta tempranas)
  • Direcciones IP de los adaptadores de red presentes
  • Nombres de las Smart-cards activas

Información acerca de los complementos de Hesperbot instalados

31

Imagen 3 – Identificador de la botnet en el código de Hesperbot

De vuelta, el servidor puede enviar:

  • Un archivo de configuración
  • Módulos de complementos
  • Un ejecutable arbitrario para ejecutar
  • Una nueva versión de sí mismo

Varios detalles técnicos sobre  la funcionalidad que acabamos de nombrar son dignos de mención. En  primer lugar, el malware es capaz de numerar las smart cards presentes en el sistema utilizando las funciones API SCardEstablishContext, SCardListReaders y SCardConnect. A diferencia de ataques más sofisticados contra smart-cards (descritos por Aleks aquí y aquí), Win32/Spy.Hesperbot solo recopila nombres de smart-cards y no posee la habilidad para interactuar con ellas.

En segundo lugar, los datos descargados (es decir, el archivo de configuración y los módulos de complementos) están cifrados usando Twofish cipher. La clave de 256 bits es un hash basada en:

  • Nombre del ordenador
  •  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “InstallDate”
  • Versión de Windows
  • Arquitectura del procesador (x86, x64 o IA64)
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] “MachineGuid”
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “DigitalProductId”

Para almacenar los datos descargados así como también otros binarios auxiliares (p.ej. el registro creado por el módulo keylogger), Hesperbot utiliza un subdirectorio nombrado de forma aleatoria en la ruta %APPDATA%.

El módulo core puede inyectarse a sí mismo en todos los procesos en ejecución. Más aun, un truco no documentado de engancharse al UserNotifyProcessCreate se usa cuando se ejecuta dentro de csrss.exe para asegurarse de que el código del troyano se inyectará en todos los nuevos procesos.

Componente Móvil

Actualmente es común que los troyanos bancarios utilicen componentes móviles (como ZitMo y SpitMo, por ejemplo) para poder saltarse las medidas de autenticación bancaria que usan mTANs (Mobile Transaction Authentication Number).

En los scripts de inyección en web que hemos visto hasta ahora, el malware introduce código en el sitio web, lo que invita al usuario a instalar una aplicación en su teléfono móvil. A la víctima se le ofrece un listado de modelos de teléfono y, tras introducir su número de teléfono, se envía un enlace a su móvil para descargar el componente móvil. Se soportan tres plataformas de móviles: Android, Symbian y Blackberry.

41

Imagen 4 – Plataformas móviles soportadas en un Javascript inyectado en web

Hemos analizado las versiones para Symbian y Android, pero no hemos podido obtener una muestra del malware para Blackberry. La versión para Symbian soporta una amplia variedad de dispositivos, incluyendo Symbian S60 3ª edición, Symbian S60 5ª edición y la más reciente, Symbian 3.

Ambos troyanos móviles analizados muestran una funcionalidad similar. Primero se realiza un “procedimiento de activación”. El Javascript de inyección web en el ordenador infectado por Hesperbot genera un “número de activación” aleatorio, que se muestra al usuario. Seguidamente, se le indica al usuario que reintroduzca este número cuando se lo pida la aplicación móvil. Esta aplicación muestra entonces un código de respuesta, que se calcula a partir del número de activación. A continuación se le pide al usuario que introduzca este código en la página web que se muestra en su ordenador para realizar la verificación (el script inyectado contiene el mismo algoritmo para calcular el código de respuesta que el utilizado en el componente móvil). Esta funcionalidad proporciona a los atacantes la confirmación de que la víctima ha instalado el componente móvil con éxito y lo liga con la infección.

51

Captura de pantalla del componente de Android – Android/Spy.Hesperbot.A

Tal y como era de suponer, el código de las versiones Symbian y Android (y muy probablemente también en la versión para Blackberry), registra un servicio que espera a recibir mensajes SMS entrantes y los envía al número de teléfono del atacante. De esta forma, el atacante consigue el código mTAN necesario para registrarse en la cuenta bancaria secuestrada.

El código instalado en el móvil también proporciona al atacante la habilidad de controlar el servicio remotamente a través de comandos SMS.

El componente para Android es detectado por ESET como Android/Spy.Hesperbot.A y la versión Symbian como SymbOS9/Spy.Hesperbot.A

Otras funcionalidades

Keylogger

El modulo keylogger intercepta las pulsaciones de teclas al anclarse en las funciones GetMessage y TranslateMessage en la librería user32.dll. Estas pulsaciones se guardan en un fichero de registro, junto con el nombre del módulo del proceso original y un texto con el título de la ventana. Tras esta operación, el registro se envía al servidor C&C.

Capturas de pantalla y vídeo

Las capturas de pantalla y vídeo se realizan por el módulo httpi si así se especifica en el fichero de configuración.

La funcionalidad de captura de vídeo ha sido usada por el malware Citadel, modificado a partir de Zeus, y proporciona a los atacantes una mejor visión general de lo que está sucediendo en la pantalla de la víctima. Se implementa utilizando funciones Avifil32.dll: AVIFileCreateStream, AVIFileMakeCompressedStream, AVIStreamWrite, etc.

61

Imagen 6– Parte del código de captura de vídeo de Hesperbot

La funcionalidad más común de captura de pantalla se implementa utilizando las funciones de Gdi32.dll BitBlt, GetDIBits, etc.

VNC oculto

La funcionalidad VNC ha sido usada con anterioridad por el infame malware Carberp (de hecho, Carberp ha podido servir como inspiración a los creadores de Hesperbot tras el filtrado de su código fuente). Permite al troyano crear un servidor VNC oculto, al cual se puede conectar remotamente el atacante. Debido a que VNC no desconecta al usuario tal y como hace RDP, el atacante puede conectarse al ordenador de la víctima sin levantar sospechas mientras esta se encuentra trabajando. La sesión de VNC se ejecuta en un escritorio aparte (consulte CreateDesktop en MSDN), de forma invisible para el usuario. El módulo también proporciona al atacante la posibilidad de lanzar un navegador que se encuentre instalado en el sistema anfitrión. De esta forma, el atacante también tendrá acceso a todos los datos asociados con los navegadores (cookies, sesiones, etc.).

En nuestro 3er post hablando sobre Win32/Spy.Hesperbot, comentaremos los detalles técnicos que tienen relación con la interceptación de la red y la funcionalidad de inyección web. Permaneced atentos.



Encuestas online se aprovechan del éxito de series de TV como Breaking Bad

Categorias: BlackHat SEO,telefonía,timos | | 1 Comentario » |

Las molestas encuestas online que muchos usuarios sufren a diario no dejan de innovar para tratar de conseguir el mayor número de víctimas posible. En nuestro blog ya hemos tratado con anterioridad varios de estos casos que utilizaban correos electrónicos o enlaces publicados en Facebook y Twitter. Una de las últimas técnicas que hemos observado es la utilización de enlaces falsos que, supuestamente, descargan capítulos de series de éxito como es el caso de la aclamada Breaking Bad.

Esta serie, en concreto, tiene una base de seguidores muy importante que quieren estar al día de las aventuras del profesor de química Walter White y su compañero Jesse Pinkman, interés acrecentado por estar emitiéndose actualmente los últimos capítulos de la serie. No es de extrañar que los enlaces desde donde descargar el capítulo más reciente se cuenten por cientos a las pocas horas de su emisión en Estados Unidos.

Además de las páginas de descarga habituales, es también posible encontrar estos enlaces de descarga en sitios como Pastebin, sin ser esta su finalidad, y es que dicha web es usada para este y otros fines como publicar datos filtrados tras una operación realizada por grupos hacktivistas. Los grupos detrás de la promoción de encuestas online lo saben y por eso han empezado a publicar falsos enlaces también en Pastebin para que aparezcan entre los primeros resultados cuando algún usuario busque el último capítulo de su serie favorita.

pastebin

Entre varios enlaces que conducen al archivo auténtico también encontramos otros que nos ofrecen la visualización online del episodio de esta y muchas otras series. Prácticamente, todas las series más populares de la actualidad están contempladas, para así intentar conseguir un número mayor de víctimas.

pastebin_enlaces

Si algún usuario incauto pulsa sobre este enlace, será redirigido a una web creada especialmente para obtener un buen posicionamiento en los motores de búsqueda utilizando técnicas de Black Hat SEO. Esto es fácil de comprobar simplemente revisando la cantidad de palabras clave que aparecen haciendo referencia a ese episodio en concreto, algo que puede ayudar a posicionar esta web entre los primeros resultados aunque no durante mucho tiempo, puesto que buscadores como Google ya penalizan el uso de estas técnicas cuando las detectan.

bh_seo_web

Obviamente, lo que persiguen los creadores de este tipo de webs es que el usuario llegue a ellas de la forma más fácil posible y pulse sobre los enlaces proporcionados. A partir de ahí pueden redirigir al confiado usuario al sitio web que quieran, bien sea de encuestas online como en este caso como también de sitios de phishing especialmente preparados para robar credenciales o incluso descargar malware aprovechando alguna vulnerabilidad existente en el sistema.

En este caso en concreto, lo primero que se nos pide es verificar nuestra condición de “persona humana” y descartar que seamos un bot que haya accedido al enlace. En realidad, esta supuesta comprobación no persigue otra finalidad que engañar al usuario que solo quiere ver online el episodio de su serie favorita. Es por ello que la mayoría no dudará en pulsar sobre alguna de las opciones proporcionadas, especialmente si en ella pone “Haz clic para ver el video”.

spam-check

Cuando parece que ya estamos a punto de ver el deseado episodio (o al menos eso nos quieren hacer creer mostrando un reproductor de vídeo en el fondo de la pantalla) nos solicitan un último dato: nuestro número de teléfono móvil. Aquí, hasta los usuarios más desprevenidos deberían darse cuenta de que están siendo víctimas de un engaño, puesto que no es normal que una web nos solicite este dato para ver un simple vídeo que, por otra parte, es bastante sencillo de conseguir acudiendo a otras fuentes.

Además, si nos fijamos en la letra pequeña en la parte inferior de la pantalla observaremos cómo al enviar nuestro número de teléfono, estaremos registrándonos en un sistema de mensajes de texto de tarificación especial. Esto nos puede causar un buen susto cuando recibamos la factura telefónica, por lo que nunca deberíamos introducir nuestro número sin haber leído, comprendido y aceptado las condiciones que se nos imponen.

num_tlf

Si, aun a pesar de estas pistas que nos deberían hacer cesar en nuestro intento de seguir adelante, decidimos proporcionar nuestro número de móvil, tampoco conseguiremos poder ver el deseado vídeo, puesto que entraremos de nuevo en un programa de encuestas online que solo busca conseguir nuestros datos para enviarnos promociones a cambio de supuestos premios.

encuesta

El hecho de que los promotores de este tipo de encuestas se hayan fijado en los usuarios que buscan descargar capítulos de sus series favoritas como una nueva fuente de víctimas, demuestra que están continuamente evolucionando sus técnicas de engaños para conseguir que sus ingresos no disminuyan. Detrás de este negocio, legal pero con ciertos matices respecto a su transparencia, se mueve mucho dinero, dinero que sus creadores y promotores no están dispuestos a perder.

Como usuarios, para evitar caer en este tipo de trampas, lo mejor es acudir a fuentes de confianza para poder ver o descargar los vídeos deseados. Existen varias plataformas de pago que emiten las series más populares al poco tiempo de su emisión en su país de origen, ya sea en versión original con subtítulos o dobladas al castellano. También está la opción que eligen muchos usuarios de compartirlos a las pocas horas de su emisión y con subtítulos realizados por los propios seguidores. En ese caso, lo mejor es asegurarse de la reputación del usuario que sube el fichero o de que haya una revisión previa antes de empezar a compartirlo, cosa que se puede observar fácilmente por la reputación que tenga el fichero en los comentarios de los otros usuarios.

De cualquier forma, con todos los ejemplos de propagación de este tipo de encuestas online que hemos visto en los últimos meses, lo realmente importante es aprender a identificar cuándo nos encontramos ante uno de estos engaños, evitar seguirles el juego y nunca proporcionarles datos privados para evitar tener que pagar elevadas facturas de teléfono.

Josep Albors



Españoles en la Defcon: Construyendo un IDS en Android a nivel de red.

Siendo los ataques a dispositivos móviles uno de los tema principales en la pasada Defcon, se agradeció mucho que algunas de las charlas estuvieran orientadas a aprender cómo defendernos de estos ataques y a presentar herramientas que cumplieran esta función. Uno de los ponentes que más nos impresionó en este aspecto fue el español Jaime Sánchez, quien presentó una aplicación para Android que podía actuar tanto como IDS (Sistema de detección de intrusos por sus siglas en inglés) e IPS (sistema de protección frente a intrusos por sus siglas en inglés) a nivel de red y capaz de analizar tráfico en tiempo real.

Durante la charla Jaime nos explicó los problemas que tenemos los usuarios de Android al ser la plataforma más utilizada y, por ende, la elegida por los atacantes. Actualmente, la gran mayoría del malware diseñado para móviles está enfocado a esta plataforma y las amenazas van creciendo constantemente. Además de las vulnerabilidades propias del sistema, o las existentes en la plataforma de aplicaciones webkit, presente en varios de los navegadores más utilizados, hay que añadir el malware dirigido que busca robar información confidencial e incluso los módulos del Metasploit Framework orientados a atacar a dispositivos móviles.

defcon_jaime

Esta herramienta que se ejecuta dentro del propio dispositivo móvil y de forma automática permite analizar, clasificar y modificar en tiempo real los paquetes obtenidos al capturar todo el tráfico de red generado por un móvil. Esto es algo extremadamente útil para aquellos administradores de red que quieran conocer las amenazas de seguridad que afectan a sus usuarios y prevenir acciones maliciosas de atacantes debido a que la herramienta es capaz de procesar el tráfico antes de que lo haga nuestro dispositivo Android, pudiendo protegernos de una forma más efectiva que el software actual para móviles.

De esta forma, la herramienta podría lanzar una alerta en el propio dispositivo como avisar al equipo de seguridad que lo controla para que tome las medidas adecuadas, lo que incluye descartar paquetes, añadir una nueva regla en el cortafuegos propio del móvil o ejecutar un script o módulo en respuesta. El software se conecta frecuentemente con un servidor principal de donde obtiene las nuevas firmas de ataques y amenazas para estar actualizado.

Con la ayuda de una base de firmas personalizada, esta herramienta también podría detectar ataques específicos para otros dispositivos o tecnologías, tomando como fuente, por ejemplo, la base de firmas de Snort y convirtiéndolas a un formato que pueda interpretar. Esto permite integrar firmas para ataques ya conocidos, y desarrollar nuevas específicas para la plataforma, como la vulnerabilidad en USSD, malware específico para móviles o incluso ataques desde Metasploit. Sin duda una herramienta a tener en cuenta aunque aun se encuentra en fase de desarrollo y podría incorporar aún más funcionalidades en su versión final.

Tras una charla tan interesante y, sobre todo, tras presentar una herramienta tan versátil, no podíamos perder la oportunidad de entrevistar a este investigador español. Así lo hicimos y aquí tenéis el resultado.

Buenos días Jaime. Antes de nada, cuéntanos un poco sobre ti mismo para que te conozcamos mejor

Muy buenos días. Me llamo Jaime Sánchez y soy un apasionado de la seguridad informática. He trabajado durante más de 10 años como especialista y asesor de grandes empresas nacionales e internacionales. Centro mi actividad en varios aspectos de la seguridad como la consultoría, auditorías, formación y técnicas de hacking ético.

Estudié Ingeniería Informática de Sistemas y más tarde hice un Executive MBA en una conocida escuela de negocios. Además, por mi trabajo, cuento con múltiples certificaciones de seguridad. Actualmente estoy trabajando en el Centro de Operaciones de Seguridad de una conocida multinacional de telecomunicaciones y

He tenido la oportunidad de participar en conferencias de renombre internacional como RootedCon en España, Nuit du Hack en París y Black Hat y Defcon en los EE.UU. En los próximos meses estaré participando además en Derbycon (Kentucky) y Hacktivity (Budapest).

Además cuento con un blog llamado “Seguridad Ofensiva” donde trato temas de actualidad, hacking y seguridad.

defcon_jaime_entrevista

Sin duda un currículum impresionante. ¿Podrías comentarnos algo más sobre la herramienta que acabas de presentar?

Bueno, la idea era crear una solución económica, efectiva y funcional que pudiera lidiar con las amenazas orientadas a dispositivos Android. Es por eso que empecé a desarrollar esta herramienta que actua como IDS e IPS en tiempo real, detectando y bloqueando los ataques más conocidos y reconociendo ataques nuevos usando patrones de comportamiento.

La idea surgió gracias al desarrollo de otra herramienta(OSfooler) que presenté en Blackhat Arsenal USA 2013 que permite detectar y engañar las principales herramientas de fingerprinting activo y pasivo, como nmap y p0f.

La primera prueba de concepto de este framework de protección para móviles Android se acaba de presentar en Defcon. A pesar de ser una solución funcional, me gustaría seguir dedicándole tiempo e incorporar nuevos módulos de protección.

¿Qué podrías decirnos de su manejo, es sencillo o requiere conocimientos avanzados?

Cualquiera con conocimientos de redes y programación podría construir su propio mecanismo de defensa y configurarlo a su gusto. Actualmente existen varios tipos de ataques que pueden ser identificados pero que muchas soluciones de seguridad pensadas para móviles aun no detectan. Esta solución vendría a complementar a las soluciones tradicionales como los antivirus y añadir una capa adicional de seguridad en los dispositivos móviles, siendo capaz de integrarse con diferentes soluciones comerciales.

¿Qué opinas de la situación actual de la seguridad de los dispositivos móviles?

Ahora mismo, los dispositivos móviles son uno de los principales objetivos de los atacantes. Contienen muchos datos importantes, tanto si son móviles personales como si se trata de móviles corporativos. Un atacante que lograra robar información de nuestro dispositivo podría obtener datos privados como nuestro correo electrónico, acceso a nuestras redes sociales o la contraseña para acceder a nuestra cuenta bancaria online.

A todo eso hay que añadir la gran implementación que está teniendo la filosofía BYOD en las empresas, sin que se estén tomando, en la mayoría de ocasiones, las medidas de seguridad necesarias. Los usuarios no suelen diferenciar entre cuenta corporativa y de usuario y no es extraño que se filtren datos de la empresa por un uso indebido del dispositivo.

Para concluir, ¿cuál dirías que es la principal ventaja de esta herramienta?

Además de todo lo comentado en la charla, con esta herramienta se puede implementar una capa de seguridad adicional para proteger los dispositivos móviles, ya sean personales o corporativos, basado en las reglas que decidamos, evitando ataques que pongan en riesgo nuestros datos o posibles fugas de información.

Además, podremos enviar esta información a un servidor dedicado, donde añadir otras funciones más específicas, como análisis estadísticos de tráfico (para detectar canales encubiertos de comunicación externa), gestión de listas de reputación de direcciones IP, análisis forense en caso de incidente de seguridad o integrarlo con nuestra solución SIEM implantada.

Muchas gracias por la entrevista Jaime. Esperamos que tu herramienta siga por el buen camino y esperamos que sigas ofreciéndonos charlas tan interesantes como la que acabamos de ver.

Josep Albors



Lanzamos la nueva versión de ESET NOD32 Mobile Security para Android

Categorias: Android,Anuncios,Productos,telefonía | | Sin comentarios » |

Nadie puede negar que Android es un éxito en varios tipos de dispositivos pero sobre todo en móviles. Con más de 900 millones de usuarios en todo el mundo es, con diferencia, el sistema operativo más utilizado en teléfonos móviles. Eso ha hecho que muchas amenazas se centren en él como principal objetivo para sus ataques, algo que desde Google han tratado de mitigar haciendo revisiones del sistema operativo y de su tienda de aplicaciones Google Play.

No obstante, aquellos usuarios que quieran disponer de una capa de seguridad adicional cuentan con soluciones como ESET NOD32 Mobile Security para Android. En esta nueva versión de nuestro antivirus se han tomado en cuenta muchas observaciones realizadas por los usuarios con respecto a la versión anterior consiguiendo un aspecto visual agradable y fácil de utilizar.

ESET_NOD32_Mobile_Security1

Esta nueva versión se presenta en dos variantes. Por un lado, ESET pone a disposición de los usuarios una versión gratuita que permite disfrutar de funciones básicas para la protección de su dispositivo. Al mismo tiempo, también ofrece una versión Premium  para aquellos usuarios que quieran disponer de características avanzadas.

Las características comunes de ambas versiones incluyen protección antivirus en tiempo real y análisis a petición del usuario, ubicación de amenazas en cuarentena, detección de aplicaciones potencialmente peligrosas y utilización de la tecnología ESET LiveGrid® que proporciona protección contra nuevas amenazas gracias al sistema de recopilación de muestras de todos los usuarios de ESET del mundo.

ESET_NOD32_Mobile_Security2

Solo hay que observar el gran crecimiento que ha experimentado el malware en Android durante los últimos años para comprender la necesidad de una solución de seguridad como ESET NOD32 Mobile Security. Las amenazas para este sistema ya realizan varias acciones maliciosas como el envío de SMS a números de tarificación especial, el robo de información o incluso la inclusión de nuestro dispositivo dentro de una red de móviles infectados al mando de un delincuente.

Una de las características más aclamadas de la versión anterior como es el sistema Antirrobo sigue estando presente e incorpora mejoras tanto en su configuración como en las funciones disponibles. A la localización del dispositivo por GPS, el bloqueo remoto y la protección contra la desinstalación no autorizada del antivirus se suma la posibilidad de activar remotamente un sonido de alarma que ayuda a encontrar nuestro dispositivo en caso de pérdida.

ESET_NOD32_Mobile_Security3

Sabiendo que la pérdida y el robo de teléfonos móviles está a la orden del día estas funciones pueden resultar muy útiles para tratar de localizar el dispositivo. Además, si no queremos que nadie acceda a la información que almacenamos en nuestro móvil podremos eliminarla remotamente usando la función que incluye la versión Premium de ESET NOD32 mobile Security.

Otra de las características más apreciadas en la versión anterior y que se conserva en esta nueva versión es el filtro de llamadas y SMS. Con esta opción podremos bloquear las molestas llamadas y mensajes publicitarios tanto de operadoras de telefonía como de servicios de publicidad no contratados.

ESET_NOD32_Mobile_Security4

Como novedad, dentro de las características incluidas en la versión Premium de ESET Mobile Security se incluye un sistema Anti-Phishing funcionando sobre algunos de los navegadores más comunes en Android, proporcionando protección contra aquellos sitios web maliciosos que intenten robar información privada desde nuestro dispositivo como nombres de usuario, contraseña, datos bancarios o tarjetas de crédito. Con cada vez más sitios maliciosos que quieren robar este tipo de datos, esta función se convierte en algo esencial si queremos impedir que nuestra privacidad se vea afectada.

ESET_NOD32_Mobile_Security5

Además, ESET Mobile Security incorpora mejoras en la usabilidad como es el soporte para tablets, que adapta la información mostrada en pantalla según esta se encuentre situada de forma horizontal o vertical. Hay que tener en cuenta, no obstante, que en aquellos dispositivos que no soporten el envío y recibo de llamadas o mensajes algunas características permanecerán ocultas (p.ej. Anti-Theft).

Estas son solo algunas de las características de esta nueva versión que, como ya hemos dicho, cuenta con versión gratuita y Premium. Para conocer a fondo todas las características de ESET Mobile Security hemos preparado un enlace donde se explican todas las características de ambas versiones y desde el cual también se puede descargar el instalador de la aplicación.

Os animamos a todos los que queráis disfrutar de la tecnología móvil sin tener que preocuparse de las amenazas a que probéis esta nueva versión y nos trasladéis vuestras opiniones. Gracias a ellas podremos seguir trabajando para desarrollar una solución de seguridad cada vez más eficaz.

Josep Albors



Vulnerabilidad en el uso de WebLogin. Capturando información privada de usuarios de Google

Categorias: Android,Privacidad,telefonía | | Sin comentarios » |

Una de las charlas que más nos llamó la atención en la recientemente celebrada Defcon fue la que presentó el investigador Craig Young, quien mostró a la audiencia un grave fallo en la forma en la que Google maneja la autenticación y sus graves consecuencias. En su charla, Craig demostró como un token single sign-on de Android conocido como WebLogin puede permitir que un atacante acceda a los datos privados almacenados en cualquier servicio de Google.

Este tipo de tokens están pensados para facilitar la autenticación de los usuarios en los varios servicios de Google, permitiendo que se identifique tan solo una única vez. No obstante, esta característica puede ser aprovechada por un atacante, tal y como demostró este investigador, y, mediante una aplicación maliciosa subida al mercado de aplicaciones Google Play, capturar estos Weblogins tokens. Una vez obtenida esta información, el atacante tan solo ha de identificarse en nombre de la víctima y acceder a todos sus servicios de Google como si fuera ella, tal y como se comprueba en un vídeo que preparó el investigador.

craig_young

Durante su charla, Craig destacó el grave problema de seguridad que supondría obtener un token de un administrador de Google Apps, ya que obtendría los mismos permisos que que tuviera este administrador en el dominio de Google Apps. No obstante, el acceder a una cuenta de un simple usuario ya supone tener permiso para leer o modificar sus documentos, cuenta de Gmail o cualquier otra aplicación que tenga configurada.

Cabe destacar que esta vulnerabilidad no está limitada a Android. Los usuarios del navegador Chrome para Windows y Mac OS también se ven afectados, así como también los usuarios de Chorme en iPhone. Es por ello que Craig ha estado trabajando con Google durante meses para encontrar una solución aunque, en el momento de dar su charla aún era posible capturar tokens Weblogin para acceder a cuentas de usuarios.

El uso de una aplicación maliciosa para conseguir el acceso a la información privada de los usuarios demuestra que a Google aún le queda camino que recorrer para conseguir que su tienda de aplicaciones sea del todo segura. Para empezar, Bouncer, el sistema de Google para detectar aplicaciones maliciosas en Google Play debería examinar a fondo todas las aplicaciones puesto que, en su caso, la aplicación maliciosa estuvo disponible durante más de un mes.

Por supuesto hay otras formas de conseguir esta información, ya sea mediante acceso físico al dispositivo, accediendo a un navegador con una cuenta abierta de Google o mediante herramientas de análisis forense. La peculiaridad de la técnica expuesta por este investigador reside en la facilidad de conseguir los datos de los usuarios de forma remota gracias al uso de una aplicación maliciosa, algo que, viendo la cantidad de descargas que se realizan desde Google Play puede suponer un peligro considerable.

Esperemos que Google tome cartas en el asunto en breve y solucione esta vulnerabilidad. La cantidad de datos privados que los usuarios almacenamos en los servicios de esta empresa son cada vez mayores y el riesgo de perderlos o que sean consultados por alguien no autorizado es un riesgo que no podemos asumir.

Josep Albors



Fallo de seguridad permite la clonación remota de tarjetas SIM

Categorias: Hacking,Java,telefonía | | Sin comentarios » |

Parece que este año va a haber un tema recurrente en Black Hat USA y Defcon y no es otro que el de la explotación de vulnerabilidades en dispositivos móviles y el espionaje de sus comunicaciones.

Si hace unos días comentábamos en este mismo blog como un par de investigadores iban a presentar en Black Hat USA su técnica para interceptar comunicaciones usando una femtocelda modificada de una conocida operadora, hace un par de días, el criptógrafo alemán Karsten Nohl anunció que iba a demostrar en ese mismo evento como obtener control total sobre una tarjeta SIM, utilizando únicamente para ello mensajes SMS.

simcards

Esta es la conclusión a la que ha llegado este investigador tras más de dos años de investigación que le ha llevado a analizar 1000 tarjetas SIM y detectar que una de cada cuatro era vulnerable. ¿Pero, que variables intervienen para decidir si una tarjeta SIM es o no vulnerable a esta técnica?.

El fallo detectado se podría separar en dos. Por una parte tenemos el uso del antiguo sistema de cifrado DES de 56 bits, creado en la década de los 70 y que cualquier ordenador actual podría descifrar en cuestión de minutos. Algunas tarjetas SIM devuelven un mensaje con este cifrado en respuesta a un mensaje cifrado enviado previamente por el atacante haciéndose pasar por la operadora.

Cuando el mensaje cifrado devuelto por el terminal es descifrado por el atacante, este puede hacerse pasar por la operadora sin mayores problemas y empezar a enviar mensajes SMS con instrucciones a la SIM vulnerable, algo que esta interpretará como mensajes de actualización. Esto permite enviar instrucciones para que se descarguen applets que permiten realizar bastantes acciones sobre la tarjeta aunque, en teoría, están limitados a ejecutarse en la máquina virtual de Java par evitar un mal uso de estos.

No obstante, aquí es donde aparece la segunda parte de este fallo y es que la implementación de la sandbox en esta máquina virtual no es todo lo segura que debería y, al menos en dos de los dos grandes fabricantes de tarjetas SIM,  permite a un atacante saltarse esta medida de seguridad y tomar el control total de la tarjeta.

Una de las consecuencias que este fallo podría tener que más se ha destacado es la posibilidad de conseguir clonar una tarjeta SIM remotamente con tan solo conocer el número de teléfono asociada a la misma, debido a que el atacante estaría en posición de acceder a todos los datos almacenados en la tarjeta.

No obstante la gravedad de este fallo de seguridad, que algunas fuentes calculan que puede afectar a varios cientos de millones de usuarios, hay que recordar que este investigador ha necesitado más de dos años para detectar la vulnerabilidad, que no hay indicios de que nadie la esté utilizando (ni parece que los veamos en los próximos meses) y que las operadoras de telecomunicaciones y los fabricantes de tarjetas SIM ya están trabajando para solucionar este problema.

Así las cosas, tan solo nos queda esperar hasta la semana que viene donde se revelarán más datos acerca de esta investigación en la Black Hat USA. Allí estaremos para informar acerca de cualquier novedad al respecto y actualizar la información conocida hasta el momento.

Josep Albors

 

 



Grave vulnerabilidad en Android afecta a más de 900 millones de dispositivos

Categorias: Android,telefonía,Vulnerabilidades | | Sin comentarios » |

El mundillo de la seguridad informática, y especialmente aquellos que se dedican a la seguridad en dispositivos móviles, andamos un poco revolucionados desde que hace un par de días un investigador de Bluebox anunciara en el blog de esta empresa el descubrimiento de una grave vulnerabilidad que afectaría a la mayoría de dispositivos Android actuales.

Al parecer, este investigador habría descubierto una manera de modificar el código de las aplicaciones de Android (de extensión APK) sin romper la firma criptográfica de esa aplicación. ¿Eso qué significa? Pues que se puede troyanizar cualquier instalador de una aplicación legítima para hacer todo tipo de maldades. De esta forma, los ciberdelincuentes se saltarían a la torera todos los procesos de verificación al instalar aplicaciones en Android y podrían controlar totalmente un dispositivo infectado. Las acciones maliciosas que se podrían realizar de este modo van desde robar toda la información que contiene el dispositivo o las contraseñas de los sitios a los que se accede desde él, hasta integrar ese mismo dispositivo en una botnet.

ESET España - Malware para Android

Este fallo afecta a millones de dispositivos Android con versiones del sistema 1.6 y posteriores (casi cualquier dispositivo Android con menos de 4 años) estando Google informado al respecto desde febrero de este mismo año. El problema es que aunque Google y los fabricantes de dispositivos empiecen a sacar actualizaciones ya mismo, seguro que quedan vulnerables millones de dispositivos más antiguos que las compañías no consideran importante actualizar porque ya han dejado de prestarles soporte.

Así las cosas, si se comprueba que toda esta información es cierta en la charla de la BlackHat donde se van a dar los detalles técnicos de esta vulnerabilidad, la única manera de asegurarse (al menos hasta cierto punto) de que una aplicación aparentemente legítima y con una firma criptográfica perfectamente válida no está troyanizada, es descargándola únicamente de fuentes confiables definidas por el desarrollador de esa aplicación.

Josep Albors



¿Planificando tus vacaciones? Cuidado si lo haces desde un dispositivo móvil

Categorias: Android,Malware,telefonía | | Sin comentarios » |

Hace ya unos días que el verano hizo su presencia por estas latitudes y, si bien ya empieza a haber gente de vacaciones, es probable que muchos de nosotros aún no hayamos decidido a dónde ir para tomarnos un merecido descanso, o que estemos esperando ofertas de última hora. Una de las herramientas más usadas para encontrar un atractivo viaje a buen precio son los portales de viajes, sitios web donde encontramos agrupados todo aquello que necesitamos para pasar unas vacaciones de ensueño a un precio ajustado.

Estos portales se encargan de recopilar y ordenar toda la información relativa a ofertas que los operadores les van enviando, algo que a nosotros, como usuarios, nos resulta muy cómodo. Una vez dentro de este tipo de portales podemos encontrar ofertas para casi cualquier destino e incluso cazar auténticas gangas, algo que ha hecho que este tipo de webs sean una de las más visitadas por estas fechas.

¿Y qué podemos encontrar? Pues un poco de todo. Desde ofertas para pasar un fin de semana en el incomparable parador de Cuenca a viajes más lejanos, como, por ejemplo, a las exóticas Islas Galápagos, con todo tipo de servicios y lujos a nuestro alcance.

web_pc

Hasta aquí, todo aparentemente normal si lo consultamos desde nuestro ordenador de sobremesa o portátil. Pero, ¿qué pasa si accedemos a un enlace como el anterior pero desde nuestra tablet Android? Nuestros compañeros de F-Secure se hicieron la misma pregunta hace unos días y descubrieron que el resultado era completamente diferente al mostrado en un ordenador.

Nosotros quisimos hacer una prueba similar para comprobar a qué tipo de enlace se nos redirigía y el resultado fue parecido pero adaptado al mercado local. De un enlace donde, supuestamente, íbamos a contratar un viaje de ensueño a uno de los lugares más recónditos del planeta, se nos redirige a una web con contenido pornográfico y que, nada más acceder, intenta descargarse una aplicación que el antivirus se encarga de bloquear.

web_malw

Si echamos un vistazo al registro de los análisis del antivirus, vemos que un archivo de extensión .apk ha intentado descargarse a nuestro dispositivo nada más acceder a esa web.

analisis

Este archivo que ESET Mobile Security detecta como una variante de Android/SMSreg.AF solicita una serie de permisos que pueden hacer que nos llevemos una sorpresa desagradable a la hora de pagar nuestra factura telefónica. Estamos hablando, por ejemplo, del permiso que permite el envío de SMS, aprovechado por este tipo de aplicaciones para enviar mensajes a números de tarificación especial.

Asimismo, la aplicación solicita otro tipo de permisos que pueden obtener datos privados, como por ejemplo el que solicita permiso para acceder a nuestros favoritos e historial del navegador, algo que, en las manos inadecuadas, podría ser utilizado de forma malintencionada.

permisos

Hay que tener en cuenta que esta aplicación se descarga desde una web aparentemente legal y que en sus condiciones de uso ya avisa del pago de mensajes SMS de tarificación adicional:

condiciones

No obstante, este aviso solo sería comprensible si el usuario accediera voluntariamente a descargar esta aplicación desde la web que provee estos servicios. No entendemos la relación que puede tener una búsqueda para reservar unas vacaciones con el contenido pornográfico que se nos muestra al acceder a un enlace aparentemente inofensivo.

Probablemente, esta redirección ha sido realizada sin conocimiento ni autorización tanto de los portales de viajes que puedan seguir albergando el enlace malicioso como de la web prestadora de servicios para adultos. Esto suele suceder cuando se dejan las tareas de posicionamiento o promoción de campañas de marketing a empresas de terceros o individuos con pocos escrúpulos que solo buscan el beneficio directo.

En lo que respecta a nosotros, como simples usuarios, no debemos dejar que este tipo de trampas nos amarguen los preparativos de las vacaciones. En este artículo hemos visto cómo, simplemente contando con una solución de seguridad en nuestro dispositivo móvil, evitamos que se nos instale una aplicación no deseada que puede costarnos mucho dinero.

De esta forma, soluciones como ESET Mobile Security nos ayudan a proteger nuestros dispositivos para que nosotros podamos disfrutar de nuestras merecidas vacaciones.

Josep Albors



« Artículos PosterioresArtículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje