Aunque es una vulnerabilidad de diseño de la cual se tiene constancia y conocimiento desde hace al menos un año, WhatsApp Messenger continúa transmitiendo en texto plano todos los mensajes que son enviados. Con la reciente aparición de WhatsApp Sniffer para Android, herramienta que permite obtener todos los mensajes enviados por los usuarios de WhatsApp que se encuentren conectados a un mismo Wi-Fi, se ha vuelto indispensable que el usuario comprenda ciertos conceptos, conozca algunos casos similares, y sepa minimizar los riesgos asociados al uso de redes públicas para acceder a programas o servicios que utilizan información sensible, y que finalmente no la transmiten de forma cifrada hacia su destino.
El cifrado es un método de protección que consiste en proteger información para que no sea legible, o al menos resulte más difícil de hacerlo, por parte de personas no autorizadas. De este modo, si un atacante intenta acceder a esos datos y no posee la clave de acceso, le será imposible visualizar esa información.
Este caso no es el primero en donde el objetivo es leer información mediante la técnica de sniffing o análisis de tráfico de red. En 2010 se dio a conocer Firesheep, una extensión para el navegador Mozilla Firefox que permitía obtener los usuarios y contraseñas de personas conectadas a una misma conexión Wi-Fi y que intentaran iniciar sesión en servicios como Facebook, Twitter y Google. Afortunadamente, esas empresas implementaron un método de cifrado para manejar de forma segura las credenciales de acceso de los usuarios. Al respecto recomendamos la lectura de nuestro post sobre cómo activar HTTPS en Facebook y Twitter.
Ver ms… »
Categories: Alertas
1 Comment »
Durante los últimos días se ha hablado acerca de Android/NoComA, una nueva amenaza para la plataforma móvil de Google que es utilizada para instalar falsas actualizaciones de Android. Este código malicioso se propaga a través de páginas web que han sido vulneradas, en dónde se inyectó código malicioso para afectar a los usuarios de Android, presenta ciertas características que representan un riesgo para la seguridad del usuario. Hoy vamos a hablar acerca de algunas particularidades de esta amenaza y entender como se conecta a los servidores remotos una vez que infecta el dispositivo. Además repasaremos la estructura de la amenaza para ver de qué manera mitigar el impacto de este malware.
Para entender el alcance de NotCompatible primero necesitamos observar la información dentro del AndroidManifest.xml, dicho archivo contiene información básica de las aplicaciones para Android, como por ejemplo los permisos, actividades y servicios. A diferencia de otras amenazas para esta plataforma, Android/NoComA, no solicita una gran cantidad de permisos y tampoco utiliza con un exploit para obtener permisos de root (Administrador del dispositivo). Para su ejecución solicita acceso a Internet, al estado de red y además también es notificado cuando finaliza el inicio del sistema. En la siguiente captura podemos observar el contenido del archivo AndroidManifest.xml en dónde se filtran los eventos de inicio del Sistema Operativo (BOOT_COMPLETED) o la interacción del usuario (USER_PRESENT) para disparar la ejecución de OnBootReceiver que dará inicio a la ejecución de la amenaza en el sistema:
Cómo mencionamos anteriormente, la ejecución de la amenaza en el sistema se dispara a través de dos eventos en particular. El primero de ellos es para asegurarse la ejecución del código malicioso ante el inicio del sistema y el segundo, para poder interactuar con el usuario. El objetivo final de este código malicioso no es robar información, sino que busca engañar al usuario para que instale falsas actualizaciones de seguridad en el sistema, lo que podría llevar a la infección de distintos tipos de amenazas mediante el uso de Ingeniería Social. Lo que realmente hace este malware detectado por ESET Mobile Security como Android/NoComA, es crear una conexión a un servidor remoto desde dónde se descargan supuestas actualizaciones y se reciben comandos.
Ver ms… »
Categories: Análisis de malware, Malware
No Comments »
Cuando hablamos acerca de amenazas para los dispositivos móviles encontramos de manera muy frecuente a los troyanos SMS entre las de mayor índice de propagación. Este tipo de códigos maliciosos engañan a los usuarios a través del uso de técnicas de Ingeniería Social simulando ser aplicaciones o video juegos para suscribir a las víctimas a servicios de menajes premium. Además de esta técnica de infección, existen algunas menos conocidas, como por ejemplo la utilizada por el troyano Android/TrojanSMS.Boxer que compartiremos en el post de hoy.
Simulando ser un instalador de la conocida aplicación Instagram en su versión para Android, logra persuadir al usuario. Al momento que se instala la aplicación maliciosa el usuario debe aceptar los términos y condiciones para que luego se contacte a una dirección URL remota y descargue la aplicación. Veamos un poco más en detalle cómo funciona este código malicioso y la información que oculta.
Para iniciar el análisis de este código malicioso, utilizamos el emulador de Android que viene con el SDK (Software Development Kit), al hacerlo creamos una imagen con la versión 2.2 del sistema operativo con el objetivo de entender en detalle cuáles son las actividades realizadas. El primer paso es corroborar los permisos solicitados por la aplicación, cómo pueden ver, requiere permisos para el envió, lectura y recepción de mensajes de texto:
Ver ms… »
Categories: Análisis de malware
No Comments »
Está muy claro que las técnicas de propagación e infección de malware son cada vez más complejas. La prueba de este hecho es la aparición de una nueva amenaza para dispositivos móviles, específicamente Android, que se está propagando a través de páginas web y ataques “drive-by download”.
Según Lookout Mobile, este es el primer ataque dirigido a dispositivos móviles con sistema operativo Android que utiliza la técnica de “drive-by download” para infectar a los equipos. Aparentemente el nuevo troyano simula ser una actualización y se aloja en el equipo bajo el nombre de “update.apk”.
¿Cómo se produce la infección?
Existen sitios web que se encuentran infectados con este tipo de malware. Específicamente, fueron inyectados con código que utilizan iframes para conectarse a sitios remotos y descargar el malware. Generalmente el código se encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del usuario.
Por lo tanto cuando un usuario navega por el sitio comprometido, automáticamente comienza la descarga de la amenaza. Cuando finaliza la descarga, el sistema operativo informa al usuario mediante una notificación para que autorice la instalación de la supuesta actualización. Aquí es donde entra en juego el engaño de que la amenaza es una actualización para que el usuario autorice su instalación. Cabe destacar que Android debe tener habilitada la opción de “unknown sources” (fuentes desconocidas) para permitir la instalación de aplicaciones fuera de Google Play porque, de lo contrario, bloquea aquellas que están fuera del market oficial.
Otro aspecto que llama la atención es que cuando se accede al sitio web desde un dispositivo que no utiliza Android, la descarga de la amenaza no se produce. Si ocurre si se accede desde el propio móvil con Android. Esta comprobación se lleva a cabo mediante el user-agent del navegador, el cuál determina desde que plataforma se está accediendo.
Actualmente no se ha descubierto que la amenaza provoque daño al dispositivo, pero si puede ser utilizada para obtener acceso a los datos privados del mismo. Esto puede extenderse al caso de dispositivos móviles que se usan en las organizaciones o empresas con fines comerciales, abriendo la posibilidad del robo de información sensible.
Debido a la aparición de este tipo de amenazas, es importante instalar aquellas aplicaciones que provengan de un sitio de confianza o sean conocidas, así como también contar con una solución de seguridad para dispositivos móviles que permite proteger los datos del usuario y elimine este tipo de malware.
Fernando Catoira
Analista de Seguridad
Categories: Alertas, Análisis de malware
2 Comments »
Tenemos el agrado de compartir con ustedes una vez más el reporte de amenazas y tendencias correspondiente a abril, mes en el que continuamos con nuestra exitosa Gira Antivirus a través de Latinoamérica. Primero fue el turno de Ecuador, país en donde estuvimos presentes en dos ciudades, Guayaquil y Quito. Luego, tuvimos una semana muy agitada en donde diversos integrantes del equipo de Educación e Investigación de la compañía, visitaron más países como México, Venezuela y Costa Rica, brindando en todos ellos, charlas de concientización en universidades y en el caso de los primeros dos, también nuestro evento corporativo ESET Security Day 2012. Aprovechamos la ocasión para recordarles a los estudiantes que aún están a tiempo de participar en el Premio Universitario ESET 2012. El ganador tendrá la posibilidad de viajar a Dallas, Estados Unidos, con todos los gastos pagos, para poder participar en el evento Virus Bulletin 2012:
- Uno de los principales temas del mes fue la continuidad en la propagación de OSX/Flashback, troyano que logró reclutar miles de computadoras Mac demostrando no sólo que una botnet es posible en otros sistemas más allá de Windows, sino también que el eslabón más débil son los propios usuarios y no necesariamente el nivel de seguridad implementado tecnológicamente en un sistema operativo. Las personas son quienes deben adoptar un comportamiento precavido y adecuado con el fin de evitar ser víctimas del cibercrimen sin importar cuál software o plataforma utilicen. Continuando en esta línea, destacamos el análisis de inteligencia realizado por nuestros investigadores de ESET sobre OSX/Lamadai, quienes descubrieron algunos aspectos del modo de operar de los controladores responsables de esta botnet.
- Durante abril también pudimos observar cómo una clásica pero aún efectiva táctica para obtener información financiera –el phishing–, evolucionó para maximizar el rédito económico por parte de los ciberdelincuentes. A través de la tecnología de geolocalización, los cibercriminales están comenzando a emplear este método con el fin de que sólo aquellos usuarios que forman parte de los objetivos o target de estos grupos delictuales, puedan acceder al phishing. De este modo, nuestro laboratorio encontró un caso que afectaba a un importante banco de Brasil y cuyo contenido era accesible solamente desde ese país. Mediante esta técnica, los responsables se aseguran de obtener información válida que sea de utilidad y que el phishing, tenga una duración mayor al pasar inadvertido por usuarios de otros países que podrían contribuir a darlo de baja.
- Prueba de la efectividad que caracteriza a la técnica del phishing son los 31.000 usuarios que se vieron afectados por el robo de sus nombres de usuarios y contraseñas de Twitter. El motivo, un phishing que seducía a las potenciales víctimas mencionando que se estaban haciendo comentarios malintencionados de estas a través de la red social. Una vez que el usuario visitaba el enlace malicioso, se le solicitaban sus credenciales con la excusa que la sesión había expirado debido a un período de inactividad prolongado. Algo a destacar de esta situación fue que dentro de la lista de víctimas, habían personas relacionadas a sectores gubernamentales, educativos y otros, demostrando que la educación no sólo es necesaria para los usuarios finales sino que para todos por igual.
- Con respecto a usuarios y contraseñas mencionar que cPanel, conocida herramienta de administración web, podría exponer datos sensibles si el administrador no emplea correctamente este programa. Mediante la creación de un archivo que expone dicha información, buscadores como Google pueden exponer esas credenciales si el usuario no borra dicho fichero. Por otro lado, la encuesta de abril, que mes a mes realizamos en ESET Latinoamérica arrojó algunos aspectos preocupantes con respecto a cómo los usuarios manejan el tema de las contraseñas. Un 36,7% de los encuestados afirma utilizar una o pocas contraseñas para todos los servicios, lo que equivaldría a tener una única llave para la casa, bodega, caja fuerte y oficina, exponiendo innecesariamente información valiosa.
- El prolífico gusano Dorkbot sigue haciendo de las suyas. A través de Ingeniería Social, los cibercriminales responsables de esta amenaza propagaron este código malicioso haciendo alusión a un supuesto mensaje multimedia (MMS) que le habría llegado al usuario. Por otro lado, se dio a conocer oficialmente que el FBI retirará los servidores DNS que implementó de forma temporal para no dejar sin conexión a Internet a los usuarios afectados por el malware Win32/DNSChanger. Aquellos que sigan infectados podrían quedarse sin acceso a la web si pasado el 9 de julio próximo, no remueven el código malicioso de sus sistemas.
- Finalmente, destacamos algunas tendencias relacionadas al mundo de la telefonía móvil y la seguridad. En primer lugar, algunos investigadores determinaron que las aplicaciones mobile de Facebook, LinkedIn y Dropbox son susceptibles al robo de contraseñas debido a que almacenan en texto plano, las credenciales de acceso a estos servicios. Sumado a lo anterior, un estudio de PwC demostró que a nivel corporativo, las empresas no están adoptando las medidas de seguridad necesarias con respecto a los smartphones de los empleados y cómo estos utilizan los recursos de la compañía. Por último, nuestro laboratorio realizó un informe que explica la evolución que han tenido los códigos maliciosos para Android y la detección de un troyano específico para usuarios de Latinoamérica y España que tiene como objetivo, obtener información bancaria de la víctima y otorgarle el control del dispositivo al atacante.
Para obtener mayor información sobre las amenazas destacadas de abril, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.
André Goujon
Especialista de Awareness & Research
Categories: Reportes mensuales
2 Comments »
|
