Durante los últimos días se ha hablado acerca de Android/NoComA, una nueva amenaza para la plataforma móvil de Google que es utilizada para instalar falsas actualizaciones de Android. Este código malicioso se propaga a través de páginas web que han sido vulneradas, en dónde se inyectó código malicioso para afectar a los usuarios de Android, presenta ciertas características que representan un riesgo para la seguridad del usuario. Hoy vamos a hablar acerca de algunas particularidades de esta amenaza y entender como se conecta a los servidores remotos una vez que infecta el dispositivo. Además repasaremos la estructura de la amenaza para ver de qué manera mitigar el impacto de este malware.

Para entender el alcance de NotCompatible primero necesitamos observar la información dentro del AndroidManifest.xml, dicho archivo contiene información básica de las aplicaciones para Android, como por ejemplo los permisos, actividades y servicios. A diferencia de otras amenazas para esta plataforma, Android/NoComA, no solicita una gran cantidad de permisos y tampoco utiliza con un exploit para obtener permisos de root (Administrador del dispositivo). Para su ejecución solicita acceso a Internet, al estado de red y además también es notificado cuando finaliza el inicio del sistema. En la siguiente captura podemos observar el contenido del archivo AndroidManifest.xml en dónde se filtran los eventos de inicio del Sistema Operativo (BOOT_COMPLETED) o la interacción del usuario (USER_PRESENT) para disparar la ejecución de  OnBootReceiver que dará inicio a la ejecución de la amenaza en el sistema:

Cómo mencionamos anteriormente, la ejecución de la amenaza en el sistema se dispara a través de dos eventos en particular. El primero de ellos es para asegurarse la ejecución del código malicioso ante el inicio del sistema y el segundo, para poder interactuar con el usuario. El objetivo final de este código malicioso no es robar información, sino que busca engañar al usuario para que instale falsas actualizaciones de seguridad en el sistema, lo que podría llevar a la infección de distintos tipos de amenazas mediante el uso de Ingeniería Social. Lo que realmente hace este malware detectado por ESET Mobile Security como Android/NoComA, es crear una conexión a un servidor remoto desde dónde se descargan supuestas actualizaciones y se reciben comandos.

Ver m�s… »

Categories: Análisis de malware, Malware
No Comments »

Cuando hablamos acerca de amenazas para los dispositivos móviles encontramos de manera muy frecuente a los troyanos SMS entre las de mayor índice de propagación.  Este tipo de códigos maliciosos engañan a los usuarios a través del uso de técnicas de Ingeniería Social simulando ser aplicaciones o video juegos para suscribir a las víctimas a servicios de menajes premium. Además de esta técnica de infección, existen algunas menos conocidas, como por ejemplo la utilizada por el troyano Android/TrojanSMS.Boxer que compartiremos en el post de hoy.

Simulando ser un instalador de la conocida aplicación Instagram en su versión para Android, logra persuadir al usuario. Al momento que se instala la aplicación maliciosa el usuario debe aceptar los términos y condiciones para que luego se contacte a una dirección URL remota y descargue la aplicación. Veamos un poco más en detalle cómo funciona este código malicioso y la información que oculta.

Para iniciar el análisis de este código malicioso, utilizamos el emulador de Android que viene con el SDK (Software Development Kit), al hacerlo creamos una imagen con la versión 2.2 del sistema operativo con el objetivo de entender en detalle cuáles son las actividades realizadas. El primer paso es corroborar los permisos solicitados por la aplicación, cómo pueden ver, requiere permisos para el envió, lectura y recepción de mensajes de texto:

Ver m�s… »

Categories: Análisis de malware
No Comments »

Está muy claro que las técnicas de propagación e infección de malware son cada vez más complejas. La prueba de este hecho es la aparición de una nueva amenaza para dispositivos móviles, específicamente Android, que se está propagando a través de páginas web y ataques “drive-by download”.

Según Lookout Mobile, este es el primer ataque dirigido a dispositivos móviles con sistema operativo Android que utiliza la técnica de “drive-by download” para infectar a los equipos. Aparentemente el nuevo troyano simula ser una actualización y se aloja en el equipo bajo el nombre de “update.apk”.

¿Cómo se produce la infección?

Existen sitios web que se encuentran infectados con este tipo de malware. Específicamente, fueron inyectados con código que utilizan iframes para conectarse a sitios remotos y descargar el malware. Generalmente el código se encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del usuario.

Categories: Alertas, Análisis de malware
2 Comments »

Ya es conocido que los teléfonos celulares inteligentes (smartphones) incorporan cada vez más funcionalidades que le permiten al usuario poder contar con un amplio abanico de herramientas. Pero también existe el riesgo de que diferentes empleados de una compañía lleven estos dispositivos a las instalaciones y utilicen los recursos de la mencionada organización sin ningún tipo de control, pudiendo generar problemas a la empresa.

El concepto BYOD (bring your own device) se refiere, justamente, a que los empleados lleven sus teléfonos celulares a su lugar de trabajo, y utilicen libremente los recursos de la compañía, incluso recursos privilegiados, como por ejemplo email, servidores de archivos, acceso a base de datos, entre otros.

Un estudio realizado por PricewaterhouseCoopers (PwC) en colaboración con Infosecurity Europe determinó que las organizaciones no están haciendo lo suficiente para asegurar sus entornos móviles. Específicamente PwC destacó que el 75% de las grandes organizaciones y el 61% de las PyMEs permiten que sus empleados utilicen Smartphones y tabletas para conectarse a las redes corporativas.  Si bien el problema no radica completamente en permitir el uso de las redes corporativas, el foco está en que en muchos casos las compañías no cuentan con ninguna estrategia de seguridad, así como tampoco con ningún tipo de política, cifrado de datos, gestión de dispositivos, entre otros. La mencionada fuente especificó, en referencia a esta situación, que el 34% de las pequeñas compañías y el 13% de las grandes organizaciones no toman ningún tipo de precaución en lo que respecta al uso de dispositivos móviles por parte de sus empleados.

En referencia a estos datos, las compañías deben tomar conciencia y empezar a implementar un plan de gestión en lo que respecta a entornos móviles. Si bien cada compañía puede tener diferentes posiciones frente al uso de dispositivos, tal como prohibir su uso completamente, o permitir el acceso a todos los recursos desde estos dispositivos, es muy importante que se defina una política que especifique claramente cómo gestionar este tipo de recursos.

Algunos consejos que puede servir como punto de apoyo en la implementación de la política son:

• Restringir el acceso a sectores de la compañía que contengan información muy sensible. No todos los recursos deben ser accesibles mediante dispositivos móviles.
• Separar la red WiFi que utilizan los dispositivos móviles de la red corporativa para evitar de esta manera,  por ejemplo, que exista un acceso indebido a la red de la empresa.
• Cifrar la conexión que utilizan los dispositivos móviles.
• En caso de permitir que los empleados puedan acceder a todos los recursos de la empresa mediante sus dispositivos móviles, es factible exigirles que bloqueen dicho dispositivo utilizando contraseña. De esta manera se evita la exposición de información sensible de la compañía en caso de extravío o robo.
• Elaborar una política de red que comprenda la existencia de dispositivos móviles.

Está claro que las compañías deben gestionar la utilización de dispositivos móviles porque de lo contrario se encuentran vulnerables a sufrir fuga de información, entre otro tipo de incidentes. Esto lo confirma PwC, que afirmó que un  82% de las empresas aseguraron haber tenido brechas de seguridad por parte de los empleados, de las cuales un 47% asegura haber sufrido pérdida o filtrado de información confidencial.

Para concluir, es recomendable que cuenten con una solución antivirus para móviles, tal como ESET Mobile Security, el cual además de brindar protección al dispositivo de las diferentes amenazas, permite el borrado de datos de forma remota, que puede ser de gran utilidad en caso de extravío o robo.

Fernando Catoira
Analista de Seguridad

Categories: Corporativo, Educación
1 Comment »

Los teléfonos inteligentes o smartphones son cada vez más semejantes a una computadora tradicional. Dotados de hardware más sofisticado con mayor capacidad de cálculo, estos dispositivos permiten realizar una mayor cantidad de tareas como navegar por Internet a mayor velocidad, hacer trámites bancarios, revisar correo electrónico y usar redes sociales. Aunque esto pueda parecer a primera vista algo absolutamente positivo, su uso no está exento de riesgos inherentes a la tecnología inalámbrica como el robo o extravío del dispositivo, o en este caso, el almacenamiento de credenciales de acceso a distintas redes sociales sin ningún tipo de protección por parte de la aplicación.

En primer lugar, la aplicación móvil de Facebook tanto en su versión para Android como para iOS (iPhone) puede conllevar serios problemas para la seguridad y privacidad del usuario. La falla se origina debido a que esta almacena en un archivo denominado plist, información sensible de la cuenta de la persona como su nombre y contraseña de acceso sin ningún tipo de cifrado, es decir, en texto plano, legible para cualquiera. Esta situación se agrava aún más si se considera que este archivo plist es compartido con aplicaciones de terceros que requieren del acceso a esta red social como un software para compartir fotos.

Por lo mismo, es posible afirmar que esta vulnerabilidad de diseño facilita considerablemente que un atacante desarrolle aplicaciones maliciosas que se aprovechen de esta situación para acceder ilícitamente a las cuentas de las potenciales víctimas con tan sólo solicitar la información sin cifrar de plist. De acuerdo a Gareth Wright, quien descubrió esta falla, los datos permanecen por un período de 60 días luego que se ha solicitado el acceso a Facebook. Además, el experto afirma que el fichero plist tiene una fecha de caducidad establecida para el primero de enero del año 4001, siendo este mecanismo de protección absolutamente inútil.

Pese a que Facebook se comprometió a verificar el problema, la respuesta no ha dejado conforme a muchas personas debido a que la empresa afirma que este problema sólo se presentaría en equipos móviles modificados o iPhones que se le haya realizado un Jailbreak, sin embargo, la misma investigación de Wright plantea que este fallo sí se presenta en dispositivos sin modificar ya que es posible que un atacante desarrolle un código malicioso capaz de obtener el fichero plist en cuestión cuando el teléfono inteligente es conectado a la computadora para cargarlo o pasar información y no necesariamente a través de malware creado específicamente para la plataforma móvil.

Ver m�s… »

Categories: Alertas, Redes Sociales
1 Comment »