Archivo de la categoría: Android

Encontrando agujeros en la Seguridad Bancaria: Operación Emmental

David Sancho (Senior Threat Researcher)

Al igual que el queso suizo Emmental, la forma en que sus cuentas bancarias on line están protegidas podría estar llena de agujeros. Los bancos han estado tratando de evitar que los delincuentes tengan acceso a sus cuentas en línea desde siempre. Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión – todos fueron diseñados para ayudar a prevenir el fraude bancario. Recientemente hemos encontrado una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. Así es como lo consiguen.

Esta banda criminal intenta dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.

Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line. Los propios usuarios hacen clic en un enlace malicioso o en un archivo adjunto e infectan sus ordenadores con malware. Hasta ahora, todo es bastante típico y desde una perspectiva de amenaza, un tanto aburrido.

Pero aquí es donde se pone interesante. Los equipos de los usuarios en realidad no se infectan, desde luego no con el malware bancario habitual. El malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo. ¿Qué te parece esto como infección indetectable? Los cambios son pequeños …. pero de grandes repercusiones.

Así es como funciona: la configuración de los DNS de los «ordenadores» de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.

1

Figura 1. ¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental?

Ahora, cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone.

Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Esto significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas.

Es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos.

Los criminales detrás de esta operación en particular tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. Hemos sido capaces de rastrear los operadores de vuelta mediante los apodos: – = FreeMan = – y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminanles hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. No hemos sido capaces de identificar el otro.   

Puedes encontrar más información sobre este ataque en nuestro informe Finding Holes: Operation Emmental, que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site.

Apps de Android propensas al abuso

Por Weichao Sun (Analista de Amenazas Móviles)

Recientemente hemos encontrado una vulnerabilidad en ciertas aplicaciones Android que pone datos del usuario en riesgo de ser capturados o utilizados para lanzar ataques. Las dos aplicaciones afectadas que investigamos son muy populares:

– La aplicación de productividad se ha instalado al menos 10 millones de veces y tiene cientos de miles de comentarios de los clientes en su página de descarga

– La aplicación relacionada con las compras se ha instalado al menos 1 millón de veces y tiene varios miles de comentarios de los clientes en su página de descarga
Este problema radica en un cierto componente Android que básicamente ejecuta funciones de la aplicación. Este componente tiene un atributo llamado «android: exported» que , cuando está en «true», permite que se ejecute o se acceda desde otras aplicaciones. Esto significa que las aplicaciones instaladas en un dispositivo pueden ser capaces de activar determinadas funciones en otras. Esto tiene evidentes usos prácticos para desarrolladores y vendedores que quieren captar a las empresas con aplicaciones de otros fabricantes, pero desde el punto de vista de la seguridad, también representa una oportunidad para que los criminales cibernéticos.
Sigue leyendo

Malware de móviles obtiene Dogecoins y Litecoins para acabar recibiendo Bitcoins

Por Veo Zhang (Analista de amenazas móviles)

Recientemente, algunos investigadores reportaron que malware de la familia Android (detectado como ANDROIDOS_KAGECOIN.HBT) minaba las capacidad de cifrado de las monedas. Según nuestro análisis  este malware está involucrado en  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: corta duración de la batería, mayor desgaste, todo lo cual podría significar una vida más corta del dispositivo.

Los investigadores encontraron originalmente ANDROIDOS_KAGECOIN como copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación legítima de la CPU de cifrado de monedas Android . Este código se basa en el software conocido como cpuminer.

Para ocultar el código malicioso, los cibercriminales han modificado parte de la app de Google Mobile Ads, tal como se indica:

1

1. Código modificado de Google Mobile Ads

La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se dirige a un grupo anónimo Dogecoin.

El 17 de febrero esta red de móviles hizo ganar miles de Dogecoins al cibercrimen. Después del 17 de febrero, el cibercrimen cambió. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta a la pool conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a cartera del cibercrimen) varias veces.

2

2. Código de configuración de pool de monedas

Las aplicaciones de extracción de monedas mencionadas eran de fuera de Google Play Store, pero hemos encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android siendo utilizados para extraer cifrado de monedas para ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este post, estas aplicaciones aún están disponibles).

3

3. Apps de extracción in Google Play

 4

4. Cuenta  de descarga de apps de extracción

Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción. A diferencia de otras aplicaciones maliciosas, aquí la extracción sólo ocurre cuando el dispositivo se está cargando, porque con el incremento de uso energía no se nota tanto.

5

5. Código de extracción de cifrado de monedas

La misma lógica tiene la actualización de configuración. Analizando el archivo de configuración, parece que el cibercriminal está cambiando a Litecoins.

6

6. Archivo de configuración, que muestra el cambio a LiteCoin

Creemos que con miles de dispositivos afectados, el cibercriminal acumula gran cantidad de Dogecoins.

Por el lenguaje enmarañado de los términos y condiciones de los sites web de estas aplicaciones, los usuarios pueden ignorar que sus dispositivos son potencialmente dispositivos de robo.

Pero por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente capacidad para servir como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño– se cargan lentamente y se calientan mucho, haciendono particularmente discreta la presencia del minero . Sí, es cierto que ganan dinero, pero a un ritmo glacial.

Los usuarios de teléfonos y tablets que repentinamente se carguen lentamente, se calienten, o se queden sin batería deberían considerar estar siendo expuestos a amenazas. También, sólo porque una aplicación se haya descargado desde una tienda de aplicaciones – incluso Google Play – no significa que sea segura.

Hemos informado de este tema al equipo de seguridad de Google Play.

 

TrendMicro presenta la nueva oferta integral de seguridad móvil en Mobile World Congress

Trend Micro revoluciona las soluciones de Seguridad para Móviles, aumentando las capacidades para combatir las ciberamenazas y la pérdida de datos para empresas y consumidores. La CEO de la compañía, Eva Chen, presenta la nueva oferta integral de seguridad móvil de Trend Micro en MOBILE WORLD CONGRESS

En el marco de Mobile World Congress, Trend Micro presenta un conjunto de soluciones para combatir la gran variedad de ciberataques sin precedentes que continuamente están causando víctimas tanto entre los consumidores como entre las empresas a través de las plataformas móviles. Las nuevas soluciones ayudarán a mitigar las amenazas para las redes y dispositivos móviles, incluyendo mejoras de producto para apoyar a empresas y consumidores por igual.

En Mobile World Congress 2014 (Pabellón 6 – Stand 6L61), la CEO y cofundadora de Trend Micro, Eva Chen, junto con otros expertos de seguridad de la compañía, comparten la visión de la empresa en torno a la seguridad móvil, además de realizar el lanzamiento de tres nuevas soluciones que abarcan tanto el mercado corporativo como el de consumo.

Estas innovadoras soluciones están diseñadas para defenderse contra la rápida evolución y  sofisticación de las amenazas, para proporcionar a los administradores de TI mayor control sobre los dispositivos corporativos y ofrecer a los consumidores una experiencia de usuario mejorada. Las soluciones son las siguientes:

  •  Safe Mobile WorkForce proporciona acceso móvil seguro a los datos corporativos a través de dispositivos móviles y una experiencia de usuario mejorada, al tiempo que ofrece a los usuarios móviles datos a través de un sistema operativo remoto enviado a sus dispositivos móviles.
  • Trend Micro Mobile Security es una solución de seguridad multiplataforma que protege los datos y la privacidad de los usuarios en dispositivos Google Android, Apple iOS y Kindle de Amazon. La solución proporciona seguridad de primer nivel y garantiza la navegación web, la configuración de la guía de privacidad de Facebook, ofrece protección frente a amenazas y ante la pérdida de dispositivos, backup de datos y control parental.
  • Mobile App Reputation es el primer servicio de evaluación de aplicaciones móviles del mundo que identifica malware nuevo y las variantes existentes, y comprueba la reputación de las aplicaciones móviles, además de proporcionar defensa de amenazas durante las descargas. Mobile App Reputation escanea, bloquea e identifica millones de apps peligrosas procedentes de una amplia variedad de fuentes online de todo el mundo y ha desempeñado un papel fundamental para detectar y frustrar el daño de apps maliciosas en el app store de BlackBerry, BlacBerry World.

«Las amenazas móviles siguen creciendo en intensidad y sofisticación, y Trend Micro se ha comprometido a aplicar  toda su probada experiencia para abordar estos desafíos», afirma Eva Chen, CEO y cofundadora de Trend Micro. “En 2014, el móvil se convertirá en la vía de ataque elegida  por los cibercriminales, ya que se espera que el número de amenazas solo para Android ascienda a más de 3 millones. Dado que las aplicaciones basadas en la nube y las políticas BYOD se convierten en la tendencia principal, tanto los datos sensibles de los empleados como de las empresas están en riesgo. Nuestras soluciones integrales ayudarán a mantener esta información a salvo sin entorpecer la experiencia móvil”.

Trend Micro se encuentra a la vanguardia de la investigación de amenazas y peligros móviles, identificando de dónde vendrán los ataques y cómo los usuarios pueden defenderse. En el Informe de Amenazas Móviles de 2013 elaborado por Trend Micro, el equipo de investigación de amenazas informó de que los riesgos móviles se están moviendo más allá de las aplicaciones y vulnerabilidades para Android y son incompatibles con los estándares del mercado, desarrollando un ecosistema móvil menos seguro. En 2013, los investigadores de TrendLabs predijeron que el malware de alto riesgo y las apps maliciosas para Android superarían el millón antes de terminar el año, una cifra que el malware para PC tardó una década en alcanzar. Ahora, TrendLabs augura que esta cifra superará los 3 millones en 2014.

La eficacia de las soluciones de Trend Micro se refuerza a través de su colaboración con BlackBerry®. Trend Micro además identifica y bloquea las apps reempaquetadas para Android antes de su venta en la tienda BlackBerry® World™. El servicio de reputación de aplicaciones  de Trend Micro, Mobile App Reputation, identifica y señala las potenciales amenazas, ya sean “maliciosas” o de “alto riesgo” para evitar daños a los dispositivos y redes.

“Mantener a nuestros clientes protegidos de los problemas de seguridad, tales como el malware, sigue siendo la principal prioridad de BlackBerry”, comenta Scott Totzke, vicepresidente senior de Seguridad de BlackBerry. “Al aprovechar la capacidades de escaneo y análisis de aplicaciones de Trend Micro con nuestro completo programa de investigación de aplicaciones, BlackBerry Guardian, estamos proporcionando a los usuarios un nivel más de protección para ayudar a garantizar que las aplicaciones dentro de nuestra tienda son tan seguras como sea posible”.

Para obtener más información sobre las soluciones de seguridad móvil de Trend Micro, visite: http://www.trendmicro.com/us/home/products/mobile-solutions/index.html

Flappy Bird troyanizado continúa tras la desaparición de la app por su creador

por Veo Zhang (Mobile Threats Analyst)

El giro interesante que han tomado los acontecimientos sobre el juego Flappy Bird ha tenido su repercusión en Internet: tras convertirse en un juego muy popular (descargado más de 50 millones de veces), el desarrollador anunció de repente que lo retiraba de las app stores como realmente luego hizo. La decisión suscitó mayor interés en el juego si cabe, y aparecieron aplicaciones similares en las app stores, e incluso subastas de dispositivos con la app instalada.

Lo que vino después fue, sin embargo, menos agradable: aparecieron un montón de falsas aplicaciones Android Flappy Bird difundiéndose por la red.

Especialmente siginificativo en mercados de aplicaciones de Rusia y Vietnam, estas falsas aplicaciones Flappy Bird tienen exactamente el mismo aspecto que la versión original :
1
Todas las versiones falsas que hemos visto hasta ahora abusan de los servicios de pago – aplicaciones que envían mensajes a números de tarificación adicional, causando por lo tanto cargos no deseados en las cuenta de teléfono de las víctimas. Como se verá más adelante, la falsa aplicación Flappy Bird pide permisos para leer/enviar mensajes de texto durante la instalación – algo que no se requiere en la versión original.
2
Después de que el juego está instalado y puesto en marcha, la aplicación comienza a enviar mensajes a números de tarificación adicional :
3
Y mientras el usuario está ocupado en el juego, este malware se conecta a hurtadillas a un servidor C & C a través de Google Cloud Messaging para recibir instrucciones . Nuestro análisis del malware reveló que a través de esta rutina, el malware envía mensajes de texto y oculta las notificaciones de mensajes de texto recibidos con cierto contenido.

Aparte del abuso de los servicio de pago, la aplicación presenta riesgo de fuga de información para el usuario, ya que envía el número de teléfono, el proveedor de línea telefónica y la dirección Gmail registrados en el dispositivo .

Otras versiones falsas que hemos visto tienen una función de pago añadido en la aplicación originalmente libre. Estas versiones falsas muestran un pop-up preguntando al usuario si quiere pagar por el juego. Si el usuario se niega a jugar, la aplicación se cerrará.

Estas aplicaciones falsas Flappy Birds ahora se detectan como ANDROIDOS_AGENT.HBTF , ANDROIDOS_OPFAKE.HATC y ANDROIDOS_SMSREG.HAT .

Aconsejamos a los usuarios de Android (en especial a los que están dispuestos a descargar la ahora » extinta » aplicación Flappy Bird ) tener cuidado al instalar aplicaciones . Los ciberdelincuentes están constantemente sacando provecho de los juegos populares (como Crush Candy, Angry Birds Space , Temple Run 2  y Bad Piggies ) para dar rienda suelta a las amenazas móviles . Los usuarios también pueden optar por instalar una aplicación de seguridad (como Trend Micro Mobile Security ) para poder comprobar las aplicaciones antes de la instalación .