Archivo de la etiqueta: Android

¡2014: qué año fue!

¿Cómo definiría un año que se inició con una de las violaciones de datos más grande jamás conocidas, que afectaba a Target, y terminó con otra gran brecha de datos causando un daño significativo a un estudio de Hollywood?

 

¿Cómo definiría un año que supuso el retorno a los viejos tiempos de codificación para parchear las vulnerabilidades de software ampliamente desplegado y que puso a casi todo el mundo en riesgo?

¿Cómo definiría un año que multiplicó por cuatro el malware bancario en la plataforma Android pasando el número total de casos de malware en Android a cuatro y un cuarto de millón (4.260.000)?

Infosnippet-2014-Annual-Security-Roundup-300x300

Por muchas razones, 2014 fue un año excepcional(mente malo) para la seguridad y privacidad en línea. Desde vulnerabilidades a violaciones de datos, desde el malware para Android hasta el  ransomware 2014 fue un año de primicias horribles. Pero 2014 no fue un año malo por una única razón: que fue un año de muchas novedades en muchas áreas.

Parafraseando a la Reina Isabel II, 2014 puede calificarse como un annus horribilis. Lamentablemente, 2015 no muestra ningún dato significativo de mejora.

Para entender mejor lo difícil que fue un año 2014, consulte nuestro informe anual recientemente publicado “Magnified Losses, Amplified Need for Cyber-Attack Preparedness.”

Por favor, añada sus comentarios o sígame en Twitter; @ChristopherBudd.

Malware de móviles obtiene Dogecoins y Litecoins para acabar recibiendo Bitcoins

Por Veo Zhang (Analista de amenazas móviles)

Recientemente, algunos investigadores reportaron que malware de la familia Android (detectado como ANDROIDOS_KAGECOIN.HBT) minaba las capacidad de cifrado de las monedas. Según nuestro análisis  este malware está involucrado en  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: corta duración de la batería, mayor desgaste, todo lo cual podría significar una vida más corta del dispositivo.

Los investigadores encontraron originalmente ANDROIDOS_KAGECOIN como copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación legítima de la CPU de cifrado de monedas Android . Este código se basa en el software conocido como cpuminer.

Para ocultar el código malicioso, los cibercriminales han modificado parte de la app de Google Mobile Ads, tal como se indica:

1

1. Código modificado de Google Mobile Ads

La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se dirige a un grupo anónimo Dogecoin.

El 17 de febrero esta red de móviles hizo ganar miles de Dogecoins al cibercrimen. Después del 17 de febrero, el cibercrimen cambió. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta a la pool conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a cartera del cibercrimen) varias veces.

2

2. Código de configuración de pool de monedas

Las aplicaciones de extracción de monedas mencionadas eran de fuera de Google Play Store, pero hemos encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android siendo utilizados para extraer cifrado de monedas para ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este post, estas aplicaciones aún están disponibles).

3

3. Apps de extracción in Google Play

 4

4. Cuenta  de descarga de apps de extracción

Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción. A diferencia de otras aplicaciones maliciosas, aquí la extracción sólo ocurre cuando el dispositivo se está cargando, porque con el incremento de uso energía no se nota tanto.

5

5. Código de extracción de cifrado de monedas

La misma lógica tiene la actualización de configuración. Analizando el archivo de configuración, parece que el cibercriminal está cambiando a Litecoins.

6

6. Archivo de configuración, que muestra el cambio a LiteCoin

Creemos que con miles de dispositivos afectados, el cibercriminal acumula gran cantidad de Dogecoins.

Por el lenguaje enmarañado de los términos y condiciones de los sites web de estas aplicaciones, los usuarios pueden ignorar que sus dispositivos son potencialmente dispositivos de robo.

Pero por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente capacidad para servir como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño– se cargan lentamente y se calientan mucho, haciendono particularmente discreta la presencia del minero . Sí, es cierto que ganan dinero, pero a un ritmo glacial.

Los usuarios de teléfonos y tablets que repentinamente se carguen lentamente, se calienten, o se queden sin batería deberían considerar estar siendo expuestos a amenazas. También, sólo porque una aplicación se haya descargado desde una tienda de aplicaciones – incluso Google Play – no significa que sea segura.

Hemos informado de este tema al equipo de seguridad de Google Play.

 

El cliente de escritorio de WhatsApp no existe; es más, es usado para ataques spam

Por Michael Casayuran (Anti-spam Research Engineer)

La popular aplicación de mensajería WhatsApp ha sido noticia al ser adquirida recientemente por Facebook por la asombrosa cifra de 19 mil millones de dólares. Los ciberdelincuentes no han perdido el tiempo en sacar provecho a esta noticia: apenas una semana después del anuncio oficial , un ataque spam confrima que una versión del escritorio de la aplicación móvil popular se está probando .

whatsapp
 1 . Captura de pantalla del mensaje spam

Nuestros ingenieros han encontrado una muestra de spam que alude a la compra por Facebook de WhatsApp, y también apunta a que una versión de WhatsApp ya está disponible para usuarios de Windows y Mac PC . El mensaje proporciona un enlace de descarga para esta versión, que se detecta como TROJ_BANLOAD.YZV , utilizado comúnmente para descargar malware bancario. (Este comportamiento es el mismo, ya sea en PC o en dispositivos móviles.)

Funciona así: TSPY_BANKER.YOSI se descarga en el sistema. Esta variante recupera nombres de usuario y contraseñas almacenados en el sistema, lo que supone un riesgo para la seguridad de las cuentas on line a las que se accede en el sistema afectado. El uso de programas maliciosos, junto con un mensaje portugués, hace pensar que los objetivos son usuarios en Brasil. El feedback de Smart Protection Network afirma que más del 80 por ciento de los usuarios que ha tenido acceso al site malicioso viene de Brasil.

Aunque el volumen de este tipo de spam de ejecución es relativamente bajo, actualmente está aumentando. Una de nuestras fuentes de spam confirma que las muestras representan hasta el 3 % de todo el correo visto, lo que hace suponer un posible brote de spam.

Recomendamos a los usuarios que tengan cuidado con este mensajes o similares ; WhatsApp no tiene actualmente una cuenta Windows o Mac , por lo que todos los mensajes apuntan a que puede ser considerado una estafa. Trend Micro protege a los usuarios de este ataque de spam a través de la detección del archivo malicioso y spam, así como el bloqueo del sitio web.

 

Flappy Bird troyanizado continúa tras la desaparición de la app por su creador

por Veo Zhang (Mobile Threats Analyst)

El giro interesante que han tomado los acontecimientos sobre el juego Flappy Bird ha tenido su repercusión en Internet: tras convertirse en un juego muy popular (descargado más de 50 millones de veces), el desarrollador anunció de repente que lo retiraba de las app stores como realmente luego hizo. La decisión suscitó mayor interés en el juego si cabe, y aparecieron aplicaciones similares en las app stores, e incluso subastas de dispositivos con la app instalada.

Lo que vino después fue, sin embargo, menos agradable: aparecieron un montón de falsas aplicaciones Android Flappy Bird difundiéndose por la red.

Especialmente siginificativo en mercados de aplicaciones de Rusia y Vietnam, estas falsas aplicaciones Flappy Bird tienen exactamente el mismo aspecto que la versión original :
1
Todas las versiones falsas que hemos visto hasta ahora abusan de los servicios de pago – aplicaciones que envían mensajes a números de tarificación adicional, causando por lo tanto cargos no deseados en las cuenta de teléfono de las víctimas. Como se verá más adelante, la falsa aplicación Flappy Bird pide permisos para leer/enviar mensajes de texto durante la instalación – algo que no se requiere en la versión original.
2
Después de que el juego está instalado y puesto en marcha, la aplicación comienza a enviar mensajes a números de tarificación adicional :
3
Y mientras el usuario está ocupado en el juego, este malware se conecta a hurtadillas a un servidor C & C a través de Google Cloud Messaging para recibir instrucciones . Nuestro análisis del malware reveló que a través de esta rutina, el malware envía mensajes de texto y oculta las notificaciones de mensajes de texto recibidos con cierto contenido.

Aparte del abuso de los servicio de pago, la aplicación presenta riesgo de fuga de información para el usuario, ya que envía el número de teléfono, el proveedor de línea telefónica y la dirección Gmail registrados en el dispositivo .

Otras versiones falsas que hemos visto tienen una función de pago añadido en la aplicación originalmente libre. Estas versiones falsas muestran un pop-up preguntando al usuario si quiere pagar por el juego. Si el usuario se niega a jugar, la aplicación se cerrará.

Estas aplicaciones falsas Flappy Birds ahora se detectan como ANDROIDOS_AGENT.HBTF , ANDROIDOS_OPFAKE.HATC y ANDROIDOS_SMSREG.HAT .

Aconsejamos a los usuarios de Android (en especial a los que están dispuestos a descargar la ahora » extinta » aplicación Flappy Bird ) tener cuidado al instalar aplicaciones . Los ciberdelincuentes están constantemente sacando provecho de los juegos populares (como Crush Candy, Angry Birds Space , Temple Run 2  y Bad Piggies ) para dar rienda suelta a las amenazas móviles . Los usuarios también pueden optar por instalar una aplicación de seguridad (como Trend Micro Mobile Security ) para poder comprobar las aplicaciones antes de la instalación .

 

Reporte de seguridad Q2 2013

Ya tenemos disponible el report de seguridad que resume las principales amenazas acaecidas durante estos tres últimos meses (abril, mayo y junio de 2013).

Destacamos en este reporte:

  • El número de aplicaciones maliciosas para Android continua batiendo records con un      total de 718.000 amenazas.
  • Las amenazas para banca online ha incrementado en tres, comparado con el último quarter. Los países más afectados son: Estados Unidos, Brasil, Australia y Francia.
  • El decremento del precio de los kits de exploits en el tiempo, tal y como muestra SpyEye, que ahora puede ser adquirido gratis si se compran otros kits.

Puedes leer el reporte en detalle en este enlace.