Archivo de la categoría: Aplicaciones Móviles

La herramienta Xcode con malware utilizada para infectar las apps de iOS

El malware que ataca – e infecta con éxito- a los dispositivos iOS es comparativamente menor que los que crean un gran revuelo que suele afectar a los teléfonos jailbreakeados. En resumen, que el malware se las arregle para pasar por encima de las políticas de App Store es difícil. Aunque el ecosistema iOS es comparativamente considerado «más seguro» – en el sentido de que existen muchas más amenazas diseñadas para atacar otros sistemas operativos móviles- no es perfecto, y algunos logran entrar a través de sus grietas.

ios-xcodeghost

Recientemente, ha habido casos de aplicaciones chinas instaladas en la tienda oficial de Apple infectadas con malware diseñado para robar información de los dispositivos iOS. Evidentemente, las aplicaciones se infectaron después de haber sido compiladas con una versión de Xcode – herramienta oficial de Apple para el desarrollo de aplicaciones de iOS y Mac -que fue subido al sitio chino de intercambio de archivos en la nube Baidu. La copia maliciosa de Xcode permite que una serie de aplicaciones infectadas puedan pasar por el proceso de revisión de código de Apple y se puedan instalar en dispositivos iOS, incluyendo los no modificados (no-jailbreakeados).

De acuerdo con investigadores de Palo Alto Networks, las aplicaciones infectadas con el malware – etiquetadas como XcodeGhost y detectadas como IOS_XcodeGhost.A – recogían información de los dispositivos que los instalaban antes de ser codificados y subidos los datos a los servidores de comando y control de los atacantes. Las aplicaciones iOS infectadas también enviaban comandos para mostrar una alerta falsa de phishing y conseguir los credenciales de usuario, secuestrar URLs y utilizar el portapapeles del dispositivo para enviar la contraseña del usuario si se copió de un gestor de contraseñas.

Mientras que las aplicaciones se han desarrollado sobre todo para el mercado chino, algunas aplicaciones, como WeChat (una aplicación de mensajería) y CamCard (una aplicación de escáner de tarjetas de negocios) están disponibles en otras tiendas locales fuera de China. Se sabe que más de otras 50 aplicaciones han sido infectadas y están disponibles fuera de China.

Apple ha declarado que han quitado las aplicaciones que se sabe que han sido creadas con la versión Xcode. Mientras tanto, los usuarios deben desinstalar las aplicaciones de iOS infectadas hasta que hayan sido actualizadas, mientras que se recomienda a los desarrolladores instalen versiones oficiales de Xcode 7 o Xcode beta descargado desde el sitio de Apple.

 

 

 

Las app móviles también compiten en privacidad y seguridad

Raimund Genes (Chief Technology Officer)

Hoy en día muchos desarrolladores de aplicaciones móviles querrían desarrollar la próxima aplicación móvil de más éxito. Después de todo, si usted juega bien sus cartas, podría llegar a ser comprado por una empresa mucho más grande como Facebook, Google o Microsoft por miles de millones de dólares. Es bastante difícil diseñar una aplicación móvil con las características de facilidad de uso y que se convierta en popular entre millones de usuarios. Hay otras cosas por las que las apps son competitivas, incluida la seguridad y privacidad de los usuarios.

¿Cómo puedenhacer estoa los desarrolladores? En primer lugar, considere cómo está escrita la aplicación. ¿Se están siguiendolas mejores prácticas? Los desarrolladores de PCs y Macs ya han aprendido que susaplicaciones pueden sufrir de vulnerabilidades que pueden ser explotadas. ¿Está haciendo todo lo posible para evitar estos problemas?

Una de las razones para endurecer sus apps contra la posible explotación es el reempaquetado. Esto ocurre cuando los chicos malos tienen una aplicación legítima y añaden su propio código malicioso para ello.Este código adicional puede ser cualquier cosa-abuso de SMS Premium o incluso robo de información.Esto no sólo perjudica al usuario final, sino que también daña su buen nombre así. (Para tener más información en profundidad sobre la aplicación reenpaquetado, lea nuestro documento relevante, Fake Apps: Feigning Legitimacy.)

Si sumodelo de negocio gira en torno a los anuncios distribuidos por las redes de anuncios de terceros, tenga cuidado al elegir con qué redes decide asociarse.Algunas redes de publicidad de menos renombre que otras piden demasiado información al usuario para dirigir sus anuncios o permitir que anuncios maliciosos se ejecuten en sus redes. Recuerde: no se trata sólo de lareputación on line de ellos, sino dela suya también.

Otra cuestión es cómo se integra con distintas redes sociales. Se ha convertido en muy popular integrar las redes sociales en las aplicaciones móviles. Esto es perfectamente seguro, siempre y cuando se haga correctamente. Las redes sociales, en general,utilizan algún tipo de API para permitir a aplicaciones de terceros que accedan a su información; utilizar estas APIs en lugar de simplemente pedir credenciales de acceso privados a sus usuarios.

En términos de privacidad, considere lo que usted está pidiendo por parte del usuario. Todos hemos visto cómo algunas aplicaciones piden permisos que no tienen absolutamentenada que ver con su propósito principal. ¿Por qué una app que es una linterna necesita tener acceso a su calendario o contactos? Considere lo que usted realmente necesita de sus usuarios y no pida cualquier cosa sólo porque es posible.

Ofrecemos herramientas que ayudarán a los desarrolladores de aplicaciones móviles a comprobar si susaplicaciones son seguras.La Mobile App Reputation Service comprueba aplicaciones en función de su comportamiento e identifica cualquier comportamiento potencialmente problemático en sus aplicaciones. Esperamos que estas herramientas ayudarán a que los desarrolladores se den cuenta de que la protección de la privacidad y la seguridad de sus usuarios debe ser parte integral de la creación de la próxima aplicación móvil.

https://www.youtube.com/watch?v=xuS-zwUBNSk&feature=player_embedded

 

Las implicaciones de seguridad de los portables. Parte 3

por David Sancho (Senior Threat Researcher)

En el segundo post de esta serie, hablamos de los dos primeros tipos de ataques que implican a elementos portables. Ahora vamos a pasar a la tercera clase de ataque, que puede ser considerado el más dañino de los tres.
Alto Riesgo de usuario, baja fiabilidad de los ataques

Estos ataques son considerados los más peligrosos, pero estos también los menos probables. Si un atacante logra comprometer con éxito el hardware o la red de protocolo de un dispositivo portátil, no sólo tendrá acceso a los datos en bruto en los dispositivos ‘IN’ sino también la capacidad de mostrar contenido arbitrario en dispositivos ‘out’.
Estos escenarios van desde el robo de datos personales hasta destrozar la realidad de una cámara. Estos ataques pueden afectar negativamente al usuario e incluso impedir el desempeño de sus rutinas diarias. Estos ataques también pueden tener un gran impacto si estos dispositivos se utilizan en un entorno profesional: una sencilla denegación de servicio podría prevenir a un médico de operar a un paciente o prevenir a un agente de la ley de adquirir datos de entrada para atrapar delincuentes.
Dado que el protocolo más utilizado por estos dispositivos es Bluetooth, será de gran ayuda una explicación rápida. Bluetooth es un protocolo inalámbrico de corto alcance similar a Wi-Fi en usos, pero con una gran diferencia. Considerando que el Wi-fi tiene una filosofía de «punto de acceso» en la mente, Bluetooth funciona como un tipo de comunicación de extremo a extremo.

Necesita emparejar dos dispositivos con el fin de hacer que dos dispositivos «hablen» entre sí a través de Bluetooth. En este proceso de emparejamiento, los dispositivos intercambian una clave de cifrado que servirá para establecer la comunicación entre los dos dispositivos. Otra diferencia con el Wi-Fi es que Bluetooth intenta minimizar las interferencias de radio saltando de una banda a otra en una secuencia preestablecida.
Este tipo de configuración tiene dos efectos principales sobre la piratería a través de Bluetooth. Uno, un atacante tiene que adquirir la clave de cifrado que se utiliza al escuchar a los dispositivos vinculados la primera vez que estos se sincronizan. Si se tarda más en la comunicación solo habrá ruido para el intruso. Dos, un ataque de denegación de servicio necesita para transmitir el ruido una amplia gama de frecuencias utilizadas por el protocolo con el fin de que tenga un impacto. Esto no es imposible, pero un ataque de ese tipo implica un esfuerzo mayor que contra cualquier otro protocolo de radio.
Los ataques siguen siendo posibles, pero las probabilidades son mucho más bajas en comparación con otros tipos de ataques. El hecho de que el atacante tiene que estar físicamente cerca de los dispositivos limita los objetivos que un ataque de ese tipo tiene que tener. Estos ataques serán probablemente un ataque altamente apuntado que los datos que se intercambian es de uso particular para el atacante o alterando la percepción de la víctima es de suma importancia. El alcance de estos posibles ataques es muy estrecha: no monetario y muy centrados.
En el escenario más improbable, un atacante que sería capaz de tomar más de uno de estos dispositivos sería capaz de utilizarlo para realizar otros ataques desde allí. Una vez que el atacante tiene el control completo sobre el dispositivo, pueden usarla – por lo menos – para acceder a las páginas web. Esto puede permitir al atacante para realizar el fraude de clics mediante el acceso a la publicidad o cualquier otra página web o incluso realizar ataques de denegación de servicio contra otros sistemas. Tal ataque requeriría la capacidad para que el atacante de entender la forma de ejecutar código en el dispositivo en particular y que por lo general no es posible o factible por lo que este escenario particular, pertenece a la categoría improbable.
smart-wearables-3

1. Atacantes controlando el dispositivo portable

Atacando a la Capa de App

Otra posible vía de ataque es atacar la capa de aplicación y secuestrar los datos que van a la nube.Este ataque puede permitir a los chicos malos lo siguiente:

• Escuchar la información que se envía por la aplicación local.

•Tocar los datos que se almacenan en el dispositivo móvil.

Hemos probado algunas aplicaciones para comprobar la viabilidad de un ataque de ese tipo. Tanto Fitbit y Pebble cifran sus sesiones con SSL (HTTPS) y también comprueban los certificados SSL de los sitios remotos. Por lo tanto, la suplantación de la comunicación mediante el uso de un certificado auto-firmado diferente no funcionará. Debido a que estas aplicaciones no pueden ser engañadas con ataques man-in-the-middle, la información permanece protegida en su camino a la nube. Esto sigue siendo un vector de ataque válido porque las aplicaciones móviles de otros fabricantes podrían no estar protegiendo sus datos de la misma manera.

Nuevos dispositivos, nuevas posibilidades

Nuevos dispositivos significan nuevas posibilidades para los atacantes. Aunque pueden producirse no todos los escenarios que presentamos, algunos de estos ataques son bastante fáciles de quitar o al menos intentarlo. Los investigadores de seguridad deben tener en cuenta estas nuevas vías de ataque y mirar hacia fuera para los nuevos desarrollos en portables y otros nuevos campos con el fin de estar preparados siempre y cuando cualquiera de estos ataques conceptuales finalmente suceda.

Puede leer las entradas anteriores de «las implicaciones de seguridad de los portables:» •

Parte 1

Parte 2

 

Para obtener más información acerca de elementos portables, puede revisar el artículo «¿Está preparado para los portables?» y la infografía, «The In and Out of Wearable Devices «. Para obtener más información acerca de los dispositivos inteligentes, puede visitar nuestro Internet of Everything hub

Las implicaciones de seguridad de los portables. Parte 2

por David Sancho (Senior Threat Researcher)

 

En el post anterior, hablamos sobre la definición y las categorías de elementos portables. Ahora centraremos nuestra atención en los posibles ataques a este tipo de dispositivos.
La posibilidad de ser atacado varía mucho, en función de la categoría en la que nos centremos. La probabilidad de ataque se incrementa dependiendo de dónde tenga lugar el ataque. Por el contrario, las posibilidades de daño físico decrecen a medida que se aleje del dispositivo físico. Cuanto más se aleje el ataque del dispositivo, más se desplaza el foco hacia el robo de datos.
Riesgo bajo de usuario, alta probabilidad de ataques

Estos ataques son los más fáciles de lograr, pero tienen la aplicación más limitada contra el usuario. En este escenario, el atacante compromete al proveedor de la nube y es capaz de acceder a los datos almacenados allí.

 

smart-wearables-11. Los hackers acceden al proveedor de la nube para obtener los datos

Las cuentas de usuario suelen estar protegidas por el factor de autenticación única, muchas veces, por contraseñas. Los atacantes intentarán acceder a los datos en la nube mediante el empleo de tácticas como la utilización del mecanismo «recordar contraseña» del proveedor, utilizando un troyano que almacena los golpes de teclado, adivinando la contraseña basada en los datos del usuario de otra cuenta hackeada, o usando un ataque de fuerza bruta.

Una vez se tiene acceso a la cuenta, el atacante puede ver los datos procedentes de los dispositivos portátiles y utilizarlos para crear un mejor perfil del usuario con el fin de dirigirse a él con campañas específicas de spam. Esto no es nuevo: cuando el site de intercambio de Bitcoin MtGox experimentó una fuga de datos en 2011, los usuarios fueron atacados con el spam de servicios financieros. Siendo usuario de Bitcoin, los spammers asumieron que los usuarios responderían más a estafas financieras en lugar de, por ejemplo, a la de productos para perder peso.

Los atacantes de este tipo de escenario son cibercriminales con la capacidad de crear programas maliciosos y cuya fuente de ingresos viene principalmente de campañas de spam / publicidad. Los hackers especializados en robo de datos también pueden emplear este ataque cuando después pueden vender la información robada a otros para su monetización.

Riesgo medio de usuario, probabilidad media de los ataques

Estos ataques son más peligrosos y más fáciles de lograr, pero con un impacto más limitado en el usuario. En este escenario, un atacante puede comprometer el dispositivo intermedio y capturar los datos en bruto. El ataque también puede actuar como hombre-en-medio entre la red y el dispositivo físico para alterar los datos procedentes de Internet o la red.

La forma más sencilla de lograr esto es mediante la instalación de una copia troyanizada de la aplicación móvil utilizada por el proveedor de hardware. Hoy en día, hay un montón de maneras de instalar sin escrúpulos aplicaciones en los dispositivos móviles Android. La mayoría de los atacantes utilizan las tiendas de aplicaciones de terceras partes para hacer esto.

Este atacante pretende reunir un perfil más completo de la víctima con el fin de instalar el malware que más se ajuste a la víctima en particular. Por ejemplo, un ataque de malware puede empezar siendo pensado para ser usado en la aplicación de Google Glass y finalmente ser utilizado para determinar la ubicación actual del usuario en todo momento. El software malicioso descargará una nueva aplicación maliciosa que lleva a cabo el fraude mediante clics según la ubicación del usuario.
Otro ejemplo sería una aplicación que busca dispositivos portables ‘IN’ y los utiliza para determinar el nivel de salud del usuario (deportivo, etc). Esta información podría ser utilizada para hackear anuncios y cambiarlos a anuncios más «apropiados» para el usuario (es decir, gimnasios locales, bebidas de proteína o píldoras de dieta, en base a los datos de salud robados).

smart-wearables-2

 

2. Anuncios hackeados basados ​​en información procedente de portables

Otra posibilidad sería que el malware para detectar mensajes se mostrara en el usuario de Google Glass y reemplazara anuncios, spam u otro contenido arbitrario.
Los hackers también pueden obtener y utilizar la ubicación de la víctima para dirigirse a ella con anuncios o spam en función de su ubicación actual. Es interesante observar que los hackers pueden tener diferentes enfoques para obtener la ubicación del usuario. Si el hacker necesita datos históricos (localidades anteriores), una aplicación maliciosa puede intentar eludir el sistema de permisos del teléfono (cuando los datos de ubicación no están accesibles en todas las aplicaciones). Una forma más fácil de obtener los datos de localización es desde el dispositivo portátil. Sin embargo, el dispositivo no contiene el histórico de los datos; a menudo, sólo se realiza un seguimiento de la ubicación actual.
El atacante en estos escenarios sería alguien que saca dinero de las campañas de spam / publicidad y quizás el fraude de clics. Estos ataques se pueden hacer de forma masiva y sin ningún objetivo específico.
La siguiente entrada del blog abordará el tercer tipo de ataque y otro posible medio de ataque.
Para obtener más información acerca de elementos portables, puede revisar el artículo «Are you ready for Wearables?» Y la infografía, «The In and Outs of Wearable Devices». Para obtener más información acerca de los dispositivos inteligentes, puede visitar nuestro Internet of Everything hub.

 

Encontrando agujeros en la Seguridad Bancaria: Operación Emmental

David Sancho (Senior Threat Researcher)

Al igual que el queso suizo Emmental, la forma en que sus cuentas bancarias on line están protegidas podría estar llena de agujeros. Los bancos han estado tratando de evitar que los delincuentes tengan acceso a sus cuentas en línea desde siempre. Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión – todos fueron diseñados para ayudar a prevenir el fraude bancario. Recientemente hemos encontrado una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. Así es como lo consiguen.

Esta banda criminal intenta dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.

Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line. Los propios usuarios hacen clic en un enlace malicioso o en un archivo adjunto e infectan sus ordenadores con malware. Hasta ahora, todo es bastante típico y desde una perspectiva de amenaza, un tanto aburrido.

Pero aquí es donde se pone interesante. Los equipos de los usuarios en realidad no se infectan, desde luego no con el malware bancario habitual. El malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo. ¿Qué te parece esto como infección indetectable? Los cambios son pequeños …. pero de grandes repercusiones.

Así es como funciona: la configuración de los DNS de los «ordenadores» de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.

1

Figura 1. ¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental?

Ahora, cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone.

Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Esto significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas.

Es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos.

Los criminales detrás de esta operación en particular tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. Hemos sido capaces de rastrear los operadores de vuelta mediante los apodos: – = FreeMan = – y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminanles hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. No hemos sido capaces de identificar el otro.   

Puedes encontrar más información sobre este ataque en nuestro informe Finding Holes: Operation Emmental, que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site.