Malware para Android de origen Persa

Esta es gorda, muy gorda

ESET informa de un malware para Android (no para IOS) que toma control del dispositivo a través del protocolo de Telegram. El código fuente (el que se puede leer en ingles) es gratuito y se puede descargar desde la red. No obstantes hay versiones de «Pay and use» por distintos precios que ofrecen diversas funcionalidades

¿Como se contagia uno?. Pues como siempre, mordiendo un anzuelo mediante ingeniería social. Nos ofrecen algo atractivo GRATIS y supuestamente muy útil, que hace que pinchemos donde no debemos. Generalmente se nos ofrecen descuentos al comprar aplicaciones cuando no la posibilidad de descargar aplicaciones gratuitas. De momento este malware NO HA SIDO LOCALIZADO en la Google Play, es decir, el que se lo instala es porque está bajándose alguna app de un sitio NO OFICIAL. De todas formas ya se sabe que lo de la Google Play no es especialmente seguro

Si nos lo tragamos le estaremos dando control total al atacante sobre nuestro dispositivo. Acceso a cámara, contactos, mensajes de Telegram etc

Mas info aqui

Malware VPNFilter

Estos días ha salido la noticia que (los rusos) están haciéndose con el control de miles de routers. Además la noticia se ha ampliado añadiendo cierto tipo de NAS  a la lista de dispositivos vulnerables (una NAS es una unidad de almacenamiento, o sea, un disco duro a lo bestia). La verdad, no se a quien se le puede ocurrir conectar una NAS directamente a internet sin protegerla detrás de un firewall, pero  ….. hay de todo por ahí

Esto no son los rusos necesariamente. Ciertas vulnerabilidades de routers dLink las he utilizado yo desde hace muchos años aprovechando gente especialmente descuidada que dejaba habilitada la administración remota y las contraseñas por defecto

¿Qué hacer?

Lo más importante es actualizar el «formware» del router. El problema es que en routers antiguos hace años que los fabricantes no sacan parches ni actualizan, con lo cual no siempre se va a poder hacer.

¿Vale para algo resetear el router?. Eso es una gilipollez porque los «crawlers» (arañas, software que busca cosas) que van buscando routers vulnerables te volverán a encontrar tarde o temprano

Actualiza el firmware, deshabilitar «administración remota» y no dejar la contraseña por defecto. Si tu router es muy antiguo y no han sacado actualización no está de más pensar en comprar un router en el Mediamark, eso si, asegúrate antes que el modelo que compres no es vulnerable a VPNMFilter. Yo recomiendo Linksys, tienen una amplia gama de productos, eso si, OJO que la marca es vulnerable a VPNFilter y por tanto hay que asegurarse que hay parche publicado del modelo que se compre

¿Datos reales? …… No, gracias

Mira que lo he advertido por activa y pasiva en varias ocasiones. Ojo con lo que se instala uno en el ordenador o en el móvil. Cierto es que no hay forma de saber qué es bueno y qué es malo, pero si es cierto que descargarse juegos y «tonterías» de las redes sociales tiene su peligro.

Se amplia la noticia de El Mundo sobre el robo de datos en Facebook

Daros cuenta de lo que he marcado en azul en el párrafo (1) bajo la línea. Un tío hace una aplicación, que puede ser un juego, y puede acceder a tu información y tus contactos. Incluso, aunque tu tengas marcadas ciertas cosas como que solo las pueden ver los amigos o familiares, ellos desde dentro pueden saltarse este tipo de restricciones como el que pasea por la playa. La aplicación en este caso no es un juego, es una aplicación para buscar trabajo (toma ya ¡¡)

El párrafo (2) tampoco tiene desperdicio. ¿Qué es lo que nos protege a los usuarios del uso y abuso de nuestros datos sin nuestro permiso?: un triste contrato. O sea, yo me tengo que fiar que Facebook y una empresa que se llama Amazon Mechanical Turk firman un contrato donde los segundos le dicen a Facebook que no van a ser malos. Esta es toda la protección que tenemos

Esto confirma mis peores sospechas, que ya he expresado en otro artículo (aquí), donde me pregunto que quieren que esperemos del GDPR (nuevo reglamento europeo de protección de datos de carácter personal). ¿Qué mas da que alguien firme un contrato de confidencialidad si después se le permite hacer cosas que no necesita? El papel es papel, y no me vale que con eso puedes denunciar a alguien. Una vez hecho el daño, el papel no vale para nada

¿Entonces no se puede instalar nada? Si, claro que se puede instalar, pero con cierta cabeza o siendo consciente de lo que te puede pasar. Yo, por eso, jamás pongo cierta información en redes sociales, porque estoy seguro que alguien la está procesando.

También es bueno tener varias identidades que no se puedan relacionar. Por ejemplo, yo tengo una cuenta de correo que uso UNICAMENTE para registrarme en sitios o servicios de sincronización. Acabo de configurar un Firefox para que los favoritos se sincronicen en todos mis dispositivos. Esa cuenta tiene un nombre parecido a sincropipote@gmail.com (no es real ese nombre). La uso para Dropbox, Mega, Firefox, Evernote etc. Jamas la uso para correo, solo para registrarme en sitios gratuitos de sincronización o servicios cloud

Asi que haz de la siguiente frase un principio en tu vida:

¿DATOS REALES? …….. LOS JUSTOS

__________________________________________________________________________________________

(1) Un científico interesado en el análisis del comportamiento que creó una aplicación de Facebook que recopilaba información de quienes la usaban y sus contactos. Logró que la instalaran 270.000 personas a través de Amazon Mechanical Turk, una plataforma de la compañía de Jeff Bezos para reclutar trabajadores bajo demanda. Y gracias a ellos recogió una inmensa cantidad de datos de unas 50 millones de personas

(2) Algo que Facebook permitía siempre que la información se usase con fines académicos. Pero los datos recopilados por Kogan en 2014 acabaron utilizados con intereses políticos.

 

2017, el año del rasomware

La empresa ESET ha publicado un estudio sobre el estado de la seguridad en 2017 con las unas conclusiones muy interesantes. Destaca que 2017 fue el año del rasomware. Proporcionalmente el rasomware hizo mas daño este año que otros ataques tipo DoS, pishing etc. Este tipo de malware se ha especializado hasta unos niveles que dan miedo.

Los «malos» han sido capaces de aprovecharse de los servicios de accesibilidad de Android para colarse en todo tipo de terminales. Algo que estaba pensado para facilitar la vida de la gente y resulta que lo convierten en una puerta para el ataque. Al principio usaban este sistema para introducir malware bancario, pero ha quedado como «barra libre» de intrusiones

También cabe destacar que los atacantes han descubierto que si se pone una botnet a trabajar para minar bitcoins, lo mismo consiguen uno de los premios que se pueden conseguir minando criptomonedas (hablaremos de esto el día que haga el dichoso video ….. que no se cuando llegará)

Los «malos» han conseguido muchas cosas con el software malicioso, entre otras:

  • Bloquear las pantallas completamente y dejar el dispositivo inútil
  • Cambiar el PIN de acceso pidiéndote dinero para darte el PIN nuevo. Dicho sea de paso, lo mejor que puedes hacer es no pagar por ello, pero si lo haces desconecta el terminal de internet y resetéalo completamente
  • Cifrar información y pedir rescate por la contraseña

Recuerda que para evitar este tipo de problemas

  • Descarga software de tiendas oficiales
  • Comprate algún antivirus o programa de seguridad a ver si con un poco de suerte se evita la infección
  • Copias de seguridad periódicas. Esto es vital

Google hace limpieza en la Google Play

Según podemos ver en Computerworld, Google tiene localizados a 100.000 tios que son reincidentes introduciendo código maligno en sus aplicaciones. Siguiendo técnicas de aprendizaje automático, ha podido borrar 700.000 aplicaciones con código que pretendía introducir malware en el teléfono de la víctima (no es un error, son setecientas mil)

Este número de aplicaciones retiradas representa un 70% más de las que retiraron en 2016, es decir, los controles para subir aplicaciones a Google Play son bastante malos si han detectado que han subido un 70% más que el año anterior

Una de las técnicas más comunes de los malos son los llamados Copycats, aplicaciones que parecen de sitios profesionales pero son falsas. Por ejemplo intentar colocar una aplicación de banco que se llame BBVVA en lugar de la buena que es BBVA (eso pasaba con el alcohol hace muchos años: ginebra Lirios por Larios)

Sería bueno que Google fuera mucho más rigurosa en vigilar lo que permite subir a su tienda, tal y como hace Apple que, aun así, se la cuelan

Android Lokibot

Nuevo malware para Android que puede comprarse por 2000 $ y que es capaz de inyectar código cuando se accede a ciertas páginas. Esto vale para robar credenciales tales como usuario, contraseñas, coordenadas de tarjetas, OTP etc

La empresa S21Sec ha publicado un excelente análisis que se puede obtener en https://www.s21sec.com/es/android-lokibot-download-report/ previo registro (merece la pena el registro por las cosas que publica S21Sec)

A modo de resumen este malware puede hacer lo siguiente:

  • Instalar ficheros «.apk» lo que deja la puerta abierta a contaminar el sistema infectado con más malware
  • Envio de spam a contactos
  • Robo de contactos
  • Llamadas a contactos
  • Reenvio de llamadas entrantes
  • Arrancar aplicaciones ya instaladas
  • Robo del historial de navegación

y lo que es peor: intercepción / eliminación de SMS lo que se traduce en que el atacante puede robar contraseñas temporales (OTP) enviadas por SMS al móvil de la víctima

El C&C (command and control)  que gestiona el malware es capaz de enviar 17 órdenes distintas para actuar contra el dispositivo infectado

Ya sabes, si eres usuario de Android mucho cuidadito con lo que instalas

 

Analisis de malware

Este es un análisis denso que ha realizado al ampresa Threat Connect sobre una campaña que, entre otros objetivos, interfirió en el proceso de elección de presidente de la autoridad palestina. Es un documento técnico que hará las delicias de los que les guste escudriñar en este tipo de noticias

https://www.threatconnect.com/blog/kasperagent-malware-campaign/?utm_campaign=Nurture%202017&utm_source=hs_email&utm_medium=email&utm_content=59690284&_hsenc=p2ANqtz–1WXiXgN1Mr3BRbJq6YOfin9MKvC6Flxsj0tUGXP-exNltCRU-wgESdEXPHIQ2U81J-s1hK8pnU_iRfhN14su0mcY0lQ&_hsmi=59690783