Etiqueta: malware móvil

SLocker, un ransomware móvil que imita a WannaCry

La familia SLocker, uno de los ransomware de cifrado de archivos y de bloqueo de pantalla de móvil más antiguo, ha resurgido después de unos años de escasa actividad, y lo ha hecho copiando la interfaz gráfica de usuario de WannaCry, según ha detectado Trend Micro.

Esta variante destaca por cifrar los archivos de Android y por ser el primer ransomware móvil para capitalizar el éxito del anterior brote de WannaCry.

Sin embargo, y tal y como ha informado la compañía, la trayectoria de este virus ha sido breve toda vez que poco después de que saliera a la luz se publicaron herramientas de descifrado.Pero en poco tiempo, se encontraron más variantes. Cinco días después de su detección inicial, el sospechoso que supuestamente era el responsable fue detenido por la policía china, y gracias a que los canales de transmisión eran limitados, el número de víctimas fue muy bajo.

La muestra original capturada por Trend Micro se hacía pasar por una herramienta de trucos para el juego King of Glory. Una vez instalado, su apariencia era similar a WannaCry.

 

IDG.es

Corren riesgo aplicaciones bancarias por virus SlemBunk

En una reciente investigación, la firma de seguridad FireEye, descubrió que el malware es aún más resistente que antes, lo que lo hace cada vez más peligroso, además de que se le utiliza como parte de una acción más grande en el proceso de ataques mucho más evolucionados.

En la encuesta encontró que un grupo de virus troyano que funciona a través de aplicaciones encubiertas, intentó robar datos de identificación a usuarios de Android con acceso a aplicaciones de banca. Estas aplicaciones maliciosas tienen la capacidad de obtener información personal y autentificar claves de acceso cuando se registra alguna solicitud específica. En la investigación inicial se identificaron más de 170 muestras del virus SlemBunk que han atacado a usuarios de 33 aplicaciones bancarias, especialmente en países de América del Norte, Europa y Asia Pacífico.

Para robar los datos de acceso del usuario, el virus se comunica con el servidor de comando y control para llevar a cabo diversas actividades dañinas. Cabe señalar que las descargas que se llevan a cabo a través de sitios de pornografía y también funcionan como un mecanismo de distribución  que alimenta al cuerpo de datos de SlemBunk.

Los especialistas observaron una cadena que estaba conformando un ataque prolongado. Esto significa que antes de comenzar a conformar un cuerpo de datos y atacar a un paquete de hasta tres aplicaciones (tipo gotero, downloader, carga útil) el agente malicioso debe estar instalado en el dispositivo, lo que complica el trabajo de los analistas para trazar el camino de regreso del ataque desde el origen, además de que encontraron que el malware tienen una presencia más persistente en el dispositivo infectado.

Al estudiar los códigos y la forma de acceso a los mensajes, también se identificaron varios servidores de control de URLs y comandos que permiten ver que se trata de una campaña organizada, personalizada y propietaria de un panel de administración. El registro récord de campos relevantes sugiere que se trata de una acción reciente y activa desarrollada en varios formatos.

SlemBunk inicia con las descargas, al principio, el virus se propaga por las copias de aplicaciones populares, tales como aplicaciones pornográficas y otras básicas. Inicialmente conocidas como “aplicación gotero”, buscan entrar en el dispositivo de la víctima para iniciar un ataque sostenido. De esta forma, un sitio web puede funcionar conteniendo un atajo oculto adicional: Si el sitio identifica que el acceso se hace desde un dispositivo Android, a continuación un cuadro de diálogo sugiere la actualización de JavaScript, y si el usuario acepta, entonces el dispositivo quedará infectado.

Eso es sólo la puerta de entrada de SlemBunk, que al inicio no afecta mucho al usuario; el problema surge al aceptar los siguientes pasos y entonces el usuario corre el riesgo de comprometer sus datos bancarios.

Durante la investigación de FireEye, se descubrieron varios hechos. En primer lugar, la interfaz administrativa alojada en el servidor de comando y control sugiere que el ataque es personalizable y la descarga puede adaptarse fácilmente de acuerdo con las especificaciones programadas por el atacante. Otro factor es que la información de programación para los dominios asociados ha demostrado que esta campaña de ataques es muy reciente, y sigue en curso, además de que probablemente continuará evolucionando en diferentes formas.

Finalmente la firma de seguridad se ha señalado que todo su equipo de investigación especializado en dispositivos móviles mantendrá una estrecha vigilancia sobre el tema.

-Redacción

Aumentan smartphones con malware de fábrica y amenazas móviles

android_malware

La firma alemana de seguridad, G Data, ha descubierto apps manipuladas preinstaladas en al menos 20 modelos de terminales de reconocidas marcas. A ello se suma el crecimiento del malware móvil, con más de un millón de nuevas amenazas para Android en el primer semestre de este año.

El aumento de estas amenazas crece en conjunto con el uso de los dispositivos móviles. Lo que muchos desconocen es que estos a veces se venden con apps preinstaladas que ponen en riesgo la seguridad de los datos. Así lo ha constatado G Data, que ha descubierto funciones espía instaladas en el firmware de más de 20 modelos de smartphones diferentes, entre el listado destacan firmas como Huawei, Lenovo o Xiaomi, y se sospecha que hay otros dispositivos aún no localizados cuyo firmware también puede estar comprometido.

Según los investigadores, estas apps serían legítimas, por cuanto mantienen sus funciones originales, pero serían capaces de permitir el acceso de los creadores del malware al terminal, mostrar anuncios o descargar nuevas aplicaciones no deseadas. Lo más probable es que hayan sido preinstaladas en el firmware durante el proceso que siguen los terminales desde que salen de fábrica hasta que llegan al usuario final.

Christian Geschkat, responsable de las soluciones de seguridad para dispositivos móviles de G Data, señaló “a lo largo del último año, hemos observado un crecimiento significativo de dispositivos que ya llegan al usuario con programas espía en el propio firmware de los terminales”.

La firma de seguridad ha constatado el notable aumento de las amenazas móviles en el segundo trimestre, con una media de 6100 muestras de nuevo malware cada día, cerca de un 25% más que en el primer trimestre. Esto eleva a más de un millón las nuevas amenazas para Android registradas en el primer semestre, fueron casi la totalidad de los registros de todo 2013. A la vista de este dato, G Data estima que a finales de 2015 se habrán alcanzado la cifra de los dos millones de amenazas para la plataforma Android.

-Hilda Gómez

El malware móvil se ha vuelto multifuncional

smartphone-malwareKaspersky Lab afirma que en el primer trimestre del año se triplicó el volumen de amenazas móviles detectadas. La técnica de patching o incrustación de código malicioso crece como método de propagación de los troyanos.

Los datos que Kaspersky Lab cita como resultado del primer trimestre constatan que las amenazas móviles siguen creciendo, pero no sólo eso, están evolucionando y se han vuelto multifuncionales. Prueba de ello es que en dicho período se detectaron más de 103,000 nuevos programas maliciosos para dispositivos móviles, 3.3 veces más con respecto al trimestre anterior, el 23.2% de los cuales fueron troyanos SMS, troyanos bancarios y troyanos-extorsionadores, destinados al robo y extorsión de dinero.

Entre las novedades del trimestre destaca la evolución del troyano bancario Trojan-Banker.AndroidOS.Binka.d, que ahora graba sonido por el micrófono y lo guarda en una carpeta que envía a un servidor perteneciente a los delincuentes, mientras que el troyano SMS Podec logró aumentar la cantidad de usuarios atacados utilizando la red social VKontakte como mecanismo de propagación.

También aumentó el uso de la técnica de patching o incrustación de código malicioso como método de propagación de los troyanos, como es el caso de Trojan-SMS.AndroidOS.Chyapo.a, que se incrustó en la aplicación Unity Launcher Free. La resistencia del malware a las soluciones de seguridad informática es una técnica que está ganando popularidad. Un ejemplo lo tenemos en el troyano bancario Trojan-Banker.AndroidOS.Svpeng.f, que trata de desinstalar las aplicaciones antivirus de algunas compañías más populares dentro del mundo móvil, tales es el caso de Avast, Eset y DrWeb.

Por otra parte, con cada vez más frecuencia los programas maliciosos móviles vuelven multifuncionales. Ahora no sólo los troyanos bancarios especializados pueden robar dinero de las cuentas de los usuarios atacando las aplicaciones bancarias, sino también los troyanos SMS, e incluso los troyanos-espía.

Un ejemplo de esto último es el Trojan-SMS.AndroidOS.OpFake.cc que ahora puede atacar a un mínimo de 29 aplicaciones bancarias y financieras, mientras que Trojan-SMS.AndroidOS.FakeInst.ep obtiene los datos de la tarjeta bancaria de la víctima y usa los métodos de los programas extorsionadores, mejor conocidos como ransomware. Es posible que esta sea una de las razones por las cuales en el primer trimestre de 2015 se hayan detectado relativamente pocos troyanos bancarios móviles.

 

Hilda Gómez