Bienvenido a Indetectables.net

Los troyanos bancarios para Android empiezan a centrarse en aplicaciones como las de Uber

Uno de los troyanos bancarios para móviles Android más conocidos ha empezado a cambiar sus objetivos para robar datos bancarios o dinero desde aplicaciones de servicios de transporte como Uber.

Los investigadores de Kaspersky Lab han descubierto una nueva variante del troyano bancario Faketoken, a la cual se le ha añadido las capacidades descritas en el párrafo anterior y además es capaz de detectar y grabar las llamadas en el dispositivo infectado. También puede mostrar ventanas superpuestas en aplicaciones de distinto tipo, entre ellas las de transporte, con el fin de robar credenciales bancarios y provocar transacciones fraudulentas.

El malware está siendo distribuido mediante mensajes SMS masivos. El mensaje malicioso contiene un enlace a una imagen que a su vez descarga Faketoken. Una vez instalado, el malware instala los módulos necesarios y la carga útil principal, ocultando sus iconos de acceso directo y empezando a monitorizar la actividad de la víctima de forma indiscriminada, incluyendo tanto llamadas como las aplicaciones en uso.

Cuando se realizan ciertas llamadas, Faketoken es capaz de empezar a grabar las conversaciones y enviarlas a un servidor perteneciente a los atacantes. Por otro lado, muestra ventanas superpuestas cuando se abren ciertas aplicaciones, falsificando las verdaderas interfaces de estas con el fin de obtener datos sensibles de los usuarios, con especial mención a los bancarios. También puede iniciar los pasos para una transacción de dinero fraudulenta.

No es la primera vez que vemos un comportamiento de estas características, ya que este año hemos cubierto el caso de BankBot, un troyano bancario capaz de suplantar las interfaces de muchas aplicaciones de bancos. Sin embargo, la reciente versión de Faketoken va un paso más allá, colocando también ventanas superpuestas sobre aplicaciones como Android Pay, Google Play Store, de pago de tiques, de reservas de vueltos y habitaciones de hoteles, además de las utilizadas para reservar transporte (como Uber).

Debido a que las transacciones de dinero requieren de un código SMS enviado por el propio banco, los atacantes han implementado un mecanismo que permite al malware robar el mensaje del banco y redirigirlo al servidor de mando y control de los delincuentes. Según Kaspersky Lab, debido a que el malware está desarrollado por hackers rusos, su interfaz se encuentra en ese idioma.

Una vez más, recomendamos descargar las aplicaciones solo desde la Play Store de Google, descartando las tiendas de terceros; mantener los Orígenes desconocidos inhabilitados; y siempre revisar los permisos solicitados por la aplicación en el momento de la instalación incluso cuando provienen de la tienda oficial de Android. En caso de que los permisos solicitados parezcan excesivos se recomienda no instalarla. También serían buenas ideas tener un software antivirus instalado en el móvil y el sistema operativo actualizado.

Fuente: The Hacker News

por Eduardo Medina Fri, 18 Aug 2017 10:55:31 +0000

Una extensión maliciosa hallada en la Chrome Web Store intentaba recolectar datos bancarios

Un investigador ha descubierto un elaborado fraude bancario que se ha apoyado en una extensión maliciosa de Google Chrome que se encontraba en la misma Chrome Web Store debido a las limitaciones impuestas por Google para su distribución.

La extensión, cuyo nombre es Interface Online, fue subida a la tienda hace 18 días y se dedica a monitorizar todas las conexiones realizadas con el navegador web, pudiendo hasta robar contraseñas de sitios concretos. Cuando el usuario visitaba uno de los sitios web programados en la extensión, esta se encargaba de activar una rutina creada con código JavaScript que registraba el nombre y la contraseña del usuario cuando eran introducidos en un formulario web. Una vez obtenidos los datos del usuario, estos eran subidos a un servidor controlado por los ciberdelincuentes.

La empresa malagueña Virus Total (propiedad de Google) ha mostrado que de momento solo una de las 57 soluciones de antimalware más usadas del mundo fueron capaces de detectar la extensión maliciosa. Una vez detectada y reportada por el investigador en seguridad brasileño Renato Marinho, jefe de investigación en Morphus Labs y voluntario en SANS Institute, Google la eliminó de la Chrome Web Store.

Productos antimalware que han detectado Interface Online según Virus Total

Interface Online fue subida a la Chrome Web Store el 31 de julio y fue descargada unas 30 veces. Luego desapareció y volvió a aparecer el miércoles de esta pasada para ser descargada otras 23 veces más. Sin embargo, tras ser reportada por Marinho, Google la eliminó de forma definitiva.

El bajo impacto de la extensión se debe al modo de proceder de los criminales. En vez de intentar infectar usuarios de forma indiscriminada, lo que hacían era llamar a empleados a cargo de las finanzas de las empresas (obteniendo su nombre a través de las redes sociales) para decirles que perderían los datos que manejaban si no instalaban un módulo de seguridad. Entonces la víctima recibiría un mensaje con un enlace hacia la extensión Interface Online y, una vez instalada, los atacantes invitaban a la víctima a iniciar sesión a través de los servicios usados por la empresa para la que trabaja.

Ante esta situación, Marinho ha recomendado a Google tomar medidas adicionales para evitar la difusión de extensiones maliciosas a través de la Chrome Web Store.

Fuente: ArsTechnica

por Eduardo Medina Thu, 17 Aug 2017 14:38:16 +0000

Cientos de cerraduras inteligentes quedan inutilizadas por una actualización equivocada

El IoT nos ha propuesto conectar todo tipo de dispositivos a Internet. No, no nos referimos (solo) a los tradicionales PC, smartphones y tablets, sino a cosas quizá más inverosímiles como un coche, una nevera, un termostato e incluso una cerradura inteligente.

El hecho de que cada vez más cosas estén computerizadas hace que un fallo de software pueda dejarlas inutilizadas, algo que puede resultar siendo crítico cuando la “cosa inteligente” tiene como función garantizar la seguridad y la privacidad personal.

Eso es lo que le ha pasado a unas 500 cerraduras inteligentes de LockState, una compañía radicada en Colorado, Estados Unidos. Una actualización de firmware liberada de forma equivocada el lunes de esta semana para el modelo 6000i, cuyo precio es de 469 dólares, deja el teclado inutilizable y la cerradura inoperable.

El origen está en que la actualización iba en un principio destinada a los modelos 7000i, sin embargo, acabó enviada a las cerraduras 6000i de forma equivocada. Lo peor es que, al quedar la cerradura inoperable, esta no puede volverse a conectar para hacer un downgrade, requiriendo de la realización de una actualización manual y de forma presencial para poder corregir el problema.

La situación solo deja dos opciones a los usuarios, los cuales tienen que cargar con los gastos de envío: Quitar la solapa trasera de la cerradura y enviarla al fabricante para que la actualice manualmente o pedir una cerradura de reemplazo.

Fuente: The Hacker News

por Eduardo Medina Wed, 16 Aug 2017 14:15:57 +0000

Blizzard recibió un ataque DDoS el pasado fin de semana que causó problemas con sus juegos

La conocida desarrolladora de videojuegos Blizzard recibió el pasado fin de semana una serie de ataques DDoS que afectaron a los servicios utilizados por juegos como Overwatch y World of Warcraft, provocando latencia y problemas de conexión.

Los ataques comenzaron el domingo por la mañana y Blizzard los confirmó a través de la red social Twitter. Según el servicio de terceros Down Detector, la situación empeoró bruscamente a mediodía, con los usuarios experimentando problemas a la hora de acceder a los juegos (si es que conseguían acceder) y de conexión, además de que se empezó a ver caídas de las páginas web de Blizzard dedicadas al reporte de fallos.

A pesar de que la compañía ha conseguido frenar los ataques DDoS, al menos el día de ayer todavía había usuarios que experimentaban problemas con los servicios de Blizzard. Suponemos que la desarrolladora habrá ido recomponiendo sus servidores poco a poco.

Por otro lado, durante el martes y el viernes de la semana pasada se reportó que se necesitaba más tiempo de lo normal para conectarse a los juegos de Blizzard, mientras que Down Detector detectó problemas de conexión.

Debido a su gran popularidad, los servicios relacionados con videojuegos se han convertido en un objetivo muy atractivo para los hackers. Hace años un grupo llamado Lizzard Squad llevó a cabo ataques contra PlayStation Network y Xbox Live. Por aquella época dicho grupo consiguió cierta notoriedad en medios de distinto tipo.

Fuente: ThreatPost

por Eduardo Medina Tue, 15 Aug 2017 10:20:22 +0000

Hallan en la Play Store una variante de un spyware de origen iraquí

Investigadores en seguridad que trabajan para la empresa Lookout han descubierto al menos tres aplicaciones para Android disponibles en la Play Store que contienen un spyware de origen iraquí. Una de las aplicaciones subidas es una versión modificada del cliente de Telegram, la cual consiguió colar en la tienda oficial de Google sin ser detectado por Bouncer.

El ciberdelincuente consiguió subir el malware al menos a través de tres aplicaciones llamadas Soniac, Hulk Messenger y Troy Chat. Sin embargo, cuando el spyware fue descubierto por los investigadores de Lookout, solo estaba activo en Soniac, mientras que las otras aplicaciones habían desparecido de la Play Store, muy posiblemente porque el propio desarrollador las hubiese retirado. Esto abre la puerta a un posible comportamiento similar al visto en Dvmap, con los desarrolladores retirando y volviendo a incorporar el malware para así dificultar su detección.

Desde Lookout han llegado a la conclusión de que el malware de trata de una nueva versión SpyNote, un viejo conocido entre los spywares contra Android. Por otro lado, los investigadores también creen que su desarrollador es el mismo que el de SonicSpy, otro spyware del cual hay más de mil variantes.

Para llegar a la conclusión del párrafo anterior se basan en ciertos aspectos que comparten ambos malware, como el hecho de utilizar el puerto no estándar 2222 para los servicios de DNS, inyectan código malicioso y recompilan la misma utilidad para el escritorio, posiblemente como parte de un sistema de compilación personalizada y automatizada.

¿Qué acciones maliciosas lleva a cabo SpyNote? La realidad es que se trata de un malware bastante completo, capaz de realizar 73 acciones diferentes que recibe a modo de órdenes procedentes de un servidor de mando y control. Sin embargo, de todo lo que puede hacer se puede destacar lo siguiente:

  • Grabar audio de forma silenciosa.
  • Tomar fotos de forma silenciosa de las cámaras.
  • Realizar llamadas.
  • Enviar SMS.
  • Recuperar el registro de llamadas.
  • Obtener datos de puntos de acceso Wi-Fi.

Debido a que el malware ha sido hallado en la Play Store, los mejores consejos que se pueden dar a los usuarios es utilizar siempre las aplicaciones oficiales (usar el Telegram oficial en lugar de un cliente alternativo) y comprobar concienzudamente los permisos solicitados. En caso de ver que los permisos solicitados sean demasiados para el tipo de aplicación, se recomienda no instalarla.

Fuente: BleepingComputer

por Eduardo Medina Mon, 14 Aug 2017 09:54:21 +0000

Los ataques mediante botnets de IoT aumentaron un 280% en la primera mitad de 2017

En MuySeguridad hemos informado y avisado en muchas ocasiones sobre la pobre seguridad que hay en torno al IoT (Internet de las Cosas). Lejos de ser esto un pronóstico lanzado al aire, durante el año pasado hemos visto cómo los dispositivos IoT han sido utilizados para crear botnets y llevar a cabo potentes ataques, como los realizados contra OVH y las DNS de Dyn.

La escasa o mala protección de los dispositivos IoT, unido a su gran expansión, están siendo factores que están multiplicando de forma preocupante la cantidad de ataques mediante botnets. Según un informe de F5 Lab llamado The Hunt for IoT Vol. 3: The Rise of Thingbots, los ataques mediante botnets de IoT se incrementaron en un 280% durante la primera mitad de 2017. La responsabilidad de este crecimiento recae en buena parte en el peligroso troyano Mirai, que se dio a conocer sobre todo por el caso de las DNS de Dyn.

Uno de los datos más curiosos que se pueden ver en el informe es que el 83% de los ataques proceden de un único proveedor de hosting español llamando SoloGigabit. Desde F5 Lab no dudan que la mayoría de los dispositivos que forman parte de las botnets son capturados. Por otro lado, se plantean la cuestión de quién sería el responsable legal a la hora de afrontar este problema el día en que se regule.

En informes anteriores de F5 Lab se detectó que China lideraba la clasificación de países con mayor cantidad de ataques mediantes botnets de IoT, pero el país asiático ha ido cayendo y actualmente solo acapara 1%. La empresa de ciberseguridad se pregunta qué ha podido pasar con una gran cantidad de dispositivos supuestamente comprometidos que no están siendo usados para llevar a cabo ninguna actividad maliciosa.

F5 Labs recomienda tener una estrategia contra los ataques DDoS con el foco puesto en que la empresa no tiene por qué ser un objetivo directo, además de planificar con anticipación el impacto en caso de ser el proveedor de servicios víctima de un ataque. Por otro lado, también recomienda no comprar ni vender dispositivos IoT vulnerables.

Fuente: TechRepublic

por Eduardo Medina Fri, 11 Aug 2017 10:00:20 +0000

Microsoft publica el primer parche para una vulnerabilidad hallada en WSL

Microsoft publicó el miércoles de esta semana su paquete de parches para corregir vulnerabilidades halladas en sus productos. Lo más destacable es que por primera vez vemos una corrección para un fallo de seguridad hallado en WSL (Windows Subsystem for Linux), el subsistema que permite ejecutar una cantidad limitada de distribuciones Linux sobre Windows y que recientemente ha llegado a Windows Server.

La vulnerabilidad (CVE-2017-8622) hallada en WSL radicaba en cómo manejaba dicha tecnología las tuberías con nombres utilizadas para las comunicaciones entre procesos, abriendo así la puerta a la ejecución de código con permisos de administrador. Sin embargo, para ser explotada requería de acceso local al sistema, por lo que su posible impacto quedaba minimizado. Microsoft la ha etiquetado como una escalada de privilegios que afecta la versión 1703 de Windows 10 64-bit.

Recordamos que WSL apareció en la conferencia Build 2016 como “Ubuntu Bash para Windows 10”, ya que este subsistema lo que permite es la ejecución de programas y aplicaciones Linux con un interfaz de línea de comandos. Aunque la distribución de Canonical tomó la delantera, más tarde aparecieron openSUSE, SUSE Enterprise Linux y Fedora.

Otros fallos importantes de los corregidos por Microsoft el día de ayer fueron unos problemas de corrupción de memoria hallados en el motor de scripts utilizado por Internet Explorer y Microsoft Edge, los cuales están acompañados de otras 17 vulnerabilidades que abrían la puerta a la ejecución de código en remoto a través de los mencionados navegadores. Para su explotación solo era necesaria la utilización de páginas web con código JavaScript malicioso.

Otros componentes parcheados han sido el motor de bases de datos JET, Windows Search, componentes como los relacionados con el despliegue de documentos PDF, el protocolo de escritorio remoto, la herramienta de colaboración Sharepoint, SQL Server y Adobe Flash Player.

Fuente: ItNews

por Eduardo Medina Thu, 10 Aug 2017 10:02:06 +0000

Adobe parchea 80 vulnerabilidades presentes en productos como Flash Player, Reader y Acrobat

Adobe ha publicado un paquete con 80 actualizaciones de seguridad para los productos Flash Player, Adobe Acrobat, Adobe Reader, Digital Editions y Experience Manager.

Para Flash Player, que actualmente se encuentra en su versión 26.0.0.151, se han corregido dos vulnerabilidades importantes que han llegado a las implementaciones para Windows, Mac, Linux y Chrome OS. Una (CVE-2017-3085) se trataba de un fallo que permitía filtrar información, mientras que la otra (CVE-2017-3106) era una confusión de tipos que abría la puerta a la ejecución de código en remoto.

La mala prensa que tiene Flash en términos de seguridad ha motivado a muchos usuarios a evitar su uso en lo máximo posible. Lejos de ser esto una costumbre de paranoicos o geeks, ha llegado hasta a ser implementada en Google Chrome. Los detractores de esta tecnología se habrán alegrado tras saber que Adobe tiene planeado ponerle fin en 2020.

69 vulnerabilidades han sido corregidas en las versiones 2017.009.20058, 2017.008.30051, 2015.006.30306 y anteriores de Reader y Acrobat  tanto para Windows como Mac. Algunas de las vulnerabilidades más importantes permitían a un hacker tomar el control del sistema afectado.

Como es lógico, la gran cantidad de fallos corregidos hace entrever que hay vulnerabilidades de todo tipo. Los parches publicados también van dirigidos a corrupciones de memoria, vulnerabilidades de usar después de liberar memoria, desbordamientos y confusiones de tipos. La compañía ha comentado que estas pueden ser explotadas para la ejecución de código en remoto y en algunos casos podrían llevar a una filtración de información.

Tres fallos de seguridad (CVE-2017-3108, CVE-2017-3107 y CVE-2017-3110), cuya gravedad varía entre moderada e importante, han sido corregidas en el producto de gestión de contenido empresarial Experience Manager. Fueron reportados de forma anónima y permitían a los atacantes filtrar información y ejecutar código arbitrario.

Otras nueve vulnerabilidades han sido corregidas en el lector de libros electrónicos Digital Editions en sus versiones para Windows, Mac, Android e iOS. Dos de los fallos (CVE-2017-11274 y CVE-2017-11272), que han sido marcado como críticos, abrían la puerta a la ejecución de código y al filtrado de información.

Fuente: Security Affairs

por Eduardo Medina Wed, 09 Aug 2017 10:34:04 +0000

Demuestran que es fácil engañar a los coches autoconducidos con señales alteradas

Un equipo compuesto por ocho investigadores de universidades de Estados Unidos ha descubierto que resulta fácil confundir a los coches autoconducidos a través de la alteración de las señales de tráfico, haciendo que el aprendizaje automático de esos vehículos, que funciona a través de una red neuronal, las clasifiquen mal. Esto puede provocar la toma de decisiones equivocadas y posibles accidentes, dejando el peligro tanto a pasajeros como a peatones.

Los investigadores pusieron en marcha varias ideas. Una consistió poner las palabras amor (love) y odio (hate) en una señal de Stop, la segunda fue crear otra señal de Stop deteriorada mediante grafitis, en otra decidieron colocar pegatinas en blanco y negro para ver si conseguían engañar a los coches autoconducidos y por último se experimentó con una señal de girar a la derecha impresa para comprobar si esta era identificada correctamente.

En el primer escenario se colocaron las palabras amor (love) y odio (hate) encima y debajo de la palabra Stop, obteniendo como resultado que los coches autoconducidos la interpretaron como una limitación de la velocidad a 45 millas por hora en el 100% de los casos. En los escenarios donde se usaron pegatinas y grafitis para adulterar la señal se consiguió que el 67% de los vehículos la interpretaran como una limitación de la velocidad a 45 millas por hora. En la señal impresa de girar a la derecha el 100% de los vehículos la interpretaron como una señal de Stop.

Señal de Stop con las palabras love y hate

Señal de Stop con pegatinas en blanco y negro

Señal de Stop con grafitis

Señal de girar a la derecha impresa

Situaciones como estas abren la puerta al vandalismo contra los coches autoconducidos. Minimizar los riesgos es una tarea que implica a muchas partes, abarcando tanto a las administraciones públicas, que podrían utilizar material antiadherente para las señales de tráfico, como a los propios programadores y desarrolladores de software, que podrían crear algoritmos para identificar situaciones carentes de sentido, como una señal de Stop en medio de una autopista.

La inclusión de tecnología informática en los coches está abriendo nuevas puertas para los ciberataques, los cuales pueden usados tanto para robar como para provocar accidentes. Y aquí no se libra nada, porque hasta un “inocente” Segway puede ser usado con muy malas intenciones si se dejan expuestas ciertas partes del software o del hardware.

Fuente: BleepingComputer

por Eduardo Medina Tue, 08 Aug 2017 11:25:50 +0000

Acusan a Disney de rastrear a niños sin consentimiento a través de sus juegos para móviles

Una madre ha presentado en un tribunal de California una demanda contra Disney acusando a la multinacional de estar recolectando información personal de los niños sin consentimiento paterno a través de sus juegos para móviles.

La demandante argumenta que Disney nunca pide aprobación paterna antes de empezar a recolectar datos de los niños a través de sus aplicaciones. De ser esto cierto, estaríamos ante un asunto muy serio en lo que se refiere a la privacidad, más tratándose de niños que posiblemente sean demasiado pequeños como para entender unos términos de uso.

El origen de la recolección de datos estaría en el SDK de publicidad embebido que la multinacional usa para sus aplicaciones destinadas a móviles y tablets. Entre los demandados, además de Disney, hay tres desarrolladoras que habrían usado ese SDK para el desarrollo de sus aplicaciones para presuntamente recolectar datos de niños: Upsight, Inc., Unity Technologies SF y Kochava, Inc.

La demanda recoge 40 juegos disponibles para Android e iOS, que estarían, presuntamente, recolectando datos sin consentimiento paterno para crear perfiles de los niños. La legislación estadounidense, a partir de la Children’s Online Privacy Protection Act (Ley de Protección de la Privacidad Online para los Niños) de 1998, considera ilegal la recolección de datos de menores de 13 años.

Por otro lado, esta no sería la primera demanda de estas características a la que se enfrentaría Disney, ya que en 2011 la FTC (Comisión Federal del Comercio de Estados Unidos) puso una multa de 3 millones de dólares a subsidiaria Playdom, Inc. por recolectar datos de niños sin consentimiento parental.

La demandante, Amanda Rushing, está pidiendo al juez que otorgue a su caso el estado de demanda colectiva, además de reclamar las lógicas compensaciones por daños y perjuicios, los costes del proceso y una orden contra la multinacional por su presunto comportamiento poco ético con respecto a la privacidad de los niños.

La lista de juegos que presuntamente habrían violado la privacidad de los niños es la siguiente:

  • AvengersNet.
  • Beauty and the Beast: Perfect Match.
  • Cars Lightning League.
  • Club Penguin Island.
  • Color by Disney.
  • Disney Color and Play.
  • Disney Crossy Road.
  • Disney Dream Treats.
  • Disney Emoji Blitz.
  • Disney Gif.
  • Disney Jigsaw Puzzle!
  • Disney LOL.
  • Disney Princess Palace Pets.
  • Disney Princess: Story Theater.
  • Disney Store Become.
  • Disney Story Central.
  • Disney’s Magic Timer by Oral-B.
  • Disney Princess: Charmed Adventures.
  • Dodo Pop.
  • Disney Build It Frozen.
  • DuckTales: Remastered.
  • Frozen Free Fall.
  • Frozen Free Fall: Icy Shot.
  • Good Dinosaur Storybook Deluxe.
  • Inside Out Thought Bubbles.
  • Maleficent Free Fall.
  • Miles from Tomorrowland: Missions.
  • Moana Island Life.
  • Olaf’s Adventures.
  • Palace Pets in Whisker Haven.
  • Sofia the First Color and Play.
  • Sofia the First Secret Library.
  • Star Wars: Puzzle Droids™.
  • Star Wars™: Commander.
  • Temple Run: Oz.
  • Temple Run: Brave.
  • The Lion Guard.
  • Toy Story: Story Theater.
  • Where’s My Water?
  • Where’s My Mickey?
  • Where’s My Water? 2.
  • Where’s My Water?
  • Lite/ Where’s My Water?
  • Free, Zootopia Crime Files: Hidden Object.

Fuente: BleepingComputer

por Eduardo Medina Mon, 07 Aug 2017 09:25:12 +0000