Malwares para Android: um problema que só cresce

malware-androidOs dispositivos Android são partes cada vez mais dominante do mercado global, mas também são cada vez mais afetados problemas de malware. Até agora, tem sido um ano particularmente difícil para a reputação do Google Play, a loja de aplicativos para dispositivos baseados em Android. Em fevereiro, a empresa de segurança RiskIQ informou que o número de aplicativos na loja do Google Play quadruplicou entre 2011 e 2013.

Então, em abril um aplicativo falso de antivírus foi baixado por tantos usuários que o Google anuncio que ia reembolsar aos mais de 10 mil compradores que pagaram US $ 3,99 pelo aplicativo – que, felizmente, não tinha nada pior do que ser inútil, já que não era mais que um ícone que mudou de forma quando aproveitado.

O Android continua a aumentar o seu domínio do mercado de smartphones e tablets dos EUA e em outro países, com a plataforma do Google mantendo 52% do mercado de smartphones dos EUA em comparação ao 41% da Apple, segundo ComScore, e essa diferença é mais notável no mercado mundial – onde o Android possui 44% da cota de mercado do primeiro quatrimestre de 2014, comprando com o 10% da Apple. Além disso, os dispositivos Android compõem 62% do mercado de tablet dos EUA, enquanto aiOS registra 36%.

Mas, enquanto os valores de mercado do Android continuam crescendo, também cersce as críticas sobre os protocolos de segurança da empresa. Além dos problemas de segurança com os aplicativos autorizados por Google para venda na App Store, o relatório da empresa de segurança cibernética OPSWAT da semana passada sugeriu que cerca de um terço dos aplicativos disponíveis para venda em lojas de aplicativos de terceiros contêm malware. Isso levou o Google a aumentar os recursos de segurança Verity Apps em dispositivos Android, que agora digitalizará localmente os aplicativos de terceiros em todos os dispositivos do usuário (sempre que os usuários não optem por usá-lo, o mesmo será permitido fazer). Ah, e para quem isto é relevante, também tem uma desagradável peça de ransomware Android que está roubando muito dinheiro dos usuários internacionais de pornô.

A conclusão é que os usuários do Android precisam ser extremamente cautelosos na forma como baixam aplicativos. É melhor não confiar em aplicativos de terceiros, e quaisquer que sejam aplicativos, os usuários devem verificar localmente o download através do recurso Verity Apps. Mas, além disso, os usuários do Android devem executa uma suíte de segurança móvel em seus aparelhos. Há muitas no mercado para os usuários escolherem – e, claro, a Kaspersky Lab tem o prazer de recomendar um aos usuários – mas dado o número crescente e a gravidade dos malwares em aplicativos e supostos sistemas de antivírus, os usuários não devem usar seus dispositivos Android sem uma dessas suítes de segurança de dispositivos móveis.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Kaspersky blog

Falsos certificados legitimam malwares

falso_certificadoCertificados digitais roubados estão sendo usados para manter agentes mal intencionados escondidos sob uma credencial legitima, revela estudo divulgado pela FireEye. O levantamento apura ainda que, recentemente, Trojans como Zeus usaram assinaturas autênticas para passar por defesas automáticas e humanas, com o intuito de roubar informações bancárias.

Algumas amostras de malware chamaram a atenção da FireEye por causa da distribuição em massa de RATs (sigla em inglês para Ferramenta de Administração Remota) em uma região em particular. Também por causa do recente caso do malware XtremeRAT, publicado no blog da FireEye (em inglês) no inicio de 2014.

Os pesquisadores da FireEye encontraram um malware com assinatura digital enquanto investigavam um aumento nas campanhas de spam Spy-Net (um tipo de RAT). O Spy-Net permite ao invasor um grande controle da máquina da vítima via remote shell, com os recursos:

·Realizar downloads e uploads

·Alterar o registro

·Acesso aos processos em execução e serviços

.Capturar imagens da área de trabalho

·Gravações de áudio e vídeo por meio da webcam

·Extrair senhas salvas

·Tornar a vítima um servidor Proxy

Variações do malware ainda são capazes de se defender de processos de segurança que o identificam e se desligando automaticamente. A amostra testada, o arquivo sc2.exe, apresentou comportamentos típicos do Spy-Net. A partir disso, os pesquisadores começaram a testar a assinatura da CZ Solution por meio de pivotação.

Em meio aos testes, especialistas da FireEye encontraram particularidades que provaram que a assinatura da CZ Solution não estava sendo utilizada apenas em binários Spy-Net, mas também com XtremeRAT, usado regularmente por ciber criminosos. O XtremeRAT tem as mesmas funcionalidades do Spy-Net e seu código é compartilhado com muitos outros projetos de RAT, incluindo o CyberGate e o Cerberus.

Foram encontradas ainda várias amostras do Trojan Zeus utilizando a assinatura da CZ Solution. O Zeus pode ser modificado para roubar informações que normalmente envolvem logins de redes sociais, e-mail e internet banking. O trojan é largamente usado para lesar clientes de instituições financeiras.
A partir das amostras analisadas, constatou-se que a assinatura da CZ Solution foi utilizada para criar e assinar os malwares Spy-Net, XtremeRAT, Zeus e outros.

O estudo informa também que foram utilizados outros RAT sob a assinatura da CZ Solution como o BozokRAT. Com tantos binários se interligando, a FireEye começou a traçar paralelos entre as amostras descobrindo suas tendências como a sobreposição de C2 (C2 Overlap) e vetores de invasão como o phishing.

Numa análise de todas as amostras correlatadas e pivotadas, os especialistas notaram que a maioria da linguagem e C2 usados girava em torno do idioma francês. Os domínios que fazem parte da infra-estrutura C2 eram quase todos exclusivamente em francês, assim como as informações da pessoa que registrou os domínios em questão.

A conclusão tirada pelos técnicos da FireEye é de que uso de assinaturas não irá diminuir em breve – especialmente por agentes de ameaças. Estas assinaturas e certificados são uma maneira rápida e simples de passar por cima de controles tradicionais de segurança, visto que estes são considerados confiáveis por padrão. Os estudos publicados pela FireEye provam que o uso é uma tendência.

Os pesquisadores da FireEye podem dizer com segurança, baseados nas informações coletadas, que as assinaturas da CZ Solution foram utilizadas por um indivíduo ou um grupo usando infraestrutura e ativos franceses. Estes invasores em particular não mostraram um nível significante de expertise, mas mostraram recursos coletivos com conhecimento em pelo menos três malwares: Zeus, Spy-Net e XtremeRAT.

Para ajudar a proteger a sua empresa e outras contra ameaças usando assinaturas digitais válidas, você pode incluir a verificação do número de série da assinatura. Neste caso, o número de série: 6e 7b 63 95 ac 5b 5c 8a 2a ec c4 52 8d 9e 65 10 é o identificador para localizar a relação com este editor. Além disso, se você estiver executando sua própria certificação interna, garanta que certificados que podem ter sido comprometidos sejam revogados devidamente. Isso ajudará a garantir que certificados comprometidos não são utilizados em ataques.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Novo malware para Android substitui apps bancários e rouba dados

android_malwareUm novo malware é capaz de desligar o antivírus de smartphones e tablets com sistema Android e até mesmo substituir aplicativos bancários por falsos para roubar informações da conta da vítima.

Descoberta pela empresa de segurança digital FireEye, a ameaça pode capturar as credenciais do aparelho, ler e enviar SMS, acessar a lista de contatos, baixar conteúdos maliciosos.

O malware se disfarça como “Google Service Framework” e depois de instalado não pode ser removido.

A ameaça não está na loja virtual Google Play, mas a FireEye não divulgou qual é a fonte de distribuição do app. Em todo caso, quem não instala aplicativos oferecidos fora da loja oficial do Google não corre risco de infectar seu dispositivo móvel com esse malware.

Ainda segundo a FireEye, o malware é sofisticado e ainda não foram exploradas todas as suas possibilidades, apesar de a estrutura para ataques diferentes já estar preparada. Ela pode receber à distância e sem intermédio do usuário comandos de um servidor Command and Control.

A empresa de segurança acredita que isso pavimente o caminho para malware ainda mais forte, tendo como alvo os dispositivos móveis.

O criador da ameaça falsificou aplicativos de oito bancos coreanos até o momento. Contudo, com poucas modificações, outros apps bancários podem ser adicionados em apenas 30 minutos.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Exame

Malware para Android que se propaga por SMS

androidmalwareO Selfmite gera um link enviado para 20 amigos da lista de contatos do proprietário do dispositivo

Um “worm” de Android raro que se propaga através de links inseridos em SMS foi descoberto por pesquisadores da AdaptiveMobile. Quando instalado nos dispositivos, o malware, denominado Selfmite, envia uma mensagem de texto para 20 nomes da lista de contatos do proprietário do dispositivo.

A maioria dos malware para Android é do tipo Cavalo de Tróia, sem mecanismos de auto-propagação, distribuído em lojas de aplicações não oficiais. Os “worms” de SMS Android são raros, mas a Selfmite é a segunda ameaça descoberta nos últimos dois meses e sugere que a quantidade de ocorrências pode crescer no futuro.

A mensagem de texto enviada pelo Selfmite contém o nome do contato – “Caro [nome], olha o Self-time” – seguida por um link curto “goo.gl”. O Selfmite leva quem o recebe a baixar e instalar um arquivo chamado “mobogenie_122141003.apk” através do navegador do dispositivo.

A Mobogenie é uma aplicação legítima que permite usuários sincronizarem os seus dispositivos Android com seus PCs, e fazer o download de aplicações a partir de uma loja alternativa. “Acreditamos que alguém decidiu aumentar o número de instalações de aplicações Mobogenie usando software malicioso”, consideram os investigadores da AdaptiveMobile.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Apps manipulados disseminam malwares

mcafeeO McAfee Labs acaba de divulgar o Relatório sobre Ameaças da McAfee Labs: Junho de 2014, que revela as táticas das ameaças móveis, os cibercriminosos estão criando táticas para as ameaças móveis para se aproveitarem da popularidade, dos recursos e das vulnerabilidades de aplicativos e serviços legítimos, incluindo clones infestados de malware que se fazem passar pelo conhecido jogo para celular Flappy Birds, alertam os especialistas do McAfee Labs.

Em relatório de segurança, o laboratório alerta os desenvolvedores de aplicativos móveis para que sejam mais cuidadosos com a segurança de seus aplicativos e adverte os usuários a serem mais cautelosos ao concederem permissões, uma vez que criminosos podem tirar proveito disso e lucrarem com seus ataques. A manipulação de aplicativos e serviços móveis legítimos foi, de acordo com o estudo, determinante na expansão do malware móvel no início de 2014.

No estudo, o instituto informa a descoberta de que 79% das amostras dos clones do jogo Flappy Birds continham malware. Através desses clones, os criminosos conseguiam fazer chamadas sem a permissão do usuário, instalar aplicativos adicionais, extrair dados da lista de contatos, rastrear localizações e estabelecer acesso “root” para o total controle de tudo no dispositivo móvel, inclusive o registro e o envio e recebimento de mensagens SMS.

O McAfee Labs encontrou também exemplos notáveis de malware móvel que se aproveitam dos recursos de aplicativos e serviços confiáveis, dentre eles:

·Android/BadInst.A: esse aplicativo móvel malicioso corrompe a autorização e a autenticação da conta da app store para download, permite a instalação e início automáticos de outros aplicativos sem a permissão do usuário.

·Android/Waller.A: esse cavalo de Troia se aproveita de uma falha em um serviço legítimo de carteira digital para roubar o protocolo de transferência de dinheiro e transferir dinheiro para os servidores do invasor.

·Android/Balloonpopper.A: esse cavalo de Troia se aproveita de uma falha no método de criptografia do conhecido aplicativo de mensagens WhatsApp, permitindo que os invasores interceptem e compartilhem conversas e fotos sem a permissão do usuário.

“Tendemos a confiar nos nomes que encontramos na Internet e nos arriscamos mais do que desejamos. Os desenvolvedores têm que ser mais cuidadosos com os controles que inserem nesses aplicativos, e os usuários devem ser mais cautelosos com as permissões que concedem”, adverte Vincent Weafer, vice-presidente sênior do McAfee Labs.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Cibercriminosos usam Orkut para vender malware

cibercriminososEnquanto os usuários dão preferência às novas redes sociais como Facebook e Twitter, páginas mais antigas como a de fórums de discussão e o Orkut estão sendo usadas para o crime cibernético. Em sua apresentação no CIAB 2014, nesta quinta-feira, 05/06, Thiago Bordini, diretor de tecnologia e pesquisa da New Space Prevention, fez um importante alerta: diversas ferramentas que podem ser consideradas obsoletas no mundo cibernético, mas que seguem ativas, estão sendo usadas para o crime eletrônico.

De acordo com ele, os atacantes aproveitam estes mecanismos para trocar de informações sobre crime eletrônico e fraudes financeiras. Encontra-se até malware como serviço. “Hoje, se você não sabe programar, consegue comprar um malware pronto. E há malwares específicos para ATMs, que não são comercializados tão abertamente, mas em comunidades mais restritas.”

A criação de malware para roubar informação de caixas eletrônicos é uma tendência, na opinião de Bordini, porque houve uma melhora na defesa física dos ATMs, fazendo com que os criminosos buscassem outras técnicas que não fossem a explosão de caixas eletrônicos. A saída foi encontrar fragilidades no software das máquinas. Com isto, o golpe passou de atacar os ATMs para ejetar a gaveta de dinheiro para capturar os dados dos correntistas e as senhas para enviá-los a fraudadores.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Malware para Android se disfarça de Google Play

android_malwareNão são poucos os vírus para Android, mas alguns se destacam pelas táticas usadas para enganar os usuários. Um deles chamou a atenção da empresa de segurança FireEye, que descobriu um malware que se disfarçava como um ícone da Google Play Store logo na tela inicial do dispositivo.

Ao se instalar no aparelho, o aplicativo, que solicitava permissões de administrador, apresenta dois pop-ups: “Erro do Programa” e depois “Este foi deletado”. No entanto, a partir deste momento, o vírus se espalha pelo sistema com códigos criados para roubar mensagens SMS, certificados e senhas bancárias.

Embora a tática seja inteligente, é importante observar que o cibercriminoso não foi exatamente cuidadoso na hora de fazer isso. O aplicativo tem o nome de “Googl App Stoy”, o que deveria levantar desconfianças imediatamente. Por isso, vale ressaltar a necessidade de atenção sobre o que é instalado no seu celular, principalmente se a origem do app não é o Google Play.

A empresa diz que a partir do momento da instalação, o usuário não conseguiria mais removê-lo do celular, já que o malware continua operando como serviços de fundo. É até possível interromper suas funções, mas após a reinicialização do celular, tudo voltava ao estado inicial.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 487 outros seguidores