Malware para Android usa rede TOR de anonimato

Android_malware_TORMalware intercepta SMS e coleta dados, como o número de telefone, IMEI do aparelho e do país onde o dispositivo está localizado e solicita coordenadas do GPS.

A empresa de segurança Kaspersky Lab identificou um malware para Android que utiliza a rede de anonimato TOR, uma implementação vista antes somente no Windows.

O TOR, abreviação de The Onion Router, é um software que oferece aos usuários um grau maior de privacidade enquanto navegam na Internet pelo encaminhamento de tráfego criptografado entre um usuário e um site através de uma rede de servidores em todo o mundo. O TOR também pode ser utilizado para hospedar sites em uma rede oculta.

O malware para Android usa um site TOR como um servidor de comando e controle, escreveu Roman Unuchek, da Kaspersky. Esse tipo de servidor é usados para enviar instruções ao vírus.

Adicionar funções TOR para programas de malware de desktop não é algo novo. A recente descoberta mostra que crackers estão cada vez mais visando dispositivos móveis poderosos, e que muitas vezes possuem dados pessoais valiosos.

O malware pode interceptar SMSs e coletar outros dados, como o número de telefone de um usuário, IMEI do aparelho e do país onde o dispositivo está localizado e solicitar coordenadas do GPS.

Sites habilitados com o TOR, que incluem os como extinto mercado Silk Road, são indicados pelo “.onion” no final de sua URL. Sites TOR são difíceis de rastrear, porque a rede mascara o verdadeiro endereço IP do site, o que torna difícil saber qual empresa de hospedagem está fornecendo o suporte.

Unuchek escreveu que usar um site TOR como um servidor de comando e controle torna “impossível derrubá-lo”.

O malware, que a Kaspersky chamou de “Backdoor.AndroidOS.Torec.a”, usa um pacote de software, chamado Orbot desenvolvido pelo Projeto TOR, que habilita a rede anônima no Android.

O malware não tenta fingir ser o Orbot na tentativa de levar as pessoas a fazer o download dele, mas sim “simplesmente usa a funcionalidade” do cliente Orbot, escreveu Unuchek.

Adam Kujawa, chefe da equipe de inteligência de malware da Malwarebytes, escreveu no blog de sua empresa que o malware pode ser conhecido como “Slempo” e ser parte de uma botnet chamada “Stoned Cat”.

Alguns anúncios encontrados pela Malwarebytes mostram que o custo de alugar a botnet é de mil dólares e, em seguida, é cobrada uma taxa de assinatura mensal de 500 dólares, escreveu ele.

Usar a rede TOR pode tornar a comunicação do malware mais difícil de ser rastreada, mas também coloca uma tensão sobre um dispositivo móvel.

“Recomendamos atenção para qualquer aumento de uso de dados a partir do seu dispositivo móvel, o consumo excessivo de bateria (executando uma conexão TOR constante, sem dúvida, acaba com a bateria mais rapidamente do que de qualquer outra forma) e quaisquer outros tipos de comportamento estranho”, escreveu Kujawa.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Anúncios do You Tube espalhavam malware

vtPesquisadores da empresa de segurança Bromium descobriram um malware que utilizava a rede de anúncios do YouTube para se espalhar por computadores. O ataque se aproveitava de uma brecha em versões antigas do Java (PDF) para instalar nas máquinas afetadas uma versão de um Trojan bancário da família Caphaw, responsável por roubar dados de usuários.

De acordo com um post no blog da companhia, a infecção se dava quando o internauta clicava no thumbnail de outro vídeo. Enquanto o assistia na janela principal, era redirecionado no segundo plano para uma propaganda maliciosa mantida pelo Googleads. O malware, então, levava o usuário para outra página, que hospedava um “exploit kit” (um “kit de exploração” de brechas) usado para acessar os dados na máquina.

O vírus tentava se conectar a dois domínios diferentes, segundo a Bromium, sendo um deles criado recentemente e ambos de reputação bem negativa pela web. E pelas análises da companhia, a ameaça já chegou a infectar computadores, mostrando atividade nos últimos meses. Os especialistas encaminharam a descoberta para o Google, que removeu o anúncio problemático da rede do YouTube.

No entanto, vale lembrar que essa não é a primeira vez que uma “campanha publicitária” infecciosa atinge o site de vídeos – pesquisadores do laboratório Sophos, como mencionam os da Bromium, encontraram uma no ano passado, por exemplo. Ou seja, é visível que existe uma falha na segurança no YouTube, site com mais de um bilhão de visitantes mensais.

Para garantir o máximo possível de proteção nesses casos, o ideal é manter atualizados programas como Flash e Java – afinal, era uma brecha nesse último, corrigida no meio do passado, que permitia que o malware infectasse o computador. Ter um bom antivírus instalado e na última versão também é outra medida válida, já que boa parte deles identifica os vírus da família Caphaw. Por fim, os pesquisadores da Bromium ainda recomendam o uso de bloqueadores de anúncios, que evitariam problemas como esse.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Roteadores da Linksys sob risco de ataque de malware

Roteadores-LinksysUm malware, que se multiplica sozinho, foi encontrado em roteadores Linksys por pesquisadores de segurança do SANS Internet Storm Center (ISC), de acordo com publicação do site ARS Technica. O vírus, que ainda não recebeu um nome, afetou cerca de mil aparelhos apenas nos EUA, segundo o CTO do Sans, Johannes B. Ullrich. Mundialmente o número deve ser maior.

Roteadores Linksys afetados são apenas os desatualizados

Foram afetados os roteadores da linha “E” que estavam desatualizados, com versões do firmware anteriores ao 2.0.06. Entre eles, estão os aparelhos E1000 – que não tem disponível essa atualização, imune ao ataque –, E1200, E2400 e E2500.

A vulnerabilidade está na forma que o gadget recebe solicitações do “protocolo de administração de rede doméstica” (HNAP, em inglês). Essa porta de entrada do vírus existe por padrão nos roteadores, pois serve para que eles sejam administrados remotamente por empresas ou provedores de internet que cedem os gadgets aos clientes.

Por meio desta falha, o vírus consegue injetar um script malicioso que, além de infectar o roteador, faz com que ele comece a espalhar a praga. Ele também pode mudar o domínio do dispositivo para 8.8.8.8 ou 8.8.4.4 – DNS do Google. A intenção do criador desse golpe, que ainda não foi identificado, é criar um botnet – rede de aparelhos comandada por uma só pessoa –, segundo um operador de provedores ouvido pelo ARS Technica.

Até o momento não há informações sobre danos maiores causados por esse ataque. Para descobrir se o seu roteador Linksys foi afetado, basta checar a atividade de saída das portas 80 e 8080. No Brasil, elas normalmente ficam fechadas em conexões domésticas, o que impossibilitaria a entrada do malware.

Caso o roteador esteja infectado, a internet ficará muito lenta, pois o aparelho terá feito várias conexões para identificar outros roteadores vulneráveis. Isso também reduz a quantidade de dados de banda disponível para uso. O vírus não possui resistência e é removido reiniciando o aparelho, o que não impede que ele volte – para ficar protegido, ele tem que estar atualizado.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Malware usa Java para atacar Windows, Mac e Linux

malware_multiplatA empresa de segurança Kaspersky Lab detectou um novo vírus multiplataforma capaz de comprometer os sistemas operacionais Windows, Mac OS e até Linux por meio do Java. Os criminosos utilizaram a vulnerabilidade CVE-2013-2465 para transformar os computadores em “zumbis” e infectar usuários, que nem sabem da existência do malware.

Quando o computador é iniciado, o vírus é copiado para o diretório do usuário e executado na inicialização do sistema. O protocolo IRC bot controla o bot e usa o framework PircBot para implementar a comunicação.

Depois de instalado na inicialização do sistema, o malware relata o funcionamento do PC para seus criadores. Para assimilar os bots, um identificador exclusivo é gerado em cada máquina de usuário e o identificador é salvo no arquivo jsuid.dat, que dá acesso irrestrito ao sistema.

O malware é projetado para realizar ataques de negação de serviço (DDoS) por meio das máquinas dos usuários infectados. Informações adicionais sobre a ameaça podem ser encontradas neste link, em inglês.

A empresa de segurança recomenda manter a aplicação Java atualizada. Ao clicar aqui, o usuário sabe se a versão que está uitlizando é a mais recente.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Malware que captura dados dos toques na tela

touchFoi descoberto um jeito de invadir smartphones e tablets para observar os toques dados na tela e descobrir as senhas do usuário. O consultor de segurança Neal Hindocha, da Trustwase, construiu o conceito de um malware capaz de fazer isso e pretende apresentá-lo durante uma conferência sobre segurança em breve.

O software malicioso é capaz de monitorar coordenadas X e Y a cada toque ou deslizada de dedo, além de tirar capturas da tela. Assim, se o criminoso estiver acompanhando o aparelho e perceber que após um longo período de inatividade o usuário deu quatro toques, ele sabe que aquela é a senha de desbloqueio.

O interessante, disse Hindocha à Forbes, é que se combinar coordenadas com capturas de tela o criminoso consegue ter uma imagem clara dos números sendo digitados.

Segundo ele, não há dificuldades em se instalar o malware em aparelhos com iOS em jailbreak ou com Android em root. É possível passá-lo para um smartphone que rode o sistema do Google quando ele for plugado ao computador pelo cabo USB.

O foco de um ataque desse tipo dificilmente seria o usuário comum, pois o golpe demanda tempo e dedicação – seria contraproducente analisar coordenadas colhidas em massa. O método poderia ser usado contra alvos específicos.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 465 outros seguidores