Empresas de propaganda móvel espalham malware a usuários do Android

Como analista de malwares, Filip Chytry se depara com novas amostras de malware dia sim e dia não. Na verdade, ele encontra tantas novas amostras de malware que é difícil determinar quais delas serão realmente interessantes para o público em geral. Há algumas semanas, ele encontrou algo que imediatamente lhe chamou a atenção e que achou interessante compartilhar conosco.

MobilelinksAs três URLs acima são de sites que fornecem kits de monetização móvel, isto é, kits de propaganda que os desenvolvedores podem introduzir em seus aplicativos móveis. O objetivo dos desenvolvedores é conseguir o retorno pelas propagandas.

No entanto, se um usuário clicar em uma das propagandas fornecidas por um dos fornecedores acima, ele irá parar em um site malicioso.

O mais visitado dos três é o Espabit. De acordo com as estatísticas da Avast, sabe-se que os servidores do Espabit recebem cerca de 150.000 visitas diárias e quase 100% destas visitas vem de aparelhos móveis. Isto pode não parecer muito se comparado ao total de usuários Android em todo o mundo, mas mesmo assim é um número considerável. O Espabit está tentando se tornar um líder mundial em propaganda e o seu site pode parecer inocente, mas a primeira impressão engana.

espabitO subdomínio mais visitado do Espabit, com mais de 400.000 visitas nos últimos meses, encaminha os usuários para sites pornográficos através de propagandas mostradas nos seus aplicativos. O site mostra uma oferta para baixar aplicativos indecentes (sem trocadilhos…) que têm comportamento malicioso.

imageAcima está apenas um exemplo de um link malicioso. Há muitos outros hospedados no mesmo servidor. A maioria dos links leva à pornografia ou a falsos aplicativos que têm uma coisa em comum: todos roubam dinheiro dos usuários inocentes.

Como eles convencem as pessoas a baixar o aplicativo deles? Parecendo ser aplicativos oficiais da Google Play. Os aplicativos são desenhados para parecerem oficiais da loja Google Play, enganando as pessoas que confiam nesta fonte. Uma vez que o Android não permite, por padrão, que os usuários instalem aplicativos de fontes desconhecidas, os sites oferecem tutoriais em vários idiomas como inglês, espanhol, alemão e francês, explicando como configurar o Android para que os usuários possam instalar aplicativos de fontes desconhecidas, como estes aplicativos maliciosos que acabamos de ver.

image_1Agora vamos dar uma olhada mais a fundo no que estes aplicativos são capazes de fazer:

Todos os “diferentes” aplicativos oferecidos pelos três sites citados acima são essencialmente o mesmo, porque podem roubar informações pessoais e enviar SMS premium. De fato, conhecemos mais de 40 deles armazenados naqueles sites. A maioria dos aplicativos está armazenada em links diferentes e, novamente, oferecidos em várias línguas (para que todos possam “apreciar” os aplicativos). O objetivo por trás destes aplicativos é sempre o mesmo: roubar dinheiro.
Algumas das permissões solicitadas pelos aplicativos ao serem baixados…

permissionsAssim que você abre os aplicativos, você é perguntado se tem 18 anos ou mais (eles não apenas pensaram em oferecer o seu produto em vários idiomas, mas eles também tem a sua moralidade!).

sexyface

sexyface2Depois que você clica em “Sim”, ele pede para conectar o seu aparelho à internet. Uma vez conectado, o seu aparelho começa imediatamente a enviar SMS premium, cada um custando 0,25 dólares e enviados três vezes por semana. Isto é tudo o que o aplicativo faz! A quantidade roubada em uma semana não parece muito, mas parece seguir um propósito: as pessoas podem não notar que estão pagando 3 dólares a mais e tudo devido a um aplicativo instalado no mês passado. Não se apercebem que seu dinheiro está sendo roubado e não desinstalam o aplicativo que pode lhes custar 36 dólares por ano.

Este malware não é o único em termos da tecnologia que utiliza. Contudo, juntos, os três sites têm cerca de 185.000 visitas diárias, o que é muito considerando que há malware armazenado nos seus servidores. Nem todos são redirecionados para os malwares, mas aqueles que são, são enganados. Considerando que o subdomínio malicioso mais visitado tem cerca de 400 mil visitas no último trimestre, isto nos mostra o grande número de visitantes que está infectado. Isto significa também que estes fornecedores de propaganda estão ganhando muito dinheiro e não apenas pela propaganda que distribuem.

Ainda que muitas empresas de telefonia celular em todo mundo bloqueiem o envio de SMS premium, incluindo as principais empresas nos Estados Unidos, Brasil e Reino Unido, isto não pode ser considerado algo de pouca importância. Estes produtores de malware utilizam engenharia social para superar a segurança do Google e atingir usuários através de propagandas. Pense em quantos aplicativos você utiliza que mostram propaganda, e pense em todas as informações valiosas que você tem armazenadas nos seu telefone que podem ser mal utilizadas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Avast blog

Novo malware compromete Mac OSX de forma definitiva

mac_malwarePor anos, os sistemas operacionais da Apple eram considerados mais seguros que o Windows pelo fato de não serem o foco de ataques criminosos. Agora, entretanto, isso pode mudar de forma trágica. Uma falha descoberta em dispositivos Thunderbolt pode dar acesso praticamente total a computadores com OS X e comprometer por completo a segurança do usuário.

Essa falha foi encontrada por pesquisadores e, até agora, não há relatos de que tenha sido utilizada por criminosos para invadir computadores de usuários comuns. De qualquer forma, a mera existência dessa brecha já significa uma ameaça que pode se concretizar a qualquer momento.

Como funciona

De acordo com o ExtremeTech, a falha pode ser explorada através das memórias Option ROM que acompanham dispositivos Thunderbolt. Esses elementos são responsáveis por armazenar informações de funcionamento básico dessa conexão, como o firmware dos aparelhos. Essas Option ROM são conferidas pelos computadores da Apple sempre que um dispositivo do gênero é conectado ou quando o sistema é iniciado.

Essa conferência é necessária para que o OS X saiba da existência de periféricos instalados e inicie os procedimentos de comunicação com o componente de forma apropriada. Portanto, não é possível simplesmente pular esse passo.

Infecção

Quando ocorre durante o boot, a conferência de um periférico infectado com a ameaça desenvolvida pelos pesquisadores, chamada “Thunderstrike”, compromete a interface EFI/UEFI do computador e garante acesso praticamente irrestrito ao dispositivo. Dessa forma, criminosos poderiam criar suas próprias versões do Thunderstrike e direcioná-las para roubar senhas, vigiar atividades no dispositivo, conferir históricos de navegação, lidar com arquivos e muito mais.

A boa notícia é que, até o momento, não há uma forma de infectar os computadores sem forçar a conferência na hora do boot dos Macs, momento em que um aparelho Thunderbolt infectado precisa estar conectado para ocorrer a infecção. Além do mais, a Apple já está se mexendo para pelo menos fazer a sequência de boot recusar o carregamento de firmwares suspeitos.

Ainda assim, uma vez infectado, não há mais o que fazer para livrar o computador ou o aparelho Thunderbolt da ameaça mencionada. Não é possível também identificar computadores ou periféricos que possuem esse problema com as ferramenta disponíveis hoje.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Malwares com foco em macros do Office voltam a atacar

macrosOnda de ataques usa recurso para baixar pragas digitais e infectar sistemas.

‘Macros’ já foram alvo de diversos tipos de vírus durante década de 1990.

O blog do Centro de Proteção de Malware da Microsoft publicou um alerta nos últimos dias sobre uma onda de ataques usando arquivos do Office, em especial documentos do Word e planilhas do Excel. Esses arquivos, que deveriam ser inofensivos, conseguem baixar pragas digitais para o computador usando o recurso de “macro” do pacote de softwares. Eles são enviados como anexos, por e-mail, diretamente para as vítimas.

“Macros” são pequenos programas embutidos em arquivos do Office para realizar ou viabilizar funções e recursos, especialmente tarefas repetitivas. Durante a década de 1990, eles foram usados por diversos tipos de vírus para se espalhar de um computador a outro com o compartilhamento de documentos.

Por causa do risco, a Microsoft adotou restrições e impediu os “macros” de serem executados automaticamente. Com isso, o número de ataques que usam essa metodologia para infectar um sistema despencou. Segundo o blog, quase nenhum ataque do gênero é detectado.

No entanto, uma campanha iniciada por hackers na metade de dezembro elevou o número de detecções para quase 8 mil. A maioria dos e-mails contendo os arquivos foi enviada para usuários do Reino Unido e dos Estados Unidos, segundo a Microsoft.

O arquivo, quando aberto, alega que o documento foi editado em uma versão mais nova do Word e que os “macros” devem ser ativados para que o conteúdo possa ser visualizado. A informação é falsa e, caso o usuário siga as instruções, ele é infectado, de acordo com a explicação do especialista Alden Pornasdoro.

A recomendação é ter cuidado com arquivos que chegam por e-mail e solicitam o uso de “macros” para serem abertos.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Regin: o malware mais sofisticado da história continua ativo

reginApontado por várias empresas de segurança como um malware que cria uma backdoor, ou referido também como uma cyberattack platform (plataforma de ataque cibernético), o Regin é considerado a ferramenta de ataque virtual mais sofisticada da nossa história, com uma dimensão que até agora só existia em filmes de ficção científica. Perceba a forma como ele atua e mantenha-se cauteloso.

O Regin (que se lê Reagan, como o antigo presidente americano) é composto por diversos módulos, adaptáveis e customizados para diferentes alvos, como para ataques a um Banco, ou a uma Telecom onde, neste caso, consegue interceptar as comunicações GSM da rede de administração. Estes módulos funcionam como peças de um quebra-cabeças, com diferentes funções.

Além dos módulos de análise, existem também para diferentes camadas de comunicação, seja ao nível de transporte, como o TCP, UDP e até ICMP (vulgo Ping), quer ao nível da aplicação, como o envio de blocos codificados em cookies de HTTP.
O malware contém ainda módulos de User Interface (Key e Mouse Loggers) que podem passar da simples análise passiva para a interação ativa com o computador atacado.

Infelizmente, como se trata de uma solução modular, foi bastante difícil aos investigadores obterem provas, levando em conta que em 2012, ano em que começou a ser analisado, o Regin ainda não se encontrava ativo. A forma utilizada para infectar (Dropper) os computadores ainda não foi determinada, mas há indícios da utilização de bugs em aplicativos comerciais existentes e amplamente utilizados, como por exemplo o Yahoo Messenger e projetos open source.

regin_acaoUma das soluções que o Regin dispõe para se tornar invisível é estar criptografado com uma variante da cifra RC5, o que torna a pesquisa de padrões mais complexa. Portanto, na primeira e segunda fases, o malware tem que se descriptografar e preparar a sua instalação, utilizando pelo menos três locais conhecidos: o Registry (daí o nome in Registry -> Reg + in), nos atributos dos arquivos – NTFS Extended Atributes (EA) e em espaço não utilizado pelas partições do disco. São guardados em blocos codificados, que em conjunto criam um sistema de arquivos criptografado – “encrypted virtual file system”.

Existem evidências da versão 1.0 deste malware desde 2003 até 2011, quando foi retirado repentinamente de circulação, ativando um mecanismo de auto destruição. A obtenção de vestígios do Regin só foi possível em máquinas que entretanto deixaram de ter acesso à Internet e que, consequentemente, não receberam a ordem de término de funcionamento. A versão 2.0 começou a ser detectada apenas a partir de 2013 e continua ativa – APT (advanced persistent threat).
Ao contrário dos ataques do DarkHotel que se focavam nos CEOs, este malware foi detectado a nível mundial e em diferentes áreas de atividade.
O maior número de registos detectados foi na Rússia e na Arábia Saudita, sendo que não há conhecimento de registos nos Estados Unidos e no Reino Unido.

regin_mapPara uma análise mais aprofundada no processo aconselhamos a leitura de relatórios como este ou este.

Se desconfiar de que está a ser alvo de ataques ou se não confia na segurança da sua organização, contacte uma empresa especializada em segurança digital. É importante a realização de testes periódicos aos sistemas para avaliar a segurança dos seus ativos.

Se desconfiar de que está a ser alvo de ataques ou se não confia na segurança da sua organização, contacte uma empresa especializada em segurança digital. É importante a realização de testes periódicos aos sistemas para avaliar a segurança dos seus ativos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Falso app traz falso “The Interview” e infecta dispositivos Android

fake_interviewParece que a confusão em torno do filme “A Entrevista” ainda está longe de chegar ao fim.

Depois de todo o hype criado por causa da confusão com os hackers norte-coreanos, agora é a vez de oportunistas utilizarem a fama do filme para roubar dados pessoais.

Segundo a empresa de segurança McAfee, um certo app presente na Google Play Store promete baixar a película. Contudo, o que eles fazem na verdade é instalar um malware nos aparelhos.

O principal alvo dos bandidos é o roubo de dados pessoais, como números de cartão de crédito e informações bancárias. O roubo de dados ocorreu com mais intensidade na Coreia do Sul nos últimos dias, aproveitando a popularidade do filme.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Malware Zeus ataca novamente e usa nova estratégia

zeus_malwareNovos golpes que atacam usuários desavisados e instalam malwares por meio de phishing ou armadilhas em sites não param de surgir — e o PhishLabs descobriu uma forma atualizada de propagação por navegadores do Zeus, o perigoso vírus que cria redes-zumbis de computadores e sobrevive há anos nos confins da internet.

Explorando falhas em serviços como Adobe Reader, Flash, Java e Internet Explorer, o Zeus agora mostra no navegador uma janela de perigo que tenta fazer a pessoa entrar em pânico e clicar no único botão que vê pela frente. O aviso não é exatamente convincente, mas pode pegar aquele usuário novato ou com pouca familiaridade com a internet.

A janela em vermelho “Aviso sobre leitor de documentos do navegador online reportado” diz que foram detectadas “atividades fora do comum em seu navegador” e o Atual Leitor de Arquivos de Documentos Online (assim, com tudo começando por letra maiúscula) “foi bloqueado com base em suas preferências de segurança”. O falso serviço de proteção que tenta proteger um serviço que nem sequer existe diz que “é recomendável que você atualize a última versão disponível para restaurar as opções e visualizar Documentos”.

Um simpático botão de download e instalação é, na verdade, a porta de entrada para o arquivo executável Zbot. Por enquanto, parece que só a versão em inglês da mensagem foi identificada, mas fique de olho para você também não cair em golpes similares.

Agradecemos ao Paulo Sollo, colaborador e amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Smartphones Android novos que já vem com malware pré-instalado

android_malwareO malware é, sem dúvida, uma das maiores pragas “tecnológicas” do século. Além de ter a capacidade de “vigiar” o usuário, o malware pode até tornar o sistema inutilizável, obrigando o seu usuário a ter de trocar o mesmo.

Mas, normalmente, o malware nos equipamentos móveis só aparece depois do usuário ter comprado o aparelho e de “ingenuamente” o ter “instalado” no dispositivo. No entanto, circula na internet uma lista de equipamentos Android novos que já vêm com malware pré-carregado.

Chama-se DeathRing, e é um trojan criado por chineses que “usa o disfarce” de uma app de toques. No entanto, este malware tem a capacidade de acessar as mensagens SMSs e conteúdo WAP do dispositivo Android. Este malware é pré-carregado no diretório do sistema e as informações dão conta que, atualmente, não é possível eliminá-lo com nenhum software antimalware ou mesmo manualmente.

Entretanto, uma empresa de segurança na área da informática lançou já o alerta tenho identificado um conjunto de dispositivos que trazem este malware como “bónus”. Na lista, agora pública, constam os equipamentos:

  • Samsung GS4/Note II (modelos falsificados)
  • Vários da marca TECNO
  • Gionee Gpad G1
  • Gionee GN708W
  • Gionee GN800
  • Polytron Rocket S2350
  • Hi-Tech Amaze Tab
  • Karbonn TA-FONE A34/A37
  • Jiayu G4S – Galaxy S4 Clone
  • Haier H7
  • i9502 (sem registo de fabricante) + Samsung Clone

De acordo com a empresa de segurança, os países mais afetados atualmente afectados são o Vietnam, indonésia, Índia, Nigéria, Taiwan e China.

Opinião do seu micro seguro: aquele smartphone baratinho comprado no camelô da esquina poderá acabar lhe custando muito caro. Evite ao máximo adquirir itens falsificados ou imitações baratas, especialmente de produtos eletroeletrônicos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplaware e Lookout
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 527 outros seguidores