99% dos smartphones infectados com malware rodam o Android

android_malwareNão há dúvidas de que a marca de 1 bilhão de smartphones com Android vendidos em 2014 foi enorme para a Google. Porém, ser o sistema operacional com mais usuários também significa ser o mais visado por hackers e vírus. É isso que faz os aparelhos com Android representarem 99% dos smartphones infectados com vírus no mundo inteiro, de acordo com pesquisa da empresa de telecomunicações Alcatel-Lucent.

Também foi revelado que os criminosos buscam principalmente dados pessoais e informações financeiras guardados nos dispositivos móveis. Para o estudo, foram utilizadas informações coletadas pelas redes de telefonia celular.

A Alcatel-Lucent diz que 0,68% dos dispositivos móveis estão infectados com malware. Mesmo assim, essas taxas estão crescendo. Os 3 principais vírus são Adware.Uapush, Trojan.Ackposts e SMSTracker. Eles geralmente estão escondidos em aplicativos que parecem ser legítimos.

“O mais importante é o fato de que existe menos controle – você baixa os aplicativos de uma loja de terceiros e existe pouquíssimas verificações das assinaturas digitais”, diz Kevin McNamee, diretor dos Motive Security Labs, da Alcatel-Lucent.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline

Suspeita: descoberto malware pré-instalado no Xiaomi Mi4

xiaomi_mi4A compra de um smartphone Android não garante ao usuário que o sistema operacional instalado está livre de aplicativos maliciosos e que pretendem coletar informações sobre seus usuários.

São diversas as situações conhecidas, e com resultados nem sempre positivos. Recente notícia infroma que os dispositivos Xiaomi Mi 4 estão sendo comercializados com malware já pré-instalado.

A informação de que estes smartphones estavam sendo vendidos com um pouco mais de aplicativos do que seria esperado veio de uma empresa de segurança norte americana, a Bluebox, que analisou vários equipamentos deste modelo em busca de códigos maliciosos.

Os resultados dos testes efetuados não foram muito positivos para a Xiaomi, pois em diversos equipamentos foram encontradas provas de que existia malware, com vários graus de perigosidade.
Ao todo foram seis softwares diferentes os encontrados, como o Yt Service sendo o mais complicado de lidar por contornar algumas medidas de segurança que a Google colocou no seu sistema operacional.

Em particular o Yt Service consegue enganar o Android ao permitir que os seus servidores sejam vistos como os oficiais da Google e assim terem acesso privilegiado dentro do sistema operacional.
Os demais aplicativos, apesar de serem menos perigosos, levam os usuários perderem a confiança nos produtos dessa marca que está prestes a estrear no Brasil.

Depois de ter sido tornada pública a informação descoberta pela Bluebox nos Xiaomi Mi 4, a empresa chinesa apressou-se e veio a público desmentindo a notícia de que os seus equipamentos tivessem esse malware instalado.
Nas palavras do brasileiro Hugo Barra, responsável internacional da empresa, os modelos analisados podem não ser equipamentos produzidos diretamente pela Xiaomi e que estes devem ter tido as suas ROMs alteradas.

“We are certain the device that Bluebox tested is not using a standard MIUI ROM, as our factory ROM and OTA ROM builds are never rooted and we don’t pre-install services such as YT Service, PhoneGuardService, AppStats etc.

Bluebox could have purchased a phone that has been tampered with, as they bought it via a physical retailer in China.

Xiaomi does not sell phones via third-party retailers in China, only via our official online channels and selected carrier stores.”

Mesmo com este desmentido oficial da Xiaomi muitos usuários não deixaram de ficar preocupados com a possibilidade dos seus smartphones estarem infectados com malware e que este lhes vem obtendo acesso aos seus dados pessoais abrindo caminho para outros riscos.
A verdade é que o problema existe e a Bluebox detectou-o no Xiaomi Mi 4, mas é necessário confirmar se os aparelhos analisados eram originais ou cópias muito bem feitas dos mesmos. A dúvida, no entanto, permanece latente deixando todos os já usuários desse celular muito preocupados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Malware para Android simula desligamento enquanto espiona o usuário

poweroffhijackeA AVG descobriu um novo malware que ataca dispositivos Android que ganhou o nome de PowerOffHijack, devido ao seu comportamento no sistema. O “software maligno” faz parecer que seu smartphone (ou tablet) está desligado, mas na verdade ele fica “dominado” e pode até tirar fotos e fazer ligações.

O PowerOffHijack se ativa quando o usuário manda seu aparelho desligar. A animação padrão de desligamento até aparece, e a tela fica preta, mas o dispositivo continua ligado, executando operações sem o conhecimento do seu dono.

A AVG não entrou em detalhes de como a falha foi descoberta, mas como o malware precisa de uma permissão root para funcionar, o Venture Beat especula que provavelmente apenas aparelhos expostos a situações de risco podem ser infectados, como na instalação de apps estranhos de terceiros.

A recomendação da AVG para evitar o malware? Remover a bateria do seu dispositivo quando desligá-lo.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline

Windows Defender já elimina malware instalado em PCs da Lenovo

windows_defenderA Microsoft lançou uma atualização para o Windows Defender, antivírus nativo do Windows, especialmente com o objetivo de remover o adware Superfish, que veio instalado de fábrica em alguns notebooks da Lenovo. A praga injetava anúncios em sites de terceiros e instalava um certificado SSL auto-assinado, que poderia abrir brechas de segurança na máquina do usuário.

Além de desinstalar o Superfish, o Windows Defender restaura os certificados que o malware possa ter alterado. O Superfish instala um certificado SSL que passa a interferir em todos os sites HTTPS. Isso permitiria que a empresa responsável pelo adware interceptasse o tráfego e, como o certificado aparenta ser o mesmo para todas as máquinas, uma pessoa mal-intencionada poderia direcionar o usuário para uma página falsa de internet banking, por exemplo, sem que ninguém percebesse.

A Lenovo atrapalhadamente se pronunciou sobre o problema na quinta-feira (19). O comunicado oficial informava que a empresa “investigou cuidadosamente a tecnologia e não encontrou nenhuma evidência que fundamentasse as preocupações de segurança”. Depois, a fabricante chinesa removeu esse trecho e lançou uma ferramenta para remover o Superfish. De acordo com a Lenovo, o Superfish parou de ser distribuído nos PCs da empresa em janeiro.

Estes são os modelos de notebooks da Lenovo que tinham o Superfish:

  • G Series: G410, G510, G710, G40–70, G50–70, G40–30, G50–30, G40–45, G50–45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40–70, Y50–70
  • Z Series: Z40–75, Z50–75, Z40–70, Z50–70
  • S Series: S310, S410, S40–70, S415, S415Touch, S20–30, S20–30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2–8, MIIX2–10, MIIX2–11
  • YOGA Series: YOGA2Pro–13, YOGA2–13, YOGA2–11BTM, YOGA2–11HSW
  • E Series: E10–30

A empresa informou que a praga não foi pré-instalada em notebooks ThinkPad voltados para o mercado corporativo, nem nos desktops ou smartphones da empresa.

É bem fácil testar se você é afetado pelo Superfish: basta acessar esta página, de preferência com todos os navegadores que você tiver instalado no Windows. Na mesma página há instruções de como remover o malware, mas agora o processo é bem mais simples: atualize o Windows Defender e faça uma verificação completa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecnoblog

Descoberto super malware que infecta firmwares de HDs

HDs

‘Equation’ estaria ligado ao Stuxnet, diz Kaspersky Lab.
Organizações no Brasil também sofreram ataques.

A fabricante de antivírus russa Kaspersky Lab divulgou detalhes técnicos de uma série de ataques batizada pela empresa de “Equation”. Especialistas da companhia chamaram os códigos usados pelos ataques de “a Estrela da Morte da galáxia dos malwares”, em referência à arma da série “Guerra nas estrelas” capaz de destruir planetas.

As informações foram publicadas nesta segunda-feira (16), junto de uma palestra sobre os ataques apresentada no Security Analyst Summit (SAS), um evento promovido pela Kaspersky Lab que ocorre em Cancun, no México.
O Equation engloba uma série de programas de espionagem usados para roubar informações de instituições financeiras, governamentais e militares, além de atacar organizações de setores como comunicação, pesquisa nuclear, nanotecnologia e empresas de segurança envolvidas no desenvolvimento de criptografia.

Os códigos foram usados apenas contra alvos específicos de espionagem. Os países mais atacados são o Irã, a Rússia e o Paquistão, o Afeganistão, a Índia, a China, a Síria e Mali. No Brasil, uma organização do setor aeroespecial aeronáutica teria sido invadida pelos espiões. A Kaspersky Lab estima que há pelo menos 500 vítimas do Equation no mundo.

Um dos componentes das pragas do grupo, chamado de “nls_933w.dll”, é capaz de reprogramar o firmware de discos rígidos. O firmware é o software que controla a operação básica do disco, o que significa que o vírus infecta o próprio disco rígido, não apenas os dados nele armazenados. O firmware também controla sua própria memória, por isso o único meio garantido de remover o vírus é retirando e reprogramando fisicamente o chip do disco, o que nem sempre é possível sem danificar o hardware.
Ataques contra hardware são dificultados pelas diferenças entre fabricantes, mas isso não impediu os programadores do Equation. O “nls_933w.dll” consegue funcionar em equipamentos de mais de uma dúzia” de marcas, incluindo Seagate, Western Digital, Samsung, Toshiba, Maxtor e IBM. Apesar de a função estar presente, ela foi raramente usada, segundo a Kaspersky Lab.

Nos casos em que o disco rígido foi alterado, o vírus ganhou acesso a compartimentos de armazenamento “secretos” que não são removidos pela formatação, garantindo a permanência do código espião no sistema infectado.
Possível envolvimento dos Estados Unidos
A Kaspersky Lab não informou quem são os responsáveis pela Equation, mas revelou alguns deslizes cometidos pelos programadores dos códigos que dão pistas sobre a origem dos programas. Em um dos arquivos aparece a palavra “implante”, comum no vocabulário da Agência de Segurança Nacional dos Estados Unidos (NSA).

Outra palavra encontrada nos arquivos é “Grok”, que também aparece em documentos secretos da NSA publicados pelo jornal alemão “Der Spiegel”.
Em outro caso, uma das pragas ligadas ao Equation, chamada de “Fanny”, utilizava em 2008 uma brecha de segurança desconhecida que seria corrigida só com a descoberta do vírus Stuxnet, em 2010. Segundo documentos secretos e uma reportagem do “New York Times”, o Stuxnet foi desenvolvido pela NSA em colaboração com o serviço secreto de Israel.

Distribuição via interceptação de CDs
A Kaspersky Lab informou no alerta que uma praga digital do Equation foi distribuída em 2009 por meio de um CD-ROM de uma “prestigiosa conferência científica internacional” em Houston. A vítima, que não foi identificada, recebeu o CD da organização da conferência. O disco deveria conter fotos do evento, mas era capaz de infectar o computador imediatamente ao ser lido pelo sistema, usando três falhas de segurança – duas delas sem correção na época.
Além da interceptação de encomendas durante o transporte para infectar CDs, o Equation seria distribuído também por meio de pen drives USB e sites maliciosos.

O Equation pode estar ativo pelo menos desde 2001, mas endereços usados pelos espiões chegam a ser registros datados de 1996.
O nome do grupo significa “equação” em português. A Kaspersky Lab deu esse nome por conta da preferência do grupo por complexos esquemas de criptografia. Tecnologias de criptografia costumam de depender de equações matemáticas complicadas para que a chave da criptografia (o “X”) não possa ser descoberta.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Novo malware ataca de forma silenciosa

malware_alertSem ser notado, ameaça faz um reconhecimento do terreno e testa barreiras vulneráveis, tornando-se altamente perigoso para as empresas

O Websense Security Labs descobriu um novo malware que utiliza técnicas de evasão e baixa um programa para minerar um cryptocurrency. O malware, batizado de ‘f0xy’, consegue alterar seu comando e controle (C&C) de maneira dinâmica, além de baixar e executar arquivos arbitrários, segundo a empresa.

As táticas de evasão do f0xy incluem o VKontakte, rede social da Rússia, que utiliza o Background Intelligent Transfer Service para baixar arquivos.

“O malware emergente f0xy utiliza técnicas de evasão especialmente avançadas, além de astúcia e truques para esconder-se atrás dos ruídos de comunicações legítimas”, explica Carl Leonard, Principal Analista de Segurança da Websense. Ele completa dizendo que o malware age nos bastidores, faz um reconhecimento do terreno e testa barreiras vulneráveis, o que representa uma ameaça grave.

Os analistas da Websense acreditam que o autor do malware alterou e aprimorou o código para aumentar sua credibilidade e eficiência, chegando a uma versão que funciona na maioria dos sistemas operacionais. As primeiras versões do malware devem rodar apenas no Windows 6.0 (Vista) ou em versões mais recentes do sistema operacional. Porém, as versões seguintes do malware também devem rodar no anterior Windows XP.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ITForum 365

Site falso do “Reclame Aqui” tenta instalar malware

reclame_fakeA equipe do site Reclame Aqui descobriu nos últimos dias um domínio parecido que está usando o Google para confundir usuários e tentar instalar um malware em suas máquinas.

De acordo com o comunicado publicado no verdadeiro Reclame Aqui, o site falso investiu em um link patrocinado para aparecer em destaque em pesquisas realizadas no Google com os termos “Reclame Aqui”. Com o domínio http://www.reclameaqui.info, o site dos golpistas tenta instalar uma suposta atualização do Java na máquina de suas vítimas.

O malware uma vez instalado, faz o redirecionamento da vítima para o site verdadeiro, camuflando sua instalação.

O comunicado informa como se prevenir deste tipo de ataque, conhecido como phishing, usando “duas dicas muito importantes para os consumidores: o domínio verdadeiro do Reclame AQUI é http://www.reclameaqui.com.br; o Reclame AQUI não requer instalação de qualquer software para uso do site”.

Após o alerta, o site falso foi tirado do ar. O Reclame Aqui pede a ajuda dos usuários para diagnosticar e prevenir esse tipo de problema: “se você flagrar qualquer site fazendo mau uso dos serviços, denuncie. Você pode postar uma reclamação ou enviar e-mail para imprensa@reclameaqui.com.br”.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: CódigoFonte UOL
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 535 outros seguidores