Archivos de la categoría: Android

Apagá el Bluetooth – Vulnerabilidad crítica en el Bluetooth de Android

Categoría: Android Seguridad

Google ha lanzado recientemente una actualización que corrige una vulnerabilidad crítica en la implementación Bluetooth de Android. Identificada con el CVE-2020-0022, dicha vulnerabilidad afecta principalmente a dispositivos con las versiones Oreo (8.0 y 8.1) y Pie (9.0) del sistema operativo. La versión 10 no es explotable, pero sí susceptible a un ataque por denegación de servicio.

De acuerdo con la empresa de seguridad IT ERNW, quien ha reportado el problema a Google, tan solo es necesario estar en las proximidades de un dispositivo y conocer su dirección MAC Bluetooth para provocar una ejecución de código arbitrario en el mismo, sin necesidad de interacción alguna por parte del usuario.

La obtención de la dirección MAC Bluetooth del dispositivo que, por defecto, solo es visible a otros dispositivos desde la pantalla de configuración, en ocasiones se puede deducir a partir de la dirección MAC WiFi.

Esta vulnerabilidad puede provocar el robo de datos personales y, potencialmente, servir como pivote para infectar otros terminales cercanos, pudiendo provocar una infección en cadena.

Se recomienda instalar, a la mayor brevedad posible, la última revisión de seguridad publicada por cada fabricante. En caso de no estar disponible aún y, como medida de mitigación, se sugiere desconectar el Bluetooth o, en su defecto, desactivar la visibilidad del dispositivo.

Fuente
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
https://source.android.com/security/bulletin/2020-02-01.html

Bug en app de cámara de Android permite a otras apps usar la cámara sin permisos

Categoría: Android Seguridad

Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.

Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.

La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.

Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO

Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION

Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.

Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.

La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.

A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.

Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.

Más información:

Post Checkmarx
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

Fuente: Una al día

ADVERTENCIA: Malware encontrado en la aplicación de Android, CamScanner, con más de 100 millones de usuarios

Categoría: Android Malware

¡A tener cuidado! Los atacantes pueden secuestrar de forma remota su dispositivo Android y robar datos almacenados en él, si está utilizando CamScanner, una aplicación de creación de PDF de celulares muy popular con más de 100 millones de descargas en Google Play Store.

Entonces, para estar seguro, simplemente desinstale la aplicación CamScanner de su dispositivo Android ahora, ya que Google ya ha eliminado la aplicación de su Play Store oficial.

Desafortunadamente, CamScanner se ha vuelto deshonesto recientemente cuando los investigadores encontraron un módulo troyano oculto dentro de la aplicación que podría permitir a los atacantes remotos descargar e instalar secretamente programas maliciosos en los dispositivos Android de los usuarios sin su conocimiento.

Sin embargo, el módulo malicioso en realidad no reside en el código de la aplicación CamScanner para Android; en cambio, es parte de una biblioteca de publicidad de terceros que se introdujo recientemente en la aplicación de creación de PDF.

Descubierto por los investigadores de seguridad de Kaspersky, el problema salió a la luz después de que muchos usuarios de CamScanner detectaron un comportamiento sospechoso y publicaron críticas negativas en Google Play Store en los últimos meses, lo que indica la presencia de una función no deseada.

«Se puede suponer que la razón por la que se agregó este malware fue la asociación de los desarrolladores de la aplicación con un anunciante sin escrúpulos», dijeron los investigadores.

El análisis del módulo troyano Dropper malicioso reveló que el mismo componente también se observó anteriormente en algunas aplicaciones preinstaladas en teléfonos inteligentes chinos.

«El módulo extrae y ejecuta otro módulo malicioso de un archivo cifrado incluido en los recursos de la aplicación», advirtieron los investigadores.

«Como resultado, los propietarios del módulo pueden usar un dispositivo infectado para su beneficio de la manera que mejor les parezca, desde mostrar a la víctima publicidad intrusiva hasta robar dinero de su cuenta móvil mediante el cobro de suscripciones pagas».

Los investigadores de Kaspersky informaron sus hallazgos a Google, quien rápidamente eliminó la aplicación CamScanner de su Play Store, pero dicen que «parece que los desarrolladores de aplicaciones eliminaron el código malicioso con la última actualización de CamScanner».

A pesar de esto, los investigadores aconsejaron a los usuarios que solo tengan en cuenta «que las versiones de la aplicación varían para diferentes dispositivos, y algunas de ellas aún pueden contener código malicioso».

Aunque Google ha intensificado sus esfuerzos para eliminar aplicaciones potencialmente dañinas de Play Store en los últimos años y ha agregado controles de malware más estrictos para nuevas aplicaciones, las aplicaciones legítimas pueden volverse deshonestas durante la noche para apuntar a millones de sus usuarios.

«Lo que podemos aprender de esta historia es que cualquier aplicación, incluso una de una tienda oficial, incluso una con buena reputación e incluso una con millones de críticas positivas y una gran base de usuarios leales, puede convertirse en malware de la noche a la mañana».

Los investigadores concluyeron. Por lo tanto, se recomienda encarecidamente mantener siempre una buena aplicación antivirus en su dispositivo Android que pueda detectar y bloquear tales actividades maliciosas antes de que puedan infectar su dispositivo.

Además, siempre mire las revisiones de la aplicación dejadas por otros usuarios que la hayan descargado, y también verifique los permisos de la aplicación antes de instalar cualquier aplicación y otorgue solo los permisos que sean relevantes para el propósito de la aplicación.

Para obtener más detalles técnicos sobre el malware Trojan Dropper que se encuentra en CamScanner y una lista completa de sus indicadores de compromiso (IOC), incluidos los hash MD5 y sus dominios de servidor de comando y control, puede dirigirse al informe de Kaspersky.

¿Tienes algo que decir sobre este artículo? Comenta a continuación o compártelo en Facebook, o Twitter.

FaceApp, cuando una moda se torna peligrosa

Categoría: Android Facebook Redes Sociales Seguridad Whatsapp

Hemos estado analizando en detalle varias aplicaciones de belleza facial, filtros de imágenes, editores de vídeos y demás. En cuanto a la cantidad de aplicaciones que hay en playStore es interminable, ya que cientos de ellas se cargan diariamente y nos resulta imposible analizarlas una a una. Por este motivo cientos desarrolladores de Google analizan el código fuente de cada aplicación para confirmar si se trata de una aplicación confiable y segura. Pero a veces ciertos errores por parte de estos últimos pueden pasar por alto algunas aplicaciones maliciosas.

También puede pasar de que al principio una simple aplicación sea confiable y con el paso del tiempo se torne maliciosa, sea por intromisión de terceros en el desarrollo del código o por ventas de estas mismas a compañías de dudosa reputación.

Después de esta introducción el principal problema no es alarmar a nadie y que desinstale todas las aplicaciones que posee en su celular, pero lo que sí debe saber es que al darle diferentes permisos a estas mismas, no leer los acuerdos de privacidad y demás estamos dejando en manos de terceros nuestra privacidad y detalle de nuestro día a día. 

Esta aplicación puede acceder a:

Fotos/multimedia/archivos
 - modificar o borrar contenido de su almacenamiento USB
 - leer el contenido de su almacenamiento USB
Cámara
 - tomar imágenes y vídeos
Almacenamiento
 - modificar o borrar contenido de su almacenamiento USB
 - leer el contenido de su almacenamiento USB
Otro motivo
 - recibir datos desde Internet
 - full acceso a su red
 - evitar que el dispositivo se duerma
 - leer configuraciones de servicio de Google
 - ver conexiones de red 
Al instalar actualizaciones de FaceApp, es posible que se añadan automáticamente funciones adicionales en cada grupo. 

Esos permisos fueron tomados desde la App de FaceApp, en particular el último renglón es el que mas ruido nos hace al poder modificar permisos automáticamente en cada grupo. Partiendo de la base de que el grupo desarrollador de esta aplicación tiene ciertos antecedentes de brindar información a terceros es cuando mas duda nos genera.

Pero recordemos también que Facebook estuvo bajo investigación en el escándalo Cambridge Analytica. Entonces nos podemos preguntar si todo lo que nosotros tenemos en nuestros celulares personales (también tablets, y pcs) es seguro y confidencial. Lamentablemente la respuesta a esta pregunta es que no. Y es por eso que la seguridad informática se vuelve crucial a la hora de vivir en una época tecnológica.

Mi mayor recomendación es que lean los permisos que le pide cada aplicación, investiguemos antes de instalar cierta app, no descarguemos desde cualquier lugar las aplicaciones sino solo de las tiendas oficiales y estemos actualizados constantemente en lo que se refiere a tecnología.

Si usted necesita una opinión o consejo, no dude en consultarme. Si le gustó el artículo compartalo en sus redes sociales o con sus contactos.

Malware para android «Agente Smith» infectó 25 millones de dispositivos

Categoría: Android Malware Seguridad

Los investigadores de Check Point descubrieron recientemente una nueva variante de malware para Android, llamada Agent Smith, que ya ha infectado a aproximadamente 25 millones de dispositivos. El malware está disfrazado de una aplicación relacionada con Google y explota varias vulnerabilidades conocidas de Android para reemplazar las aplicaciones instaladas en el dispositivo de la víctima sin la interacción del usuario.

«Los investigadores de Check Point descubrieron recientemente una nueva variante de malware para dispositivos móviles que ha infectado silenciosamente a unos 25 millones de dispositivos, mientras que el usuario permanece completamente inconsciente», dice el análisis publicado por los expertos. «Disfrazada como una aplicación relacionada con Google, la parte central del malware explota varias vulnerabilidades conocidas de Android y reemplaza automáticamente las aplicaciones instaladas en el dispositivo con versiones maliciosas sin la interacción del usuario».

La mayoría de las víctimas se encuentran en India, Pakistán y Bangladesh, seguidas de Reino Unido, Australia y los Estados Unidos.

El malware Agente Smith se disfraza de aplicaciones de utilidad (es decir, edición de fotos), entretenimiento para adultos o juegos, y se propaga a través de tiendas de aplicaciones de terceros. El malware de Android aprovecha varias vulnerabilidades conocidas de Android, incluida la falla de Janus y la falla de Man-in-the-Disk para inyectar el código malicioso en los archivos APK de aplicaciones legítimas que están instaladas en un dispositivo comprometido. Luego, el código malintencionado los vuelve a instalar / actualiza automáticamente sin la interacción del usuario.

Los expertos creen que el malware fue desarrollado por una empresa con sede en China para monetizar sus esfuerzos sirviendo a publicidades maliciosas.

Los expertos describieron una cadena de ataques compuesta de tres etapas. En la primera etapa, los atacantes engañan a las víctimas para que descarguen una aplicación dropper de tiendas de aplicaciones de terceros, como 9Apps. La aplicación dropper verifica si alguna aplicación popular está instalada en el dispositivo y luego la apunta con el malware Agente Smith.

Una vez que el dropper se haya posicionado en el dispositivo de la víctima, descifrará automáticamente la carga maliciosa en un archivo APK que representa la parte central del ataque del «Agente Smith». El dropper explota varias vulnerabilidades conocidas para instalar malware central sin la interacción del usuario.

En la tercera etapa, el malware principal se dirige a las aplicaciones instaladas en el dispositivo que se incluyen en su lista de destino.

«El malware central extrae silenciosamente el archivo APK de una aplicación inocente dada, lo repara con módulos maliciosos adicionales y finalmente abusa de un conjunto adicional de vulnerabilidades del sistema para intercambiar silenciosamente la versión inocente por una maliciosa», continúa el informe.

«Al invertir una gran cantidad de recursos en el desarrollo de este malware, el actor detrás de Agente Smith no quiere una actualización real para eliminar todos los cambios realizados, por lo que aquí es donde entra en juego el módulo Patch»

«Con el único propósito de deshabilitar las actualizaciones automáticas para la aplicación infectada, este módulo observa el directorio de actualización de la aplicación original y elimina el archivo una vez que aparece».

Los investigadores explicaron que la estructura modular del malware facilita su uso para otros fines malintencionados, como el robo de información confidencial.

CheckPoint también encontró al menos 11 aplicaciones infectadas en Google Play Store que contienen un SDK malicioso pero inactivo asociado con los atacantes del «Agente Smith», un problema que sugiere que los actores de amenazas intentan infectar a los usuarios de Android a través de la tienda oficial. Según los informes, Google ha eliminado de Play Store todas las aplicaciones contaminadas.

Los expertos sugieren que los usuarios descarguen aplicaciones solo de las tiendas de aplicaciones de confianza y mantengan sus dispositivos actualizados porque el Agente Smith explota las fallas conocidas que se remontan a 2017.

Se recomienda a los desarrolladores que implementen el último APK Signature Scheme V2 para evitar el abuso de Janus.

Vulnerabilidad Crítica en Whatsapp

Categoría: Android iOS Seguridad Whatsapp

Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada

El fallo, que afecta tanto a usuarios de Android como de iOS, ya fue reparado en la última actualización que lanzó WhatsApp

WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización.

De acuerdo a la información revelada el lunes, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times.

Según explicaron algunos medios, la compañía sospecha que un bajo número de usuarios fue blanco de este ataque que busca instalar el spyware. Probablemente operado por actores con conocimientos avanzados dado que no se trata de una acción trivial.

Asimismo, luego de ser descubierto el fallo, en un período menor a los diez días la compañía desarrolló un parche que lanzó el pasado viernes con la última actualización. Por lo tanto, aquellos usuarios que cuenten con la última versión de la app no podrán ser víctimas de este exploit.

Son vulnerables a este fallo:

Las versiones para Android anteriores a la 2.19.134 y para iOS anteriores a la 2.19.51; las versiones de WhatsApp Business para Android anteriores a la 2.19.44 y de Business para iOS anteriores a la 2.19.51; así como las versiones para Windows Phone anteriores a la 2.18.348 y de WhatsApp para Tizen anteriores a la 2.18.15.

Acerca del spyware Pegasus

Pegasus fue desarrollado por el grupo israelí NSO como herramienta para uso gubernamental para la investigación contra el crimen y lucha contra el terrorismo. En este sentido, Pegasus permite acceder a una gran cantidad de información del dispositivo en el cual se encuentra instalado, como mensajes de texto, correo, mensajes de WhatsApp, información de los contactos, registro de llamadas, acceso al micrófono y a la cámara; todo esto sin que la víctima se dé cuenta.

Este spyware ocupó los titulares de varios medios internacionales en 2017 cuando el New York Times diera a conocer un estudio realizado por el laboratorio Citizen Lab ubicado en la Universidad de Toronto, que aseguraba que la aplicación espía fue utilizada desde el 2011 para fines para los cuales no fue diseñada. Asimismo, el año pasado en un nuevo informe divulgado por Citizen Lab se supo que los dispositivos infectados con Pegasus estaban presentes en 45 países siendo operados por 36 actores.

Por lo tanto, recomendamos a los usuarios que revisen si cuentan con la última actualización instalada y en caso de no ser así, que actualicen la app con la última versión.

Vulnerabilidad en el navegador por defecto de Xiaomi

Etiquetas:

Categoría: Android Seguridad

Se ha descubierto una vulnerabilidad en el navegador predeterminado de los dispositivos Android de Xiaomi que permite realizar ataques despoofing.

Una vulnerabilidad en el navegador predeterminado que incorpora la versión Android de los dispositivos Xiaomi permite realizar ataques de spoofing a las URLs visitadas a través del mismo, gracias a un fallo en la barra de navegación. 

Una vulnerabilidad de spoofing en la barra de navegación permite al atacante hacer creer al usuario que se encuentra en una página web que en realidad no es en la que está navegando. Esto que permite realizar, por ejemplo, ataques de phishing mucho más creíbles, pues no solo se copia el aspecto de la web, sino que utilizando la vulnerabilidad de spoofing el atacante puede engañar al usuario haciéndole creer que está visitando una URL legítima. 

De acuerdo a la información que se ha hecho pública, la vulnerabilidad se debe a que el navegador no procesa correctamente el parámetro q de las URLs, fallando al mostrar la parte de la URL que va delante de ?q=

De modo que, si la victima visita la URL de ejemplo: https://atacante.com/?q=www.bancolegitimo.com, la barra del navegador mostrará únicamentewww.bancolegitimo.com

Como sabemos, en los navegadores de dispositivos móviles, la barra de navegación es el elemento más fiable (y habitualmente el único) para comprobar de forma rápida si estamos navegando en el sitio legítimo o no, por lo que esta vulnerabilidad se convierte en un problema de seguridad realmente grave. 

Las versiones afectadas son: Xiaomi Mi browser 10.5.6-g (MIUI native browser) y Mint Browser 1.5.3. Ambas versiones son las últimas versiones disponibles en el momento en el que se escribe esta noticia.  Una aclaración importante es que solo se dá en celulares internacionales y no los distribuídos en China.

Más información:
Fuente: TheHackerNews
CVE: CVE-2019-10875
Twitter: Arif Khan

El antivirus preinstalado de Xiaomi y su vulnerabilidad

Etiquetas:

Categoría: Android Seguridad

Los celulares de Xiaomi no paran de crecer en ventas en todo el mundo gracias a su reducido precio. Sin embargo, lo que más echa atrás a la gente a la hora de comprar un celular de la compañía es MIUI, su capa de personalización sobre Android que, entre otras cosas, muestra publicidad a los usuarios. Ahora, una de las apps que viene preinstaladas en los móviles de Xiaomi cuenta con una grave vulnerabilidad.

Guard Provider, el antivirus de Xiaomi que cuenta con una grave vulnerabilidad

Esta vulnerabilidad ha sido descubierta por investigadores de Check Point, y, curiosamente, afecta a la aplicación Guard Provider (llamada Security, o Seguridad). Esta app, es la que se debe encargar de la seguridad del celular, protegiéndolo ante posibles ataques de malware. Sin embargo, en su código hay un fallo que permite realizar ataques de man-in-the-middle e inyectar código malicioso.

El principal problema está en que esa aplicación tiene acceso a Internet y lo usa para enviar y recibir información, la cual no se hace a través de HTTPS, por lo que los datos van en texto plano sin cifrar. Eso hace que un atacante que esté conectado a la misma red WiFi que nosotros pueda llevar a cabo un ataque man-in-the-middle e inyectar código malicioso en el dispositivo para robar contraseñas, instalar ransomware, robo de datos o introducir básicamente cualquier tipo de malware.

Un SDK de terceros, principal culpable de la vulnerabilidad

La culpa de esta vulnerabilidad la tiene un kit de desarrollo (SDK) de terceros utilizado en la app. Ese es el problema que pasa al utilizar librerías de terceros, ya que éstas pueden contener vulnerabilidades desconocidas incluso por los propios desarrolladores. De media, una aplicación cuenta en la actualidad con 18 SDK, y una vulnerabilidad en una de ellas pone en peligro a todas las demás, ya quecomparten permisos y contexto dentro de una unidad de ejecución en el sistema operativo.

Este uso excesivo de SDK puede ser positivo para los desarrolladores, que no tienen que preocuparse en desarrollar y testear algunas partes de la app, pero también puede generar inestabilidad, dando lugar a cuelgues, a que se inyecte malware, a que el dispositivo se vuelva lento, o a un consumo excesivo de batería en Android.

Nada más al descubrirla y documentarla, los investigadores comunicaron la vulnerabilidad a Xiaomi, que rápidamente se apresuraron a parchearla mediante el lanzamiento de una nueva versión. Esta aplicación viene preinstalada en todos los celulares de Xiaomi, que tiene un 8% de cuota en todo el mundo, por lo que hay millones de usuarios afectados. Por ello, es recomendable que se actualicen los celulares cuanto antes. Si tienes el celular rooteado, también puedes desinstalar la aplicación del celular.

Xiaomi ha comunicado que es consciente del fallo y que ya ha trabajado con Avast para solucionarlo. Al momento de la nota no podemos comprobar de que el patch este para descargar, pero le recomiendo ampliamente mantener siempre las aplicaciones actualizadas

El engaño del cambio de color del WhatsApp

Categoría: Android Seguridad Whatsapp

Está circulando un engaño para cambiar los colores de WhatsApp. Si los usuarios instalan la extensión para el cambio de colores, automáticamente enviarán un mensaje con la invitación toda su lista de chats activos

En estos días se han detectado varios casos sobre un mensaje que llega a través de WhatsApp invitando a cortar con la monotonía del verde tradicional de la aplicación y acceder a nuevos colores con tal solo hacer un clic. Esto es meramente un engaño.

Como ya es usual en este tipo de campañas, el link reacciona de manera diferente si se hace clic desde un teléfono celular o desde la aplicación WhatsApp web.

En el caso de acceder desde una computadora a través de WhatsApp web, se invita al usuario a instalar una extensión de Google Chrome, llamada Black Theme for Whatsapp, que permitirá cambiar la aplicación a un color más oscuro. Se observó también que el mensaje aparece en portugués, a diferencia del mensaje original en español, lo que puede ser una señal de que la campaña originalmente buscaba victimas en Brasil y solo se preocuparon por traducir algunos mensajes claves.

Esta extensión la podemos encontrar dentro del Chrome Web Store y presenta un número importante de descargas; lo cual nos da una idea de la magnitud de la campaña.

En el caso de que un usuario desprevenido instale la extensión y abra su sesión de WhatsApp web, automáticamente enviará un mensaje a toda su lista de chats activos invitando a cambiar los colores de la aplicación.

Dentro del complemento se encuentran mensajes en diferentes idiomas (1) para enviar, además de los diferentes componentes que integran el mensaje (2, 3 y 4) incluyendo la imagen (5), también para diferentes idiomas.

También son diferentes URLs (6) que pueden estar asociadas con el mensaje que se va construyendo de manera aleatoria (7) a medida que se envían los mensajes.

Inclusive si el usuario se percata de lo que está ocurriendo y cierra la ventana del navegador web, la acción no se detiene, ya que es el propio teléfono el que envía los mensajes.

Esta funcionalidad en particular demuestra las estrategias utilizadas por los atacantes para propagar de manera rápida y efectiva este tipo de campañas y así lograr un mayor alcance. Además, es la respuesta para muchos usuarios cuando nos preguntan como es posible que este mensaje llegue a todos sus contactos cuando nunca compartieron el mensaje de manera consciente.

Por otro lado, si se accede al enlace de manera convencional desde el celular, aparece un mensaje pidiéndole al usuario que comparta la aplicación con 30 amigos o 10 grupos antes de llegar a la posibilidad del tan prometido cambio de colores.

Igualmente, aunque no se comparta con los contactos y quisiéramos seguir adelante, la aplicación empieza a mostrar su verdadero fin y de manera simultanea solicita descargar una APK llamada best_video.apk y activar notificaciones desde un servidor ubicado en Rusia.

Si la potencial victima deja que ocurra toto lo anterior, el teléfono celular quedará infectado con una variante conocida como Android/Hiddad, una familia de troyanos que se había identificado propagando adware entre usuarios de Android.

Vale la pena resaltar que esta aplicación se instala en el dispositivo pero no deja ninguna evidencia de su instalación, ya que se oculta el icono y solamente se activa cuando el usuario empieza a navegar, mostrando banners publicitarios al usuario asociados a diferentes servicios legítimos de publicidad; pero para el usuario no es evidente que se están utilizando sus recursos para este tipo de acciones.

A la hora de cuidarse de este tipo de amenazas que utilizan estrategias de ingeniería social, que buscan tentar al usuario para que acceda a un enlace con una promesa atractiva de por medio, como es en este caso personalizar su WhatsApp, lo que siempre se debe recordar es la premisa de nunca acceder a enlaces que nos llegan por cualquier medio digital, inclusive cuando nos llegue a través de un contacto conocido. En estos casos lo primero que debemos hacer es verificar la veracidad del mismo, es decir, preguntarle a la persona que nos envía la invitación ─en este caso del cambio de colores de WhatsApp─ si efectivamente es algo que nos mandó conscientemente o si fue por haber sido víctima del engaño y está ayudando sin intención a su propagación.

Adicionalmente, contar con una solución de seguridad instalada en el teléfono que haga sonar las alarmas ante la presencia de enlaces o descargas de contenidos potencialmente maliciosos.

Simbad, el virus en mas de 200 ‘apps’ de Google Play

Categoría: Android

El Instituto Nacional de Ciberseguridad (Incibe) ha informado de que ha detectado más de 200 aplicaciones infectadas por un código malicioso apodado Simbad, que estuvieron disponibles en la tienda oficial Google Play. Este viernes se han hecho eco los Mossos desde Twitter.

Según precisa el centro tecnológico, la funcionalidad principal del ‘malware’ es mostrar publicidad y, aunque las aplicaciones ya han sido eliminadas de Google Play, los usuarios que instalaron alguna de ellas deberán borrarlas manualmente.

Se han visto afectados aquellos usuarios que tengan instaladas en su dispositivo, alguna de las aplicaciones de la siguiente tabla.

Desde Google ya se han tomado las acciones necesarias para eliminar las aplicaciones afectadas de Google Play, por lo que no existe riesgo de que se vean infectados nuevos usuarios.

Como una de las funcionalidades del código malicioso es la de eliminar el icono de las aplicaciones del lanzador, para que sea más difícil de eliminar, se aconseja acceder a Ajustes -Aplicaciones y revisar el listado completo de aplicaciones instaladas en el dispositivo para descartar que no se tenga instalada ninguna ‘app’ de las afectadas. 

Listado de Apps Infectadas

Nombre del PaqueteApp Name# Installs
com.heavy.excavator.simulator.driveandtransportSnow Heavy Excavator Simulator10,000,000
com.hoverboard.racing.speed.simulatorHoverboard Racing5,000,000
com.zg.real.tractor.farming.simulator.gameReal Tractor Farming Simulator5,000,000
com.ambulancerescue.driving.simulatorAmbulance Rescue Driving5,000,000
com.heavymountain.bus2018simulatorHeavy Mountain Bus Simulator 20185,000,000
com.firetruckemergency.driverFire Truck Emergency Driver5,000,000
com.farming.tractor.realharvest.simulatorFarming Tractor Real Harvest Simulator5,000,000
com.carparking.challenge.parksimulatorCar Parking Challenge5,000,000
com.speedboat.jetski.racing.simulatorSpeed Boat Jet Ski Racing5,000,000
com.watersurfing.carstunt.racing.simulatorWater Surfing Car Stunt5,000,000
com.offroad.woodtransport.truckdriverOffroad Wood Transport Truck Driver 20185,000,000
com.volumen.booster.equalizerVolumen booster & Equalizer5,000,000
com.ks.prado.Car.parking.race.drive.appsPrado Parking Adventure5,000,000
com.zg.offroad.Oil.tanker.transporter.truck.cargo.simulatorOil Tanker Transport Truck Driver5,000,000
com.monstertruck.demolitionMonster Truck Demolition1,000,000
com.hummerlimotaxi.simulator.drivingHummer taxi limo simulator1,000,000
com.excavator.wreckingball.demolition.simulatorExcavator Wrecking Ball Demolition Simulator1,000,000
com.offroad.gold.transport.truckOffroad Gold Transport Truck Driver 20181,000,000
com.sea.animals.trucktransport.simulatorSea Animals Truck Transport Simulator1,000,000
com.water.surfingrace.motorbike.stuntWater Surfing Motorbike Stunt1,000,000
com.policechase.thiefpersecutionPolice Chase1,000,000
com.police.plane.transporter.gamePolice Plane Transporter1,000,000
com.ambulance.driver.extreme.rescue.simulatorAmbulance Driver Extreme Rescue1,000,000
com.hovercraftracer.speedracing.boatHovercraft Racer1,000,000
com.cars.transport.truckdriver.simulatorCars Transport Truck Driver 20181,000,000
com.motorbike.pizza.delivery.drivesimulatorMotorbike Pizza Delivery1,000,000
com.heavy.excavator.stonecutter.simulatorHeavy Excavator – Stone Cutter Simulator1,000,000
com.bottle.shoot.archery.gameBottle shoot archery1,000,000
com.offroadbuggy.car.racingsimulatorOffroad buggy car racing1,000,000
com.garbagetruck.city.trash.cleaningsimulatorGarbage Truck – City trash cleaning simulator1,000,000
com.tanks.attack.simulator.war.attackTanks Attack1,000,000
com.dinosaurpark.trainrescueDinosaur Park – Train Rescue1,000,000
com.pirateshipboat.racing3d.simulatorPirate Ship Boat Racing 3D1,000,000
com.flyingtaxi.simulator.raceFlying taxi simulator1,000,000
com.jetpackinwater.racersimualtor.dangerJetpack Water1,000,000
com.boostervolumen.amplifiersoundandvolumenVolumen Booster1,000,000
com.farmgames.animal.farming.simulatorAnimal Farming Simulator1,000,000
com.monstertruck.racing.competition.simulatorMonster Truck1,000,000
com.simulator.offroadjeep.car.racingOffroad jeep car racing1,000,000
com.simulator.flyingcar.stunt.extremetracks.racingFlying Car Stunts On Extreme Tracks1,000,000
com.simulator.tractorfarming.drivingTractor Farming 20181,000,000
com.impossible.farming.transport.simulatorImpossible Farming Transport Simulator1,000,000
com.volumenbooster.equalizerboostVolumen Booster1,000,000
com.mustang.rally.championship.racingsimulatorMustang Rally Championship1,000,000
com.deleted.photo.recoveryDeleted Photo Recovery1,000,000
com.race.boat.speedySpeed Boat Racing1,000,000
com.cycle.bike.racing.gameSuper Cycle Jungle Rider1,000,000
com.write.name.live.wallpaper.hdMy name on Live Wallpaper1,000,000
com.maginal.unicorn.gameMagical Unicorn Dash1,000,000
com.grafton.cycle.jungle.rider.raceSuper Cycle Jungle Rider1,000,000
com.lovecallingapps.lovecaller.ScreenLove Caller Screen1,000,000
com.city.car.funny.racing.stunt.game.proRacing Car Stunts On Impossible Tracks1,000,000
com.citycar.funny.racinggame.stunt.simulatorRacing Car Stunts On Impossible Tracks 21,000,000
com.urban.Limo.taxi.simulation.gamesUrban Limo Taxi Simulator1,000,000
com.cg.heavy.tractor.simulator.gameTractor Farming Simulator1,000,000
com.campervan.drivingsimulator.caravanCamper Van Driving1,000,000
com.bootleshoot.sniperBottle Shoot Sniper 3D1,000,000
com.globalcoporation.fullscreenincomingcaller.appFull Screen Incoming Call1,000,000
com.mustache.beard.editorBeard mustache hairstyle changer Editor1,000,000
com.volumenbooster.increaservolumenVolumen Booster1,000,000
com.photoeditor.girlfriend.addgirlstophoto.picgirlfriend photo editor1,000,000
com.tracker.location.number.free.spyMobile Number Tracker & Locator1,000,000
com.garden.editor.appGarden Photo Editor1,000,000
com.fortunewheel.gameFortune Wheel1,000,000
com.farming.transport.tractor.simulatorFarming Transport Simulator 20181,000,000
com.offroad.tractor.transport.drivingsimulatorOffRoad Tractor Transport1,000,000
com.customwallpaper.mynameonlivewallpapermy name on live wallpaper1,000,000
com.flying.ambulance.emergency.rescue.simulatorFlying Ambulance Emergency Rescue500,000
com.mustang.driving.car.raceMustang Driving Car Race500,000
com.waterpark.carracing.simulatorWaterpark Car Racing500,000
com.impossibletrucks.extremetrucks.simulatorImpossible Tracks – Extreme Trucks500,000
com.extreme.flying.motorbike.stuntsimulatorFlying Motorbike Stunts500,000
com.emergency.firetruck.rescue.drivingsimulatorFire Truck Emergency Rescue – Driving Simulator500,000
com.snowplow.simulator.heavysnow.excavatorHeavy Snow Excavator Snowplow Simulator500,000
com.waterskiing.simulator.gamesWater Skiing500,000
com.photomaker.editor.women.makeupandhairstyleWomen Make Up and Hairstyle Photo Maker500,000
com.fortune.mountainMountain Bus Simulator500,000
com.vanpizza.truckdelivery.simulatorVan Pizza500,000
com.truck.simulator.transportandparkingTruck Transport and Parking Simulator500,000
com.hoverboard.racing.spider.attacksimulatorHoverboard Racing Spider Attack500,000
com.moto.sport.championship.racingsimulatorMotorsport Race Championship500,000
com.demolitionderby.simulatorDemolition Derby500,000
com.lovecaller.free.loveringtonesLove Caller with love ringtones500,000
com.house.transport.truck.movingvan.simulatorHouse Transport Truck – Moving Van Simulator500,000
com.heavy.excavator.simulator.stonedrillerHeavy Excavator Stone Driller Simulator500,000
com.cycle.downhill.gameSuper Cycle Downhill Rider500,000
com.extreme.rallychampionship.raceExtreme Rally Championship500,000
com.missileattack.army.truckMissile Attack Army Truck500,000
com.mobile.caller.location.tracker.freecallCaller Location & Mobile Location Tracker500,000
com.mobilenumberlocator.trackerMobile number locator500,000
com.mynameonlivewallpaper.animated.hdMy name on Live Wallpaper500,000
com.spk.coach.offroad.School.bus.mountain.freeCity Metro Bus Pk Driver Simulator 2017500,000
com.fullscreen.incomingcaller.appFull Screen Incoming Call500,000
com.allsuit.man.casualshirt.photo.editorMan Casual Shirt Photo Suit500,000
com.americanmuscle.car.raceAmerican muscle car race500,000
com.offroad.nuclearwastetransport.truckdriverOffroad Nuclear Waste Transport – Truck Driver500,000
com.madcars.fury.racing.driving.simulatorMad Cars Fury Racing100,000
com.high.wheeler.speed.race.championshipHigh Wheeler Speed Race100,000
com.colorbynumber.number.coloring.paint.gameNumber Coloring100,000
com.campervan.race.driving.simulator.gameCamper Van Race Driving Simulator 2018100,000
com.unicornfloat.speedrace.simulatorUnicorn Float – Speed Race100,000
com.dualscreenbrowserDual Screen Browser100,000
com.harvest.timber.simulatorandtransportHarvest Timber Simulator100,000
com.racingsimulator.hot.micro.racersHot Micro Racers100,000
com.lara.unicorn.dash.magical.raider.raceLara Unicorn Dash100,000
com.wingsuit.simulator.extremeWingsuit Simulator100,000
com.foodtruck.driving.simulatorFood Truck Driving Simulator100,000
com.dograce.competitionDog Race Simulator100,000
com.suvcar.parking.simulator.gameSUV car – parking simulator100,000
com.clap.phonefinder.locatorPhone Finder100,000
com.phonenumerlocator.findphonenumbersPhone number locator100,000
com.whatsapplock.gallerylock.ninexsoftech.lockGallery Lock100,000
com.secret.screenrecorder.screenshotrecordSecret screen recorder100,000
com.facebeauty.makeupFace Beauty Makeup100,000
com.write.your.christmas.letter.santa.threewisemenChristmas letters to santa and three wise man100,000
com.deletedfiles.photo.audio.video.recoveryDeleted Files recovery100,000
com.screndualbrowserdouble.app.androidDual Screen Browser100,000
com.crack.mobile.screen.prankBroken Screen – Cracked Screen100,000
photoeditor.Garden.photoframeGarden Photo Editor100,000
com.modiphotoframe.editorModi Photo Frame 2100,000
com.callerscreen.lovecallerLove Caller Screen100,000
com.antitheftalarm.fullbatteryalarm.soundAnti Theft & Full Battery Alarm100,000
com.lovecaller.screen.customLove Caller Screen 2100,000
com.sms.message.voice.readingVoice reading for SMS. Whatsapp & text sms100,000
com.photo.text.editor.nameonpicName on Pic-Name art100,000
com.mtsfreegames.SpeedboatracingSpeed Boat Racing100,000
com.simulator.traindrivingTrain Driving Simulator100,000
com.grafton.Cycle.jungle.riderSuper Cycle Rider100,000
com.gl.racinghorse.competitionRacing Horse Championship 3D100,000
moveapptosd.tosdcard.freeappMove App To SD Card 2016100,000
com.avatarmaker.poptoy.creatorPop Toy Creator100,000
com.myphoto.live.wallpaper.editorPhoto Live Wallpaper50,000
com.messenger2.play.game.UnicorndashkMagical Unicorn Dash50,000
com.truck.wheelofdeathTruck Wheel of Death50,000
com.livetranslator.translateinliveLive Translator50,000
com.volumecontrol.widget.volumeboosterVolume Control Widget50,000
com.worldcup2018football.shirt.maker.photoeditorWorld cup 2018 football shirt maker50,000
com.girlfriendphotoeditor.girlsinyourphotoGirlfriend Photo Editor 250,000
com.myphoto.on.musicplayer.freeMy Photo on Music Player50,000
com.taxidriving.simulatorgame.racetaxi50,000
com.garden.photoeditor.photoframeGarden Photo Editor50,000
com.fortunewheel.deluxeFortune Wheel Deluxe50,000
com.motorcycle.extremeracing.simulatorExtreme Motorcycle Racer50,000
com.offroad.snow.bike.christmas.racingOffroad Snow Bike – Christmas Racing50,000
com.Droidhermes.bottleninjaBottle Shoot50,000
com.Hadiikhiya.photochangebackgroundPhoto Background Changer 201750,000
com.offroad.christmas.treetransport.truck.driversimulatorOffroad Christmas Tree Transport50,000
com.tank.transport.armytruck.simulatorTank Transport Army Truck50,000
com.flagteams.facepaint.editor.world2018cupFlag face paint: World Cup 201810,000
com.russianworld2018cup.livewallpaper.flagsteamWorld Cup 2018 Teams Flags Live Wallpaper10,000
com.editor.selfie.camera.photoSelfie Camera10,000
com.desirepk.Offroad.transport.simulator.appsMissile Attack Army Truck10,000
massimo.Vidlan.maxplayerMax Player10,000
com.flashalerts.callandsmsFlash Alert – Flash on Call10,000
com.photovideo.maker.withmusicPhoto Video Maker with Music10,000
com.braingames.iqtest.skillsBrain Games & IQ Test10,000
com.mix.audio.and.videoAudio Video Mixer10,000
com.poptoy.creator.edityourpoptoyPop Toy Creator 210,000
com.flashalert.callandsmsFlash on Call and SMS10,000
com.photoframe.of.heartHeart Photo Frames10,000
com.shayari.hindi.status.photo.textShayari 201710,000
com.happy.photo.birthday.cakePhoto on Birthday Cake10,000
com.photoeditor.nature.photoframesNature Photo Frames10,000
com.photoframe.calendar2018editorCalendar 2018 Photo Frame10,000
com.christmas.truck.transportsimulator.gameChristmas Truck Transport Simulator10,000
com.christmas.vandrive.modern.santaModern Santa – Christmas van drive10,000
com.anbrothers.voicechanger.appChange your voice10,000
com.monsters.vs.water.duelMoster vs Water10,000
com.flowers.editor.photo.frameEDIT Flowers Photo Frames10,000
videoeditor.musicvideo.Phototovideomaker.videoeditorPhoto Video Maker with Music10,000
com.racing.games.toiletpaper.raceToilet Paper Race10,000
com.Zv.puppiesdog.racegameDog Crazy Race Simulator10,000
com.luxury.photo.frame.photo.editorLuxury Photo Frame10,000
com.bike.wheelofdeathBike Wheel of Death10,000
com.qbesoft.worldfamousphotoframes.appWorld Famous Photo Frames10,000
com.heavysnowexcavator.christmas.rescueHeavy Snow Excavator Christmas Rescue10,000
com.syor.deleted.photo.recovery.video.restoreDeleted Files Recovery10,000
com.footballanalyzer.resultsandstatsFootball Results & Stats Analyzer5,000
com.photoframe.cube3d.live.wallpaper.hd3D Photo Frame Cube Live Wallpaper5,000
com.photoframe.geenhillGreen Hill PhotoFrame5,000
com.christmas.magnetic.magicboard.drawandwriteChristmas Magic Board5,000
com.animalspart.photo.editorAnimal Parts Photo Editor5,000
com.camera.blur.photoeffectsDSLR Camera Blur5,000
com.quick.photo.frame.carphotoframeCar Photo Frame5,000
com.game.handsslap.manitascalientes.redhandsHands Slap Game5,000
com.maa.durga.live.wallpaper4D Maa Durga Live Wallpaper5,000
com.photomontage.men.sweatshirt.editorMen Sweatshirt Photo Editor1,000
com.wordsgame.connectlettersConnect Letters. Words Game1,000
lanas.recover.deleted.pictures.photosRecover Deleted Pictures1,000
com.customized.radio.alarm.clockCustom Radio Alarm Clock1,000
com.antispamcalls.blockspamcallerAnti-spam Calls1,000
com.compatibilitytest.friends.couplesCompatibility Test1,000
com.dualscreen.android.app.doubleDual Screen Browser1,000
com.magic.glow.livewallpaper.animatedwallpaperMagic Glow Live Wallpaper1,000
com.game.virtualpet.porgyPorgy Virtual Pet1,000
com.explosiongame.taptheballTap the Ball1,000
com.analog.digital.clock.live.wallpaperClock Live Wallpaper1,000
com.royalestas.informationRoyale Stats1,000
com.editor.firetext.photo.frameFire text photo frame1,000
editor.card.greetings.christmas.com.christmasgreetingscardChristmas greetings card1,000
com.bestappsco.bestapplock.freeBest App Lock1,000
com.DJ.photoframe.editorDJ Photo Frames1,000
com.autocall.redial.automatic.recallAuto Call redial500
com.picquiz.guess.picture.gameGuess the picture500
com.professionalrecorder.audio.call.recordProfesionalRecorder500

Para un análisis del código fuente de las distintas aplicaciones le recomiendo seguir el link de la fuente, listado abajo.

Fuente: https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/

Páginas

© Copyright 2020. Todos los derechos reservados Funciona con