Identifican 29 troyanos bancarios que simulaban ser apps de Android

Categorías relacionadas:
Amenazas, Aplicaciones, Aplicaciones, Aplicaciones, Cómo hacerlo, CSO, Del día, Destacado, Identidad y Accesos, Lo más reciente, Malware y Amenazas, Movilidad, Movilidad, Movilidad, Seguridad, Seguridad, Seguridad, Tienda de aplicaciones

Troyano-Android

Un conjunto de 29 troyanos bancarios que fueron descubiertos por la empresa de seguridad informática ESET en la tienda oficial de Android entre agosto y principios de octubre de 2018. Éstos simulaban ser complementos para el dispositivo y limpiadores, administradores de batería y hasta aplicaciones de horóscopos.

Leer más...



Detectan a Loapi, un nuevo troyano multifunción que ataca a los móviles

Categorías relacionadas:
Destacado, Movilidad, Movilidad, Seguridad, Seguridad, Tendencias

Los investigadores de Kaspersky Lab han identificado un nuevo e interesante malware con varios módulos, el cual permite un número casi infinito de funciones maliciosas, desde la minería de criptomonedas (su generación) hasta ataques DDoS. Debido a su arquitectura modular, puede realizar funciones prácticamente ilimitadas en un dispositivo que ha sido comprometido.

Leer más...



Troyano Switcher utiliza dispositivos Android para atacar ruteadores Wi-Fi

Categorías relacionadas:
Amenazas, CSO, Destacado, Lo más reciente, Lo más reciente, Malware y Amenazas, Movilidad, Reportes e investigaciones, Seguridad, Seguridad, Sistemas operativos, Tecnologías, Tendencias, Tendencias

android-seguridad

Kaspersky Lab descubrió una evolución notable en el malware que ataca al sistema operativo Android  al que ha llamado como el troyano Switcher. Este troyano utiliza a los usuarios de dispositivos Android desprevenidos como herramientas para comprometer los ruteadores de las redes Wi-Fi, cambiar la configuración DNS de los mismos y redirigir el tráfico de todos los dispositivos conectados a la red hacia sitios web controlados por los atacantes; dejando así a los usuarios vulnerables a ataques de phishing, malware y adware. Los atacantes afirman haber infiltrado hasta ahora 1,280 ruteadores inalámbricos con éxito, principalmente en China.

Los servidores de nombres de dominio convierten una dirección web legible como ‘x.com’ en la dirección numérica IP que se requiere para las comunicaciones entre computadoras. La habilidad del troyano Switcher para secuestrar este proceso, da a los atacantes un control casi completo sobre la actividad de la red que utiliza el sistema de resolución de nombres, como es el tráfico de Internet. El método de este ataque funciona porque los ruteadores inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios Web maliciosos sin  consentimiento alguno.

La infección es propagada por usuarios que descargan una de las dos versiones del troyano Android desde un sitio web creado por los atacantes. La primera versión viene disfrazada como un cliente Android del motor de búsqueda chino Baidu, y la otra es una versión falsa bien hecha de una popular aplicación china para compartir información sobre redes Wi-Fi: Wi-Fi 万能 钥匙.

Cuando un dispositivo infectado se conecta a una red inalámbrica, el troyano ataca el router y  abre la interfaz de administración web intentando  acertar la contraseña, basándose en una larga lista predefinida de combinaciones de contraseñas y de nombres de usuarios. Si el intento tiene éxito, el troyano suplanta la configuración de los servidores DNS existentes por una dirección maliciosa, controlada por los cibercriminales y también un DNS secundario legítimo, para garantizar que se mantenga la estabilidad en caso de que el DNS malicioso deje de funcionar.

Para ilustrar, lo que normalmente sucede es esto:

imagen-kaspersky1

Después de un ataque de Switcher exitoso, esto es lo que pasa:

imagen-kaspersky2

 

Los atacantes han construido un sitio web para promover y distribuir la aplicación Wi-Fi troyanizada a los usuarios. El servidor web que hospeda este sitio funciona también como un centro de comando y control (C&C, por sus siglas en inglés) de los autores del programa malicioso. Las estadísticas internas sobre las infecciones producidas que aparecen en una parte abierta de este sitio web, revelan lo que afirman los atacantes: han comprometido 1,280 ruteadores Wi-Fi, potencialmente exponiendo a todos los dispositivos conectados a ellos a nuevos ataques e infecciones.

Kaspersky recomendó que todos los usuarios comprueben su configuración DNS en los ruteadores Wi-Fi y busquen los siguientes servidores DNS maliciosos:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Si usted tiene uno de estos servidores en su configuración DNS, póngase en contacto con la asistencia técnica de su proveedor de Internet o avísele al propietario de la red Wi-Fi. Esta firma también recomendó a los usuarios cambiar el nombre y contraseña predeterminados de la interfaz web del administrador de su ruteador para evitar tales ataques en el futuro, además de actualizar el firmware de su dispositivo.

 

Leer más...



Malware afecta a Android por vulnerabilidad en el navegador

Categorías relacionadas:
Aplicaciones, Cómo hacerlo, Del día, Destacado, Estrategias, Lo más reciente, Lo más reciente, Malware y Amenazas, Movilidad, Movilidad, Movilidad, Productividad, Seguridad, Sistemas operativos, Smartphones, Software empresarial, Tendencias, Tendencias, Tienda de aplicaciones

android-seguridad

logo-15-años-CIO-Mexico-215x173La firma de ciberseguridad, Kaspersky Lab descubrieron recientemente una modificación del Troyano de banca móvil Svpeng, escondido en la red de publicidad AdSense de Google. Desde mediados de julio, Svpeng se ha detectado en los dispositivos Android de alrededor de 318,000 usuarios, con una tasa de infección que alcanza a 37,000 víctimas en un día, el ataque se ejecuta en la versión móvil del navegador Chrome

El primer caso conocido de un ataque de Svpeng, que utilizó el error en Chrome para Android, se produjo a mediados de julio en una cadena rusa de noticias en línea. Durante el ataque, el Troyano se descargaba sigilosamente en los dispositivos Android de los visitantes del sitio web.

Al desenmarañar el proceso de ataque, los investigadores de Kaspersky Lab descubrieron que la campaña comenzó con un anuncio infectado que se había colocado en Google AdSense. El anuncio se mostraba de manera “habitual” en páginas web no infectadas, donde el Troyano se descargaba solo cuando el usuario accedía a la página mediante el navegador Chrome en un dispositivo Android.

Al parecer, los atacantes encontraron la manera de evitar algunas de las características clave de seguridad de Google Chrome para Android. Normalmente, cuando un archivo APK se descarga en un dispositivo móvil a través de un enlace web externo, el navegador muestra una advertencia de que se está descargando un objeto potencialmente peligroso. En este caso, los estafadores encontraron una falla de seguridad que permitía a los archivos APK descargarse sin notificar a los usuarios. Al descubrir el error, Kaspersky Lab informó de inmediato el problema a Google. El parche se publicará en la siguiente actualización de Google Chrome para Android.

“El caso Svpeng confirma, una vez más, la importancia de la cooperación entre compañías. Compartimos el objetivo común de proteger a los usuarios contra ataques cibernéticos, y es vital que trabajemos juntos para lograr este objetivo. Estamos encantados de ayudar a hacer más seguro el ecosistema Android, y nos gustaría dar las gracias a Google por su pronta respuesta a nuestro informe”, señaló Nikita Buchka, analista de malware de Kaspersky Lab.

Kaspersky Lab recomienda a los clientes que actualicen el navegador Chrome para Android a la versión más reciente, que instalen una solución de seguridad eficaz y que estén al tanto de las herramientas y técnicas utilizadas por los autores de malware que intentan engañar a los usuarios para instalar software malicioso y aceptar derechos de dispositivo de amplio alcance.

El Troyano de banca móvil Svpeng está diseñado para robar información de su tarjeta bancaria. También recopila el historial de llamadas, mensajes de texto y multimedia, favoritos del navegador, así como contactos. Svpeng ataca principalmente a los países de habla rusa, sin embargo, tiene el potencial de propagarse a nivel mundial. Debido a la naturaleza específica de la distribución de malware, millones de páginas web en todo el mundo están en riesgo, ya que muchas de ellas utilizan AdSense para mostrar anuncios.

Leer más...



Nuevo malware de fuerte incidencia en México

Categorías relacionadas:
Amenazas, CSO, Del día, Lo más reciente, Lo más reciente, Seguridad, Seguridad

ESET detectó una nueva amenaza que forma parte de una campaña de propagación de malware en Latinoamérica con fuerte incidencia en México.

En esta ocasión la propagación se da a través de un correo que llega a la bandeja de entrada del usuario conteniendo en el adjunto un documento malicioso de Word que dice proceder de una reconocida entidad bancaria mexicana. Si el usuario cae en el engaño y abre dicho documento bajo el nombre “Retiro-Compra.doc”, verá un aviso que dice que el documento no puede ser mostrado y que para poder hacerlo, debe habilitar los Macros de Microsoft Word. Sin embargo, al realizar esta acción la víctima verá un nuevo mensaje de error y tampoco podrá acceder al supuesto archivo.

De este modo, el equipo del usuario se podría ver afectado por un código malicioso, detectado por ESET comoVBA/TrojanDownloader.Agent.TI. Este troyano, se oculta dentro del sistema e informa al atacante de las acciones que realiza el usuario, enviando información sensible como por ejemplo, usuario y contraseña de la banca en línea de la víctima.

Según las estadísticas de ESET Live Grid, las detecciones VBA/TrojanDownloader.Agent.TI predominaron en México, con el 50% de las detecciones a nivel mundial. Entre los otros países de Latinoamérica que componen el Top 15 podemos encontrar a Argentina 4%, El Salvador, Chile y Perú cada uno con el 1% de las detecciones.

El uso de documentos maliciosos de Word, con macros que descargan diferentes variantes de malware a la computadora de sus víctimas, es una tendencia que creció fuertemente en los últimos años. Por medio de esta técnica los cibercriminales logran engañar a los usuarios y convertirlos en parte de una botnet.

Es importante recordar que el uso de una solución de seguridad proactiva es fundamental para evitar este tipo de ataques. Sin embargo, resulta importante también, destacar el rol que cumplen la educación y gestión de la información para evitar estas situaciones. En el caso de las empresas, lo recomendable, es deshabilitar las macros como una política de seguridad.

Por el otra parte, para los usuarios hogareños que podrían haber recibido este correo, es importante remarcar que nunca deberían habilitar las macros de un documento, y tener en cuenta que las instituciones financieras no suelen enviar documentos de office adjuntos ni solicitar la ejecución de macros.

Leer más...