¿Tienes Android? ¡Cuidado con este ransomware que se propaga por SMS!

La empresa de ciberseguridad ESET ha reportado un nuevo malware que ataca específicamente a dispositivos Android a través de mensajes SMS.

Se trata de un ransomware, es decir, un malware que cifra los datos del equipo y los «secuestra» hasta que el usuario realice un pago con el fin de que el ciberdelincuente le proporcione una llave para descifrarlos. El malware ha sido identificado como Android / Filecoder.C, y en caso de lograr su cometido solicita como rescate un pago en criptomonedas equivalente a 200 dólares.

Este ransomware se ha distribuido a través de varios foros en línea, y al infectar a un usuario se propaga a través de SMS con enlaces maliciosos utilizando la lista de contactos de sus víctimas. La mayoría de los temas de las publicaciones de dichos enlaces están relacionados con pornografía, aunque también se han detectado publicaciones relacionadas con temas técnicos a modo de señuelo. En todos los comentarios o publicaciones, los ciberatacantes incluyeron enlaces o códigos QR que apuntaban a las aplicaciones maliciosas.

¿Cómo protegerse?

Para evitar ser víctima de este malware, basta con no dar click en el enlace en caso de recibir el mensaje SMS y eliminarlo inmediatamente.

ESET, además recomienda como medidas preventivas :

  • En primer lugar, mantenga sus dispositivos actualizados, idealmente configúrelos para parchear y actualizar automáticamente, de modo que pueda permanecer protegido incluso si no se encuentra entre los usuarios más expertos en seguridad.
  • Si es posible, quédese con Google Play u otras tiendas de aplicaciones acreditadas. Es posible que estas tiendas no estén completamente libres de aplicaciones maliciosas, pero sin duda tendrá más posibilidades de evitarlas.
  • Antes de instalar cualquier aplicación, verifique su calificación y los comentarios. Concéntrese en los negativos, ya que a menudo provienen de usuarios legítimos, mientras que los atacantes suelen elaborar comentarios positivos.
  • Concéntrese en los permisos solicitados por la aplicación. Si parecen inadecuados para las funciones de la aplicación, evite descargar la aplicación.
  • Use una solución de seguridad móvil acreditada para proteger su dispositivo.

Monokle, malware que roba datos en dispositivos Android

Monokle, el malware redescubierto por la empresa de ciberseguridad Lookout, está enfocado en robar información de dispositivos móviles con sistema operativo Android. Lookout ha catalogado a Monokle como una pieza avanzada de software de vigilancia que ha implementado varias características que no hemos visto antes para capturar datos.

Este conjunto de herramientas de software dirigido a espiar se desarrolló en 2015, sin embargo se ha venido detectando actividad del malware con mayor frecuencia durante los últimos meses. La actividad hasta el día de hoy se ha mantenido restringida y limitada, lo que sugiere que Monokle se usa con moderación en campañas altamente específicas.

El malware, tiene como finalidad la extracción de datos de los usuarios, también permite la instalación de certificados de seguridad, a través de los cuales se puede interceptar el tráfico, desde páginas y aplicaciones que, al menos en apariencia, son seguras. Entre sus funcionalidades se encuentran, la recopilación de contactos, historial de llamadas, historial del navegador e información del calendario; permitir la recuperación de texto sin formato de la contraseña de un usuario capturando la sal utilizada al almacenarla en reposo; grabación de llamadas y audio ambiental; recuperar cuentas y contraseñas asociadas, recuperar correos electrónicos, tomar capturas de pantalla, rastrear la ubicación del dispositivo y recopilar información de la torre celular cercana; entre otras.

«Monokle es un gran ejemplo de la tendencia de empresas y estados-nación que desarrollan sofisticados malware móviles que hemos observado a lo largo de los años«, afirma la publicación del blog de Lookout.

Surgen versiones apócrifas de FaceApp

Investigadores de la empresa de ciberseguridad ESET han reportado que dado el auge de FaceApp están surgiendo versiones apócrifas de la aplicación. 

Ciberestafadores están usando la famosa app como señuelo para promover una versión “Pro” de forma gratuita, la cual permite la descarga de malware y además engaña a sus víctimas para que hagan clic en una innumerable cantidad de ofertas y así instalen otras aplicaciones de paga o servicios de suscripción fraudulentos.

Al momento, se han identificado dos esquemas de promoción: sitios web falsos y videos de YouTube.

ESET recomienda que de sumarse y participar de aquello que está de moda o que se está utilizando, como en este caso puede ser la app FaceApp, los usuarios deben recordar atenerse a los principios básicos de seguridad.

«Agent Smith»: malware “disfrazado” como aplicación de Google

¿Se acuerdan del agente Smith? Era el personaje ficticio de la trilogía cinematográfica The Matrix. Pues así han bautizado a un malware que está causando muchos dolores de cabeza. El malware «Agent Smith» aparenta ser una aplicación de Google y aprovechándose de vulnerabilidades conocidas, reemplaza de forma automática las aplicaciones instaladas en los dispositivos Android por versiones con código malicioso sin que el usuario lo note.

Este malware ya ha infectado a más de 25 millones de dispositivos, según la firma de seguridad Check Point. El malware muestra anuncios fraudulentos, pero según Check Point «también podría utilizarse fácilmente para fines mucho más intrusivos y perjudiciales, como el robo de credenciales bancarias y las escuchas clandestinas».

El malware busca aplicaciones conocidas en el dispositivo, como WhatsApp, Opera Mini o Flipkart, y luego reemplaza partes de su código evitando que se actualicen.

El malware se “esconde” dentro de «aplicaciones de fotos, juegos o aplicaciones relacionadas con el sexo que apenas funcionan», señaló Check Point. Después de que un usuario descargue alguna de ellas, el malware se disfrazaría como una aplicación relacionada con Google, con un nombre como «Google Updater», y luego comenzaría el proceso de reemplazo del código.

Check Point señala que «ha trabajado codo con codo con Google y en este momento no queda ninguna aplicación infectada en Play Store».

Precaución: funcionalidad Power Query de Excel es puerta para malware

Microsoft Excel es sin duda, la aplicación de facto para hacer uso de hojas cálculo, sin embargo también está sirviendo como puerta de acceso a ciberatacantes, derivado de un agujero de seguridad detectado en la función Power Query, mejor conocida en español como «Obtener y transformar».

Power Query es una tecnología de conexión de datos que permite que los archivos Excel descubran, conecten, combinen y manipulen datos antes de importarlos desde fuentes remotas, como una base de datos externa, un documento de texto, otra hoja de cálculo o una página web.

Pues bien, investigadores de seguridad de la organización Mimecast Threat Center han ideado un método para abusar de Power Query, y ejecutar códigos maliciosos en los sistemas de los usuarios con una interacción mínima. La técnica se basa en la creación de documentos de Excel mal formados que utilizan Power Query para importar datos desde el servidor remoto de un atacante. Al usar Power Query, los atacantes podrían incrustar contenido malicioso en una fuente de datos separada y luego cargar el contenido en la hoja de cálculo cuando se abre. El código malicioso se puede usar para ejecutar malware que puede comprometer la máquina del usuario.

¿Cómo protegerse?

Mimecast dijo que se pusieron en contacto con Microsoft para exponer el hallazgo, sin embargo Microsoft no lo considera una vulnerabilidad y desde su óptica se trata de una funcionalidad legítima, de la cual un ciberatacante puede hacer un uso indebido, de manera que no pretende realizar alguna acción. Al momento la única manera de protegerse ante este tipo de ataque es deshabilitar la función DDE en Excel. Aquí encontrarás un enlace de Microsoft en el aviso KB4053440 de Microsoft  que explica cómo hacerlo.

Es también muy importante subrayar que se deben extremar las precauciones al descargar archivos de Excel desde Internet.

Cuidado con este malware «disfrazado» de juego

El juego “Scary Granny ZOMBYE Mod: The Horror Game 2019” para Android está robando datos de Google y Facebook de sus usuarios. La aplicación maliciosa intenta desviar datos y dinero de las víctimas hacia ciberdelincuentes. Se recomienda eliminar esta aplicación inmediatamente de tus dispositivos.

Este juego pasó desapercibido para el equipo de revisión de Google Play. Google utiliza un sistema de detección de malware para verificar nuevas aplicaciones que se cargarán a su Play Store, sin embargo esta aplicación evadió la verificación ya que simulaba ser un juego totalmente funcional, sin embargo después de un período de dos días de instalarse, el malware es activado.

La aplicación, aparentemente basada en otro exitoso juego para Android llamado Granny, lanza un ataque de phishing contra el dispositivo de destino, mostrando una notificación que solicita al usuario que actualice sus servicios de seguridad de Google. Cuando el usuario está de acuerdo, presenta una página de inicio de sesión falsa para robar sus credenciales.

Falsa notificación y phishing (Fuente: https://www.bleepingcomputer.com/)

El código de phishing utiliza un navegador integrado en la aplicación para acceder a la cuenta del usuario y descargar sus correos electrónicos y números de teléfono de recuperación, además de códigos de verificación, cookies y tokens (que podrían brindar a los atacantes acceso a aplicaciones de terceros).

Malware en cajeros mexicanos

La empresa de ciberseguridad Kaspersky ha descubierto una nueva muestra de malware especializado en ataques a cajeros automáticos (ATMs), cuya actividad ha sido detectada en Colombia y México. El malware es conocido como ATMJadi y tiene como objetivo dispensar dinero e incluso vaciar los ATMs.

Se sospecha que para su creación, cibercriminales obtuvieron la colaboración de empleados de diversas instituciones financieras, quienes pudieron compartirles información privilegiada, como el acceso al código fuente y, por ende, a la red donde están conectados los cajeros automáticos.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky señaló que el hecho de que el malware cuente con mensajes en español y portugués es una gran alerta para los bancos de la región, ya que tradicionalmente los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias.

Encuentran en Google Play miles de apps piratas que tienen ‘malware’

Según el diario Excelsior, se ha detectado la presencia de más de 2,000 aplicaciones para Android presentes en la tienda oficial Google Play que se hacen pasar por otras ‘apps’ conocidas.

Un estudio realizado durante dos años por la Universidad de Sydney y un grupo de investigadores de ciberseguridad analizó 1.2 millones de aplicaciones de Google Play con el objetivo de determinar cuántas de ellas son «falsificaciones que se hacen pasar por apps populares para intentar confundir a los usuarios».

Se han encontrado un total de 49,608 aplicaciones en Google Play que presentan una «alta semejanza» con el ‘software’ más popular de la plataforma. De estas, 2,040 aplicaciones no solo son réplicas de otras ya existentes, sino que además contienen ‘malware’.

¿Videojuegos? ¡Cuidado! También puedes infectarte con malware

¿Eres un asiduo jugador? ¿Tus hijos descargan videojuegos? Debes prestar mucha atención a las fuentes desde donde los obtienen.

Un estudio de la empresa de ciberseguridad Kaspersky señala que cibercriminales están aprovechando la creciente demanda de videojuegos para distribuir malware a través de copias falsas de los juegos más populares. Con ello buscan obtener información de los usuarios y realizar estafas. En la mayor parte de los ataques, los ciberdelincuentes intentan atraer a los usuarios para que descarguen archivos maliciosos que simulan ser juegos inéditos.

La lista de los juegos identificados a los que se les ha dado un mal uso está encabezada por Minecraft, con casi el 30% de ataques, seguido de GTA 5 y Sims 4, pero también se han detectado videojuegos muy populares que cibercriminales liberan con malware antes de su lanzamiento destacando FIFA 20, Borderlands 3 y The Elder Scrolls 6.

Kaspersky recomienda evitar plataformas digitales poco confiables y ofertas sospechosas, instalar software de seguridad y realizar una inspección regular a todos los dispositivos utilizados para los videojuegos.

La mitad de los hogares conectados a Internet en México tiene un dispositivo vulnerable: Avast

Con información de El Economista

Avast analizó 2.5 millones de dispositivos en 390,000 hogares mexicanos y descubrió que 47% de estos hogares tenía al menos un dispositivo conectado a Internet que era vulnerable a un ataque.

La inteligencia artificial (IA) y el Internet de las cosas son dos de las tendencias tecnológicas que ocupan un lugar en todas las listas, conferencias, rankings y ensayos sobre el futuro que ha alcanzado a la sociedad. Al mismo tiempo que la automatización de los procesos del trabajo y de la vida cotidiana se presentan como un beneficio para la sociedad en general, la mayoría de los tecnólogos no descartan que los sesgos y los riesgos de seguridad que implican el uso de estas tecnologías puedan suponer verdaderas amenazas para la humanidad.

En colaboración con la Universidad de Stanford, la compañía de ciberseguridad Avast produjo un estudio que hará público en las próximas semanas sobre las vulnerabilidades en los dispositivos de Internet de las Cosas (IoT). Avast es una firma de ciberseguridad de origen checo fundada en 1988. Desde su fundación hasta el 2010, la compañía llevaba el nombre Alwil pero fue en ese año cuando decidió cambiarlo por el de su producto más popular, el antivirus Avast, que posee la mayor cuota del mercado de software antivirus, con 15.2%, de acuerdo con Statista. Esto la hace colocarse por encima de otras empresas como McAfee Inc, Malwarebytes Corporation, BitDefender y ESET.

Para realizar su reporte, la compañía encuestó a 16 millones de hogares y analizó 87 millones de dispositivos en todo el mundo con el fin de conocer qué tipo de dispositivos hay y cuáles son las medidas de seguridad que tienen. En el caso de México, en donde hacia diciembre del 2018, Avast analizó 2.5 millones de dispositivos en 390,000 hogares, la compañía descubrió que 47% de estos hogares tenían al menos un dispositivo conectado a Internet que era vulnerable a un ataque. En un tercio de los hogares en los que Avast descubrió que había un dispositivo vulnerable, también detectó que dicho dispositivo era el router, es decir el aparato que es la fuente de la conexión a Internet en un hogar.

Rajarshi Gupta, investigador de Inteligencia Artificial del equipo de Avast, habló con El Economista sobre el uso de algoritmos de inteligencia artificial en la defensa del ciberespacio, pero también en la creación de nuevas formas de ataque. Además de las implicaciones que tiene el que alrededor de 14,200 millones de dispositivos estén conectados a internet en todo el mundo.

一 La inteligencia artificial es usada como una técnica de ciberseguridad, pero ¿es también usada para lo contrario?, ¿Sirve para desarrollar malware o detectar medidas de seguridad cibernéticas?

一“La inteligencia artificial es una herramienta y se trata de cómo vas a usarla. Nosotros estamos usándola muy intensamente para detectar malware, monitorear el tráfico de la red, detectar ataques vía email y de phishing. Al mismo tiempo la inteligencia artificial puede ser usada para crear esos ataques. Esto no es diferente a cualquier otra pieza de tecnología que haya evolucionado en los últimos cientos de años, una pistola puede ser utilizada para defender y para atacar. Se reduce a una cuestión sobre quién está usando mejor y quién está desarrollando mejor las herramientas.

“En términos generales, hay más inversión en el lado blanco que en el lado negro: hay más inversión económica, más investigación y la adopción y el desarrollo de tecnología tiende a ser mejor en el lado blanco. El problema es que los defensores deben defenderlo todo, todo el tiempo, mientras que los atacantes, sólo tienen que quebrar algo cada cierto tiempo. Eso es lo que supone el reto”.

“El uso de inteligencia artificial es significativamente más intenso en el lado blanco. Toda la industria de ciberseguridad ha estado usando la inteligencia artificial desde el principio de esta década, hace casi 10 años, lo mismo que los atacantes. Sucedió cuando estos descubrieron lo que llamamos polimorfismo, una técnica para cambiar un archivo en una variedad infinita de formas y la defensa a esto fue la detección de comportamiento (behavioural detection), es decir que no observas la composición del archivo sino su comportamiento y ésta es la primera vez en la que podemos decir que usamos una técnica de inteligencia artificial para hacer detección de amenazas. Ahora usamos redes neurales.

一 Dices que hay mayor inversión e investigación en el uso de inteligencia artificial del lado de la defensa, ¿qué sucede con los ataques realizados por estados nación, que cuentan con muchos recursos para igualar esta inversión?

一 Cuando he hablado con la mayor parte de la industria de defensa cibernética, que defiende tanto a consumidores y a compañías, cuando observan la idea de los ataques de estados nación, básicamente se mantiene la idea, sólo que cambian los jugadores, ahora tienes a naciones atacando a otras naciones y lo mismo, naciones defendiéndose de otras naciones. Estoy de acuerdo en que ahora la balanza está más equilibrada, pero la diferencia radica en la superficie de ataque.

En general, si un Estado nación intenta atacar tu computadora personal, lo más probable es que lo logren, porque tú no tienes ni el dinero ni los recursos para defenderte, pero si el Estado nación intenta atacar los secretos más profundos de la NASA, ésta tiene las defensas suficientes para asegurarse de no ser atacada. Se trata una cuestión de balance. Si una entidad muy grande intenta atacar a una pequeña, lo más probable es que lo consiga, por la suma de poder y técnicas.

Nosotros en Avast protegemos consumidores, entonces lo que debemos hacer es garantizar que aquellos ataques dirigidos a millones de personas no consigan su cometido. Hay otras compañías que defienden a compañías y no tienen que proteger a todo el mundo, sino los datos de una compañía, así que la superficie es más reducida pero el ataque suele ser más fuerte.

一 Siguiendo un poco el tema de los consumidores, un análisis de Gartner reveló que para este 2019 estarían conectados a Internet 14,200 millones de dispositivos, ¿qué supone esto para la seguridad de la red?

一 Lo que vemos hoy en día en el mundo del Internet de las Cosas es que hay miles de millones de dispositivos que son creados por compañías que no son expertos en ciberseguridad . y las personas que hacen, por ejemplo, lámparas inteligentes, no piensan en la seguridad, sólo piensan en que puedas encender tu lámpara mediante tu celular. Además, hay algo en lo que no piensa mucha gente y es que si tú tienes una computadora o un celular, tienes la posibilidad de instalarles software de seguridad adicional, pero eso no sucede con las lavadoras o lámparas. El problema es que nadie considera que estos son puntos de entrada y que tu red es tan fuerte como su eslabón más débil.

En una conferencia, alguien me dijo: “No creo que esto sea un gran problema, ¿qué es lo peor que le podrías hacer a mi casa?” Le respondí que podría incendiarla.

Mayor información en El Economista