Descubren malware que se extiende a través de anuncios para Android

Avast alerta de una campaña de malware para Android que usa publicidad sobre supuestas apps alojadas en Google Play que, a la hora de la verdad, activan mensajes “premium”.

Android-seguridad-malware-virus

Una vez más, los usuarios de dispositivos móviles Android se encuentran en el punto de mira de los ciberdelincuentes.

Esta vez la técnica utilizada para infectar sus dispositivos y hacerles perder dinero, que ése sería el objetivo último, es la distribución de anuncios sobre supuestas aplicaciones para el sistema operativo del androide verde. Unas aplicaciones que han sido “diseñadas para aparentar estar alojadas en Google Play”, según advierte Avast, que es la compañía que ha dado la voz de alerta y que ha contabilizado hasta 40 apps maliciosas de este tipo.

Pero nada más lejos de la realidad. Cuando alguien cae en la trampa e instala uno de estos programas, lo único que consigue es filtrar información, que caerá en manos de los desarrolladores de estas apps. Y, además, su dispositivo comenzará a enviar SMS premium con los que ir esquilmando sus cuentas.

Al parecer, al cabo de una semana se acabarían enviando hasta tres mensajes a un precio de 0,25 dólares, lo que quiere decir que el gasto alcanzaría los 3 dólares mensuales y hasta 36 dólares anuales.

Detrás de esta campaña se encuentran tres proveedores de publicidad diferentes, que operan a través de playmbo.es, mobilecashout.com y espabit.com. Esta última dirección está alojada en Rota y sería la que más visitas acumula de todas.

Fuente

Problemas de seguridad en la versión de Outlook para Android

Según se desprende de un análisis de Include Security, la aplicación del correo Outlook en Android ofrece problemas a la seguridad de las cuentas de los usuarios

outlook android

Include Security, una consultora de seguridad informática, ha indicado que la versión para Android de la aplicación Outlook.com, que se emplea para revisar el correo electrónico gestionado por Microsoft, no tiene una seguridad adecuada para los datos de los usuarios.

La empresa de seguridad ha descubierto que Outlook.com guarda los archivos adjuntos en una carpeta de la tarjeta SD que se puede leer desde cualquier otro programa que tenga acceso a la lectura del almacenamiento externo del dispositivo móvil.

Otro problema detectado se refiere a la posibilidad que tienen los usuarios de fijar un código pin que se supone que debería estar dedicada al cifrado esa cuenta.

En ese caso, la realidad es que el código pin no realiza esa tarea y simplemente controla el acceso a la aplicación, revelan en ZDNet.

Desde Include Security desvelan que los usuarios que activan el código pin para sus cuentas de correo en la app de Android, reciben un mensaje que dice que al hacerlo se protegerán sus correos electrónicos, algo que no es del todo cierto.

Fuente

Un malware secuestra tu móvil por ver porno

Se ha descubierto un malware para Android que evita que el usuario tenga acceso a la pantalla de inicio de su smartphone, imposibilitando el uso de la mayoría de las aplicaciones instaladas en el teléfono.

Un malware secuestra tu móvil por ver porno

Unos investigadores han descubierto un malware para Android que secuestra los móviles infectados hasta que los usuarios pagan una cantidad considerable de dinero para resolver acusaciones falsas que implican la visualización de pornografía ilegal. Este nuevo truco de ingeniería social ya se ha cobrado 68 víctimas en los últimos 6 días.

El malware obliga al usuario a pagar una multa falsa de alrededor de 300 dólares para volver a activar el uso del dispositivo. Esta multa se basa en acusaciones falsas sobre la visualización de pornografía ilegal. El malware utiliza la geolocalización para adaptar sus mensajes de advertencias al país donde se encuentra el usuario, por lo que dependiendo de dónde te encuentres, se muestra un mensaje u otro. Si, por ejemplo, estamos en Estados Unidos, el malware muestra un mensaje falso del FBI, pero si estamos en otro país adapta su mensaje.

El malware se descarga al visitar una determinada web porno.
El malware es un troyano de nombre Android-Trojan.Koler.A cuyas funciones hacen que el proceso de análisis de su funcionamiento se haya ralentizado. A pesar de ello, se han descubierto varias cosas sobre su funcionamiento. Según el analista de amenazas electrónicas de Bitdefender, Bogdan Botezatu, “el principal componente de este ransomware es una vista de navegador que se mantiene en la parte superior del resto de aplicaciones”. Botezatu señala que podemos pulsar el botón de inicio y volver a la pantalla de inicio, pero se activará un contador de 5 segundos que al finalizar nos devuelve a la pantalla del malware. El analista pudo desinstalar la aplicación maliciosa manualmente pulsando el icono de la aplicación y arrastrándola al menú de desinstalación, pero comenta que este método solo funciona si el icono se encuentra en la primera fila. En caso contrario, no habría tiempo suficiente para poder realizar la operación. El paquete malicioso se descarga cuando el usuario accede con su móvil Android a una determinada página web de pornografía. La página web engaña al usuario afirmando que lo que se instala es un reproductor de videos para un acceso premium y para que el dispositivo sea infectado debe estar activada la opción de permitir la instalación de aplicaciones manualmente (.apk).

Otros casos de ransomware.
El troyano Koler.A ha sido descubierto 18 meses después de que investigadores de Symantec descubrieran que los llamados ransomware extorsionaron 5 millones de dólares al año a los usuarios de PC. El término ransomware se refiere al malware que deshabilita equipos y exige pagos en efectivo a supuestos organismos policiales para restaurar los dispositivos. Recientemente, también se produjo otro caso relacionado con este tipo de malware. En este caso, unos estafadores crearon Cryptolocker, un troyano que secuestra los discos duros hasta que el usuario paga 300 dólares en monedas Bitcoin.

Fuente

Los investigadores descubren el primer bootkit de Android; 350.000 dispositivos ya han sido infectados

Los investigadores de seguridad de Doctor Web han descubierto lo que parece ser el primer bootkit de Android. La amenaza ya ha infectado unos 350.000 dispositivos de todo el mundo.

Researchers-Discover-First-Android-Bootkit-350-000-Devices-Already-Infected-421383-2

El troyano, apodado Android.Oldboot.1.origin, utiliza algunas técnicas inteligentes para asegurarse de que no pueda ser eliminado fácilmente. Uno de los componentes está instalado en la partición de arranque del sistema de archivos.

El archivo de la unidad es modificado de forma que cuando se inicie el dispositivo, una secuencia de comandos sea cargada y los componentes de Android.Oldboot se instalen como una aplicación típica. Una vez instalada en un dispositivo, la amenaza se conecta a un servidor remoto y espera órdenes.

“Cuando el teléfono esté activado, este script carga el código del troyano Linux-library imei_chk (el antivirus de Dr.Web lo detecta como Android.Oldboot.1), que extrae los archivos libgooglekernel.so (Android.Oldboot.2) y GoogleKernel.apk (Android.Oldboot.1.origin) y los coloca en /system/lib y /system/app, respectivamente”, explicaron los expertos de Dr. Web.

“Por lo tanto, una parte del troyano Android.Oldboot se instala como una aplicación típica que luego funciona como un servicio del sistema y utiliza la biblioteca libgooglekernel.so para conectarse a un servidor remoto y recibir varios comandos, como descargar, instalar o desinstalar ciertas aplicaciones”.

El problema es que incluso si es eliminado, al reiniciar el dispositivo, el troyano vuelve a instalarse debido al componente que reside en el área de memoria protegida.

Los expertos creen que el malware se distribuye con la ayuda de firmware modificado. Cuando los usuarios reflashean sus smartphones e instalan este firmware, en realidad están infectando sus teléfonos con el troyano.

La mayoría de las infecciones (92%) han sido vistas en China, que parece ser el principal objetivo. Sin embargo, también se han detectado dispositivos infectados en Alemania, España, Rusia, Italia, Estados Unidos, Brasil y otros países del sudeste asiático.

La mejor manera de proteger tu smartphone contra esta pieza de malware es evitar instalar firmware descargado de fuentes no confiables. Los expertos también recomiendan no comprar dispositivos de origen desconocido.

Fuente

Priyanka, la nueva vulnerabilidad de WhatsApp

No cabe duda de que WhatsApp se ha convertido en uno de los servicios de mensajería más utilizados en todo el mundo, gracias en gran parte a su bajo coste y la disponibilidad en la mayoría de las principales plataformas móviles.

Whatsapp

Si bien a lo largo de su trayectoria ha tenido que ir afrontando diversos problemas relacionados con su seguridad, privacidad de las comunicaciones o los datos de sus usuarios, Whatsapp ha sido nuevamente víctima de otro bug.

Se trata de una nueva vulnerabilidad etiquetada con el nombre de “Priyanka” y mediante la cual se recibe un nuevo contacto por parte de cualquiera de los amigos registrados en WhatsApp y cuyo nombre se corresponde, precisamente, con el de Priyanka. En el caso de que se añada dicho contacto a la lista de nuestros contactos personales éstos cambiarán automáticamente de nombre tomando el de “Priyanka”.

VIRUS-WHATSAPP

Si bien se demuestra de esta forma una vulnerabilidad en el programa, por otra parte no e trata de un fallo que ponga en riesgo los datos del usuario, más allá que la incomodidad de ver cambiado el nombre de los contactos. Por otra parte, la solución ante este problema de seguridad es tan simple como ignorar la solicitud para añadir cualquier contacto con dicho nombre.

Por último, los usuarios que se hayan visto afectados por dicha vulnerabilidad y tengan los contactos de su lista modificados siempre podrán borrar el contacto en cuestión, dirigiéndose a continuación a Ajustes del teléfono, para seleccionar seguidamente Aplicaciones y finalmente la entrada correspondiente a WhatsAppp. Una vez seleccionado sólo restará forzar la detención del programa y borrar los datos (en el caso de la aplicación WhatsApp para dispositivos basados en Android).

Fuente