Un malware secuestra tu móvil por ver porno

Se ha descubierto un malware para Android que evita que el usuario tenga acceso a la pantalla de inicio de su smartphone, imposibilitando el uso de la mayoría de las aplicaciones instaladas en el teléfono.

Un malware secuestra tu móvil por ver porno

Unos investigadores han descubierto un malware para Android que secuestra los móviles infectados hasta que los usuarios pagan una cantidad considerable de dinero para resolver acusaciones falsas que implican la visualización de pornografía ilegal. Este nuevo truco de ingeniería social ya se ha cobrado 68 víctimas en los últimos 6 días.

El malware obliga al usuario a pagar una multa falsa de alrededor de 300 dólares para volver a activar el uso del dispositivo. Esta multa se basa en acusaciones falsas sobre la visualización de pornografía ilegal. El malware utiliza la geolocalización para adaptar sus mensajes de advertencias al país donde se encuentra el usuario, por lo que dependiendo de dónde te encuentres, se muestra un mensaje u otro. Si, por ejemplo, estamos en Estados Unidos, el malware muestra un mensaje falso del FBI, pero si estamos en otro país adapta su mensaje.

El malware se descarga al visitar una determinada web porno.
El malware es un troyano de nombre Android-Trojan.Koler.A cuyas funciones hacen que el proceso de análisis de su funcionamiento se haya ralentizado. A pesar de ello, se han descubierto varias cosas sobre su funcionamiento. Según el analista de amenazas electrónicas de Bitdefender, Bogdan Botezatu, “el principal componente de este ransomware es una vista de navegador que se mantiene en la parte superior del resto de aplicaciones”. Botezatu señala que podemos pulsar el botón de inicio y volver a la pantalla de inicio, pero se activará un contador de 5 segundos que al finalizar nos devuelve a la pantalla del malware. El analista pudo desinstalar la aplicación maliciosa manualmente pulsando el icono de la aplicación y arrastrándola al menú de desinstalación, pero comenta que este método solo funciona si el icono se encuentra en la primera fila. En caso contrario, no habría tiempo suficiente para poder realizar la operación. El paquete malicioso se descarga cuando el usuario accede con su móvil Android a una determinada página web de pornografía. La página web engaña al usuario afirmando que lo que se instala es un reproductor de videos para un acceso premium y para que el dispositivo sea infectado debe estar activada la opción de permitir la instalación de aplicaciones manualmente (.apk).

Otros casos de ransomware.
El troyano Koler.A ha sido descubierto 18 meses después de que investigadores de Symantec descubrieran que los llamados ransomware extorsionaron 5 millones de dólares al año a los usuarios de PC. El término ransomware se refiere al malware que deshabilita equipos y exige pagos en efectivo a supuestos organismos policiales para restaurar los dispositivos. Recientemente, también se produjo otro caso relacionado con este tipo de malware. En este caso, unos estafadores crearon Cryptolocker, un troyano que secuestra los discos duros hasta que el usuario paga 300 dólares en monedas Bitcoin.

Fuente

Los investigadores descubren el primer bootkit de Android; 350.000 dispositivos ya han sido infectados

Los investigadores de seguridad de Doctor Web han descubierto lo que parece ser el primer bootkit de Android. La amenaza ya ha infectado unos 350.000 dispositivos de todo el mundo.

Researchers-Discover-First-Android-Bootkit-350-000-Devices-Already-Infected-421383-2

El troyano, apodado Android.Oldboot.1.origin, utiliza algunas técnicas inteligentes para asegurarse de que no pueda ser eliminado fácilmente. Uno de los componentes está instalado en la partición de arranque del sistema de archivos.

El archivo de la unidad es modificado de forma que cuando se inicie el dispositivo, una secuencia de comandos sea cargada y los componentes de Android.Oldboot se instalen como una aplicación típica. Una vez instalada en un dispositivo, la amenaza se conecta a un servidor remoto y espera órdenes.

“Cuando el teléfono esté activado, este script carga el código del troyano Linux-library imei_chk (el antivirus de Dr.Web lo detecta como Android.Oldboot.1), que extrae los archivos libgooglekernel.so (Android.Oldboot.2) y GoogleKernel.apk (Android.Oldboot.1.origin) y los coloca en /system/lib y /system/app, respectivamente”, explicaron los expertos de Dr. Web.

“Por lo tanto, una parte del troyano Android.Oldboot se instala como una aplicación típica que luego funciona como un servicio del sistema y utiliza la biblioteca libgooglekernel.so para conectarse a un servidor remoto y recibir varios comandos, como descargar, instalar o desinstalar ciertas aplicaciones”.

El problema es que incluso si es eliminado, al reiniciar el dispositivo, el troyano vuelve a instalarse debido al componente que reside en el área de memoria protegida.

Los expertos creen que el malware se distribuye con la ayuda de firmware modificado. Cuando los usuarios reflashean sus smartphones e instalan este firmware, en realidad están infectando sus teléfonos con el troyano.

La mayoría de las infecciones (92%) han sido vistas en China, que parece ser el principal objetivo. Sin embargo, también se han detectado dispositivos infectados en Alemania, España, Rusia, Italia, Estados Unidos, Brasil y otros países del sudeste asiático.

La mejor manera de proteger tu smartphone contra esta pieza de malware es evitar instalar firmware descargado de fuentes no confiables. Los expertos también recomiendan no comprar dispositivos de origen desconocido.

Fuente

Ocho de cada diez usuarios se infectan en Internet

The Cloud Security Company, anuncia los datos correspondientes al Segundo Informe Trimestral de 2013 elaborado por PandaLabs.

newmalware-ES

Según el estudio de PandaLabs correspondiente al segundo trimestre del año, los troyanos continúan siendo la principal arma utilizada por los ciberdelincuentes para infectar a los usuarios. De hecho hasta un 77,20% de las muestras detectadas en el segundo trimestre son troyanos. Un ratio que aumenta si lo que analizamos son las infecciones: casi ocho de cada diez usuarios sufren infecciones por troyanos en el mundo, llegando este parámetro hasta un 79,70%.

Otro dato a estacar es que el número de nuevas muestras de malware continúa creciendo de forma imparable. De hecho, en este segundo trimestre del año se han creado un 12% más que en el mismo periodo del año anterior. Un incremento que llega incluso a un 17% si tomamos la primera mitad del año en su conjunto.

Y dentro de este apartado de generación de nuevo malware, además de los troyanos (77,20%), los gusanos (11,28%) y los virus (10,29%) ocupan el segundo y tercer puesto en el ranking, respectivamente.

A nivel de infecciones por tipo de malware, la composición del ranking varía ligeramente: troyanos (79,70%), virus (6,71%) y gusanos (6,06%).

“Los ciberdelincuentes utilizan los troyanos como una de sus principales herramientas para infectar a los usuarios, cambiando las muestras de forma constante y, en muchos casos, de forma automatizada. Utilizan scripts y distintas herramientas para cambiar los binarios que se ejecutan en las máquinas de sus víctimas, tratando de evadir de este modo la detección por parte de las firmas de los productos antivirus”, ha comentado al respecto Luis Corrons, Director Técnico de PandaLabs.

España, por encima de la media mundial en infecciones

El ratio global de infecciones a nivel mundial durante este segundo trimestre ha sido de un 32,77%, aumentando respecto al primer trimestre de este año (31,13%).

A la cabeza de este ranking vuelve a situarse China, que copa hasta un 52,36% de las infecciones registradas en el mundo. Le siguen Turquía (43,59%) y Perú (42,14%). España, aunque no figura entre los 10 países del mundo con mayor número de infecciones, sí se sitúa por encima de la media mundial (alcanzando un 33,57%) y aproximándose a niveles similares a los registrados por países como Brasil (35,83%), Polonia (35,59%), Guatemala (35.51%), Colombia (33,86%), Costa Rica (33,33%) o Chile (33,22%).

En el lado opuesto figuran los países europeos, ya que Europa sigue siendo la zona del mundo con el índice más bajo de infección. El pódium lo forman Suecia (21,03), Noruega (21,14%) y Alemania (24,18). Japón es el único país no europeo que aparece en esta lista, ocupando el cuarto lugar con un 24,1%.

Un trimestre lleno de ataques

Este segundo trimestre ha comenzado con una buena noticia para el mundo de la seguridad: la detención del líder de una banda de ciberdelincuentes responsable de la red de bots Caberp. El joven ruso, de 28 años de edad, formaba junto a otras 20 personas un equipo de desarrollo del malware.

En cualquier caso, los niveles de ciberdelincuencia no han dejado de aumentar. Los ciberdelincuentes han aprovechado diferentes eventos, fechas señaladas o noticias de gran impacto para tratar de propagar malware entre los usuarios y asegurarse un gran número de nuevas víctimas. Así, sucesos como el atentado llevado a cabo durante el Maratón de Boston o, fechas tan señaladas como el 1 de mayo (Día Internacional de los Trabajadores) fueron utilizados para propagar spam y atacar organismos gubernamentales respectivamente.

Asimismo, el ciberespionaje entre países y el espionaje a usuarios también han sido protagonistas de este trimestre. De hecho, el supuesto espionaje a usuarios en EE.UU. ha levantado una gran polémica en los últimos meses a raíz de una información publicada por el Washington Post el pasado junio, explicando cómo supuestamente la Agencia de Seguridad Nacional Norteamericana (NSA) había obtenido datos de los usuarios de las plataformas online más populares, mediante su programa PRIMS y gracias a la ayuda de nueve gigantes del sector tecnológico (Microsoft, Apple, Google, Yahoo, Facebook, Youtube, Skype, AOL, y PalTalk). Dichas compañías negaron categóricamente este suceso y el mismo Washington Post modificó la noticia al día siguiente suscitando la polémica entre distintos medios.

“En el ámbito de la ciberguerra o el ciberespionaje China sigue protagonizando muchos de los titulares con nuevos casos de espionaje, aunque este trimestre Estados Unidos ha estado en el ojo del huracán tras hacerse público el programa PRISM que la NSA utiliza para obtener información de usuarios de grandes plataformas como Facebook, Youtube o Skype”, explica Luis Corrons.

Redes Sociales

En estos tres meses, PandaLabs también ha comprobado y corroborado la importancia de la seguridad en las redes sociales. La repercusión que puede tener una cuenta comprometida en Twitter ha protagonizado importantes casos, donde los protagonistas absolutos son el mismo grupo de cibercriminales (Syrian Liberation Army) y un claro objetivo: los medios de comunicación.

La cuenta de Associated Press fue hackeada con la publicación de una falsa noticia, donde se informaba de dos explosiones en la Casa Blanca en las que el presidente de los EEUU había resultado herido. La consecuencia del ataque fue la caída del Dow Jones en 155 puntos.

El informe completo está disponible aquí

Fuente

Falsos correos electrónicos de “informe de fax entrante” difunden troyanos

Una nueva campaña de spam “informe de fax entrante” ha sido lanzada por los ciberdelincuentes. Según los expertos, hay al menos dos tipos de mensajes de correo electrónico que son utilizados actualmente para distribuir malware.

Fake-Incoming-Fax-Report-Emails-Spread-Trojans

Un tipo de correo electrónico de estafa ha sido visto por los investigadores de MX Lab. Las falsas notificaciones de fax entrante parecen provenir de un dispositivo Xerox WorkCentre y llevan un archivo adjunto malicioso. El archivo zip adjunto esconde un descargador de troyano que está diseñado para recuperar otro tipo de malware desde la web.

El spam analizado por Conrad Longmore de Dynamoo’s Blog es similar. Sin embargo, los falsos informes de fax entrantes no tienen archivos adjuntos. En cambio, contienen enlaces que apuntan a sitios web que difunden malware.

El correo electrónico encontrado por Longmore apunta a un sitio web comprometido desde el cual los usuarios son redirigidos a un dominio de GoDaddy secuestrado que está configurado para servir malware.

Se recomienda que los usuarios tengan cuidado si reciben este tipo de correos electrónicos.

Fuente