Troyanos en Android: vulnerando sistemas de doble autenticación


Una nueva variante de ZITMO para Android, que almacena todos los mensajes de texto del usuario en una base de datos, para luego enviarlos al atacante. Este conocido código malicioso que forma parte del crimeware de Zeus, permite bloquear las notificaciones de mensajes de texto al usuario mientras se realizan las transacciones bancarias en línea. Esta extraña metodología evita que el usuario se de cuenta de lo que sucede con su dinero.





Según los estudios realizados desde el Laboratorio de análisis e investigación de ESET Latinoamérica, este código malicioso cuenta con dos módulos para realizar el robo de información del usuario. El primero de ellos se conecta a una dirección URL para recuperar los nuevos comandos y ejecutarlos en el dispositivo. La segunda interfaz de control funciona como un método alternativo a la conexión a través del protocolo HTTP y permite controlar las acciones en el dispositivo a través de mensajes de texto.

Los mensajes que recibe el dispositivo infectado deben contar comenzar con determinados caracteres para activar las funcionalidades del malware:
#: Es el comando inicial que le permite al atacante conocer si el dispositivo está infectado o no.
/: Permite definir a qué número de teléfono se van a enviar los mensajes que reciba el dispositivo de la víctima.
!: Desactiva y deshabilita la ejecución de ZITMO en el teléfono con Android.
,: Finaliza la secuencia de comandos y vuelve a activar la recepción de mensajes en el dispositivo móvil de la víctima.

Controlar el dispositivo a través de mensajes de texto permite a los cibercriminales vulnerar los sistemas de doble autenticación de una manera sencilla. Manteniéndose ocultos en dentro de los sistemas del usuario, ya sea en los equipos de escritorio o los dispositivos móviles logran realizar las transferencias bancarias de una manera sigilosa y sin alertar al usuario.

La descripción de las etapas de este ataque son las siguientes:
Desde un dispositivo móvil, el atacante envía un mensaje de texto con el contenido “# <número atacante>”. Luego recibe la respuesta desde el teléfono de la víctima con información acerca de la versión del malware, el modelo del teléfono, versión del Sistema Operativo.
El segundo mensaje de texto que envía el atacante tiene el formato “/ <número del atacante>”. Con este formato se activa el bloqueo de recepción de los mensajes y además, todo SMS recibido será reenviado al atacante. Otra de las acciones que incluye esta etapa es la escritura del archivo secsuite.xml en dónde se almacena el número al cuál se debe reportar y la activación de la funcionalidad.
Luego de enviar el mensaje anterior, los cibercriminales pueden proceder a realizar las transacciones bancarias, y todos los mensajes de confirmación que sean enviados al el atacante a través de esta variante de ZITMO instalada en el dispositivo móvil.
Una vez que finalizó el ataque y ya se realizó la transferencia de dinero, desde la cuenta del usuario se envía un último mensaje conteniendo una “,”. Cuando el smartphone infectado recibe este mensaje, vuelve a activar la recepción de mensajes para que el usuario pueda recibirlos.

Mediante la ejecución de estos pasos, se realizan las acciones pertinentes en el smartphone infectado en dónde se logra engañar completamente al usuario. Ocultar mensajes al usuario es una técnicas ampliamente utilizada a través de la creación de BroadcastReceivers, y la alteración del funcionamiento normal de las aplicaciones en los dispositivos con Android. Al recibir el primer mensaje de texto, se ejecuta la primera sección del método AlternativeControl que vimos en la primera entrega de este análisis. Cuando se cumple la condición del “#“, y se llama a SendControlInformation() y se devuelve la información correspondiente del equipo. Al analizar este método podemos ver en detalle que va recopilando la información almacenada del dispositivo para luego enviar el mensaje de texto:

Esta es una función de rutina para recopilar los datos del teléfono, e incluso cuando se recibe un mensaje que comience con una “/” también se devuelve esta información. Sin embargo, en esos casos e agrega el número a la lista de los habilitados para el control remoto y el reporte de mensajes. Técnicamente las funcionalidades de este código no tienen muchos más detalles, pero son una herramienta muy efectiva para que los cibercriminales engañen a los usuarios y puedan realizar transferencias bancarias sin su conocimiento. Si nos centramos en la evolución de ZITMO en Android, observamos que ha tenido cambios considerables, desde ser un simple troyano SMS hasta la capacidad que actualmente estamos analizando, y seguramente veremos nuevas variantes de esta amenaza incluyendo nuevas funcionalidades.

Uno de los puntos más importantes en la comprensión de los códigos maliciosos y las personas que los desarrollan, se centra en analizar cómo se vulnera la seguridad del usuario y se utiliza su desconocimiento para el beneficio del atacante. De esta manera, a medida que los usuarios comienzan a utilizar una nueva tecnología, plataforma o software; los cibercriminales centran sus esfuerzos para adaptar las amenazas. En los últimos tiempos notamos un avance notable en el malware para dispositivos móviles y en las metodologías utilizadas para engañar a los usuarios. Seguramente esta evolución continúe, motivo por el cual tendremos que adaptarnos para proteger los entornos hogareños y corporativos por igual.

Fuente:
Pablo Ramos
Security Researcher
http://blogs.eset-la.com/



Otras noticias de interés:

Wine 1.2 con soporte para aplicaciones 64 bits
Ha sido liberada la segunda versión estable en toda la historia de Wine, se trata de la esperada versión 1.2 que trae como una de sus notas más resonantes el ansiado y demandado soporte para aplicaciones de 64 bits....
Increíble: Adobe conocía su último 0 day desde 2008
Tras unas horas de rumores Adobe confirmó que una vulnerabilidad en Flash Player estaba siendo aprovechada a través de ficheros PDF con su Adobe Reader. El fallo permitía la ejecución de código arbitrario con solo abrir un archivo PDF o visitar ...
La sinrazón de los forwards
Algún spammer trasnochado ha creado un mensaje que está circulando por correo electrónico en el que se alaba el hecho de reenviar cualquier tipo de mensaje impersonal en cadena y se incita a no escribir mensajes personales y que establezcan una ve...
Lo que sucede cuando introduces la contraseña del MSN en cualquier sitio
Cuando se introducen los datos de acceso de Hotmail en cualquier clase de sitio, léase sitios de quien te admite, se está cediendo el control total de la cuenta a otras personas. A muchos usuarios no les importa porque de inmediato cambian su contr...
Son realmente útiles los mensajes de aviso?
Muy recientemente Paul Thurrott, responsable de los portales WinSupersite.com y WindowsITPro.com, dedicados a la revisión de productos Microsoft Windows y a proporcionar información a la comunidad de usuarios profesionales de soluciones Windows ...
Mil dólares al primero que logre hackear Google TV
Howard Harte es un desarrollador que ha ofrecido 1.000 dólares para la primera persona que logre romper la seguridad de Google TV....
Es sencillo hackear los pasaportes biométricos
Expertos holandeses en seguridad informática han demostrado lo fácil que es robar la información biométrica de los nuevos pasaportes, que incluso pueden ser leídos con dispositivos inalámbricos a 10 ...
Nueva actualización para el navegador Google Chrome
Google ha publicado (por segunda vez en este mes) una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir cinco vulnerabilidades que podrían permitir a un atacante realizar ataques de cross...
Más respeto por los Hackers!
En el lenguaje cotidiano se habla de hackers para referirse mayormente a los criminales informáticos o piratas de internet....
Noticas web RSS
Hemos agregado una nueva sección de noticias web, el cual hace referencia a los titulares de los siguientes sitios web....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • android
  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • doble
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistemas
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerando
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra