Troyanos en Android: vulnerando sistemas de doble autenticación


Una nueva variante de ZITMO para Android, que almacena todos los mensajes de texto del usuario en una base de datos, para luego enviarlos al atacante. Este conocido código malicioso que forma parte del crimeware de Zeus, permite bloquear las notificaciones de mensajes de texto al usuario mientras se realizan las transacciones bancarias en línea. Esta extraña metodología evita que el usuario se de cuenta de lo que sucede con su dinero.





Según los estudios realizados desde el Laboratorio de análisis e investigación de ESET Latinoamérica, este código malicioso cuenta con dos módulos para realizar el robo de información del usuario. El primero de ellos se conecta a una dirección URL para recuperar los nuevos comandos y ejecutarlos en el dispositivo. La segunda interfaz de control funciona como un método alternativo a la conexión a través del protocolo HTTP y permite controlar las acciones en el dispositivo a través de mensajes de texto.

Los mensajes que recibe el dispositivo infectado deben contar comenzar con determinados caracteres para activar las funcionalidades del malware:
#: Es el comando inicial que le permite al atacante conocer si el dispositivo está infectado o no.
/: Permite definir a qué número de teléfono se van a enviar los mensajes que reciba el dispositivo de la víctima.
!: Desactiva y deshabilita la ejecución de ZITMO en el teléfono con Android.
,: Finaliza la secuencia de comandos y vuelve a activar la recepción de mensajes en el dispositivo móvil de la víctima.

Controlar el dispositivo a través de mensajes de texto permite a los cibercriminales vulnerar los sistemas de doble autenticación de una manera sencilla. Manteniéndose ocultos en dentro de los sistemas del usuario, ya sea en los equipos de escritorio o los dispositivos móviles logran realizar las transferencias bancarias de una manera sigilosa y sin alertar al usuario.

La descripción de las etapas de este ataque son las siguientes:
Desde un dispositivo móvil, el atacante envía un mensaje de texto con el contenido “# <número atacante>”. Luego recibe la respuesta desde el teléfono de la víctima con información acerca de la versión del malware, el modelo del teléfono, versión del Sistema Operativo.
El segundo mensaje de texto que envía el atacante tiene el formato “/ <número del atacante>”. Con este formato se activa el bloqueo de recepción de los mensajes y además, todo SMS recibido será reenviado al atacante. Otra de las acciones que incluye esta etapa es la escritura del archivo secsuite.xml en dónde se almacena el número al cuál se debe reportar y la activación de la funcionalidad.
Luego de enviar el mensaje anterior, los cibercriminales pueden proceder a realizar las transacciones bancarias, y todos los mensajes de confirmación que sean enviados al el atacante a través de esta variante de ZITMO instalada en el dispositivo móvil.
Una vez que finalizó el ataque y ya se realizó la transferencia de dinero, desde la cuenta del usuario se envía un último mensaje conteniendo una “,”. Cuando el smartphone infectado recibe este mensaje, vuelve a activar la recepción de mensajes para que el usuario pueda recibirlos.

Mediante la ejecución de estos pasos, se realizan las acciones pertinentes en el smartphone infectado en dónde se logra engañar completamente al usuario. Ocultar mensajes al usuario es una técnicas ampliamente utilizada a través de la creación de BroadcastReceivers, y la alteración del funcionamiento normal de las aplicaciones en los dispositivos con Android. Al recibir el primer mensaje de texto, se ejecuta la primera sección del método AlternativeControl que vimos en la primera entrega de este análisis. Cuando se cumple la condición del “#“, y se llama a SendControlInformation() y se devuelve la información correspondiente del equipo. Al analizar este método podemos ver en detalle que va recopilando la información almacenada del dispositivo para luego enviar el mensaje de texto:

Esta es una función de rutina para recopilar los datos del teléfono, e incluso cuando se recibe un mensaje que comience con una “/” también se devuelve esta información. Sin embargo, en esos casos e agrega el número a la lista de los habilitados para el control remoto y el reporte de mensajes. Técnicamente las funcionalidades de este código no tienen muchos más detalles, pero son una herramienta muy efectiva para que los cibercriminales engañen a los usuarios y puedan realizar transferencias bancarias sin su conocimiento. Si nos centramos en la evolución de ZITMO en Android, observamos que ha tenido cambios considerables, desde ser un simple troyano SMS hasta la capacidad que actualmente estamos analizando, y seguramente veremos nuevas variantes de esta amenaza incluyendo nuevas funcionalidades.

Uno de los puntos más importantes en la comprensión de los códigos maliciosos y las personas que los desarrollan, se centra en analizar cómo se vulnera la seguridad del usuario y se utiliza su desconocimiento para el beneficio del atacante. De esta manera, a medida que los usuarios comienzan a utilizar una nueva tecnología, plataforma o software; los cibercriminales centran sus esfuerzos para adaptar las amenazas. En los últimos tiempos notamos un avance notable en el malware para dispositivos móviles y en las metodologías utilizadas para engañar a los usuarios. Seguramente esta evolución continúe, motivo por el cual tendremos que adaptarnos para proteger los entornos hogareños y corporativos por igual.

Fuente:
Pablo Ramos
Security Researcher
http://blogs.eset-la.com/



Otras noticias de interés:

Ocultan programas espía en hardware para exportación
Diversas compañías de seguridad informática advierten que hardware barato proveniente de Asia puede contener código maligno incorporado en la propia fábrica. ...
Envía tu Nombre a MARTE!!!!
La NASA cerrará el 15 de noviembre la recepción de nombres para incluir en el equipaje de dos sondas motorizadas que partirán hacia Marte el año próximo y empezarán a buscar agua bajo la superficie a comienzos de 2004. ...
Nueva actualización para Quicktime
Tanto para usuarios de Mac OS X como de Windows, Apple ha lanzado una nueva actualización de su conocido reproductor multimedia Quicktime. Se trata de la versión 7.6 que se encarga de corregir siete vulnerabilidades....
Cuando un antivirus es peor que la enfermedad
El software antivirus puede causar más dolores de cabeza que el propio gusano. Eso es lo que afirma Fabio Gomes de Souza, un operador de sistemas de Brasil, en un mensaje a una lista sobre vulnerabilidades. ...
Sabayon presenta versión 5.3 con Gnome y KDE
Sabayon es una distro italiana derivada de Gentoo, una distro basada en código fuente, en lugar de paquetes binarios, que es temida por muchos y amada por otros tantos. El objetivo de Sabayon es acercar Gentoo al gran público esta vez presentó la ...
Google cubre 16 vulnerabilidades en Chrome
Google ha cubierto 16 vulnerabilidades en Chrome. Por el descubrimiento de una de ellas ha pagado a un investigador especializado en seguridad nada menos que 3.133 dólares....
Estudio acerca de la seguridad en la autenticación de clientes Twitter
INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los cli...
Revelación de información sensible en Joomla
Se han publicado dos fallos de seguridad en Joomla! que podrían permitir a un atacante tener acceso a información sensible....
La NASA reemplaza 40 bases de datos propietarias con software open-source
El nuevo sistema denominado Problem Reporting Analysis and Corrective Action (PRACA), está creado con herramientas de código libre y se probará por vez primera en el espacio en el transbordador espacial Endeavour que se ha lanzado hoy y que celebr...
Nueva actualización de seguridad de Java de Noviembre de 2009
Se ha publicado una actualización de Java -versión 6 actualización 17, conocida como 6u17-....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • android
  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • doble
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistemas
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerando
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra