Alertan de ataques de spam que utilizan la buena reputación de Google Translate

Expertos de seguridad de Barracuda detectaron que algunos
spammers están aprovechando la buena reputación del traductor de Google para evadir los filtros
antispam y redirigir a sus potenciales víctimas a sitios web farmacéuticos.

Los creadores de spam emplean numerosas tácticas para llevar a cabo sus ataques, como escudarse
en la buena reputación de algunos sitios web para redirigir a sus víctimas a sitios web falsos. Así lo
aseguran investigadores de Barracuda Labs, que detectaron una oleada de mensajes ilícitos que
buscan superar los filtros antispam escudándose en la buena reputación de Google Translate.

Según los expertos Dave Michmerhuizen y Shawn Anderson, la mayoría de los filtros de spam
bloquean los mensajes si la reputación y el destino del link incorporado es inseguro. Para resolver
este problema, el spammer utiliza una mezcla de redirectores de URL abiertos y acortadores de
URL que conducen a sitios con una buena reputación.

“Para que pequeños sitios web poco seguros sean hackeados solo hay que instalar un sencillo
código de redirección. El spammer se aprovecha así de la buena reputación de la página web para
evadir los filtros antispam, y el sitio web hackeado redirige a cualquiera que haga clic en los enlaces
de los mensajes a la página web que el spammer esté promocionando”, señalan en su blog.

En esencia, Google Translate actúa como redirector de URL, una web que con buena reputación en
la mayoría de los filtros de spam y que permite introducir mensajes en la bandeja de entrada de la
víctima. Como ejemplo, los analistas aportaron un mensaje de spam con un enlace acortado
proporcionado por un servicio de acortamiento de URL de Yahoo. El enlace apunta a una página de
Google Translate que redirige a su vez a un sitio hackeado de WordPress. El sitio de WordPress
luego devuelve un texto ruso en un iFrame que se traduce como “redirige a la página solicitada …”.
Google Translate ejecuta luego código embebido en el sitio hackeado que rompe el iFrame y envía a
la víctima a una web farmacéutica.

“Algunos enlaces ahora redirigen a google.com,
mientras que otros todavía redireccionan a sitios
web de farmacias. Esperamos que esta técnica no
haya sido descubierta por los distribuidores de
malware”, añaden los investigadores.

Ejemplo práctico:

https://docs.google.com/a/danielcastelao.org/viewer?attid=0.1&pid=gmail&thid=13df5a1b0a58529e&url=https%3A%2F%2Fmail.google.com%2Fmail%2Fu%2F0%2F%3Fui%3D2%26ik%3D0b0055a551%26view%3Datt%26th%3D13df5a1b0a58529e%26attid%3D0.1%26disp%3Dsafe%26realattid%3Df_hfcy8az70%26zw&docid=21715ae32e2cd373e5e385230fd929e8%7Cdcd00f34c777386cc6a8597c73e3bb6a&a=bi&pagenumber=2&w=800

Anuncios

FRAUDE ONLINE

A consecuencia de la crisis y el altísimo paro que hay hoy en día proliferan los fraudes que ofrecen trabajo e ingresos fáciles por Internet. La firma de seguridad ESET destaca tres timos muy peligrosos
Son bastantes chapuceros y sino fuera por las circunstancias que atravesamos nadie caería en estos timos, por eso están aumentando su frecuencia.
Hay que tener mucha precaución, sobre todo para no verse metido en un lío gordo. Por esta razón, ESET ha reunido los tres principales fraudes que están apareciendo en la Red. Además, los estafadores on-line han diversificado vías de captación de potenciales víctimas porque quizás nadie se esperaría encontrar un timo de estas características en un portal de empleo.

Timo del tele-trabajo:
El clásico timo en el que te ofrecen el trabajo de tu vida por un sueldazo y sin moverte de casa. Es verdad que el tele-trabajo es una opción en alza, pero nadie regala nada. En la mayoría de las ocasiones, dicho trabajo obliga a la compra de un material por adelantado o el ingreso de un dinero para poder empezar a operar. Si este es el caso, desconfía automáticamente.

1SCAM

Fraude de los ‘muleros’:

Este fraude que se conoce como «los muleros», es una mala práctica que sigue repitiéndose y consiste en la oferta de altas comisiones de servicio solo por ir al banco y hacer una transferencia. En realidad, se trata del blanqueo de dinero negro que, una vez que ha pasado por las manos de la víctima, desaparece, quedando solo el rastro del internauta engañado.
Varías personas han sido detenidas y condenadas por participar en este delito, así que por mucho dinero que ofrezcan lo mejor es no arriesgar, la mayoría de las sucursales bancarias saben de esta operativa y tienen como protocolo el avisar a las autoridades para proceder a su identificación y detención.

2SCAM

Trabajos en el extranjero:

La oferta de atractivos trabajos en el extranjero. Aunque muchas pueden ser lícitas y verdaderas, hay que comenzar a desconfiar en el momento en el que te solicitan el ingreso de un dinero por adelantado, típicamente para reservar hotel o casa o para pagar gastos de trámites necesarios para la residencia o algo similar. Al igual que antes nadie debería solicitar ningún tipo de pago previo a la llegada al país y a la firma del contrato.

3SCAM

Muchos de estos fraudes puede resumirse en lo que se llama SCAM que consiste en:

Captación de personas por medio de correos electrónicos, anuncios en web de trabajo, chats, irc, etc… donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias).Estas son las características más comunes de los correos:

Siempre te piden que tengas o abras una cuenta bancaria.
Su trabajo consiste en recibir transferencias bancarias a su cuenta bancaria, sacar este dinero posteriormente para enviarlo a países extranjeros por medio de empresas tipo Western Union, Money Gram.
Frases para captar a victimas:
¿Esta usted en paro y tiene ganas de trabajar?
¿Quiere obtener un dinero extra?
¿Quiere trabajar cómodamente desde casa?
¿Quiere tener beneficios de forma rápida?.
Nos mandan un contrato (falso) para hacer mas creíble la oferta.

Una vez obtenidos los datos de la victima y no colabora la victima será amenazada.

 

VALONSO

¡Cuidado! Códigos QR

QR

QR

A estas alturas todos conocemos ya los códigos QR. Son estas imágenes rectangulares que parecen un criptograma y que podemos ver en pancartas publicitarias, dentro de folletos de publicidad, revistas, en las cajas de productos del super, etc. La intención inicial de los Códigos QR fue utilizarlos para inventariar los repuestos de almacén de forma rápida (Quick Response Codes) pero su uso se ha extendido hasta que podríamos considerar que es una forma de ‘realidad aumentada’.

Estos códigos bidimensionales se utilizan para almacenar información que puede contener desde una URL de una web hasta una tarjeta de visita, con una capacidad máxima de almacenamiento de 4.296 caracteres que se ven reducidos según el nivel de corrección de errores que se quiera incorporar en la imagen. De esta forma podemos enlazar a la descarga de un mp3, instalar una aplicación, enviar un correo electrónico, obtener información, marcar un número de teléfono, e incluso realizar pagos. Para casi todas estas acciones será preciso disponer de conexión a Internet.

El éxito de este tipo de código puede residir en que hoy en día todos los teléfonos inteligentes, con cámara, pueden disponer de un programa que lea este tipo de códigos bidimensionales y además, se trata de un código abierto cuyos derechos de patente no son ejercidos por Denso Wave.

Se han utilizado en campañas publicitarias que han causado cierto revuelo. Recientemente, en los juegos olímpicos de Londres, el equipo de beach volley británico llevaba uno de estos QR en la parte posterior del bikini; este código QR enlazaba con la página web del patrocinador. A Calvin Klein le censuraron ciertos anuncios por considerarlos de contenido explícito no apropiado, así que retiró las imágenes y las sustituyó por códigos QR que enlazaban a su visualización en Internet. Hay incluso quien parece que se quedó sin palabras y en la lápida del difunto solo le dejaron un código QR.

En fin, hasta ahora todo más o menos normal, pero como cualquier nueva tecnología que tenga cierto auge, también puede ser objeto de abuso, y los códigos QR no iban a ser menos.

  • El principal problema de esta tecnología es que no ‘vemos’ el contenido de la información codificada y ocurre algo similar al problema de los acortadores de URL que de entrada no sabemos a dónde nos pueden llevar. Este problema se acrecienta en los dispositivos móviles puesto que con una pantalla reducida, no se ve completamente la URL a la que se está accediendo y si la URL es muy larga solo veremos el último tramo sin saber realmente el dominio donde reside. De esta forma no sería difícil ser objeto de un phishing o que desde una página web maliciosa nos intenten explotar alguna vulnerabilidad en nuestro navegador o sus complementos, para inyectar un malware.
  • Adicionalmente, si el código QR enlaza con la descarga de una aplicación, podemos acabar instalando una aplicación modificada en vez de incorporar la aplicación original de forma que tenga asociado un malware o que esté configurada para enviar SMS premium (con coste).
  • Por último, un nuevo problema que podemos tener si disponemos de un terminal Android, es que se bloquee tras escanear un código QR (o incluso que se borre por completo el terminal). Para esto, bastaría con incluir un código USSDen la información del QR que envíe repetidas veces un PUK erróneo (o el PIN, pero este caso sería menos dañino).

Ante todos estos problemas hay ciertas salvaguardas, pero la principal herramienta de que disponemos es el sentido común y seguir unas buenas prácticas. Si no nos hace falta escanear cierto código, no lo hagamos y lo hacemos, seamos conscientes de la fuente de la información. No sería difícil pensar en un escenario en el que un atacante disponga folletos de publicidad con el código QR suplantado por uno falso para que los empleados de cierta oficina descarguen un APT (¡Cuidado! Aquí tendremos implicaciones relacionadas con BYOD). Algunas de las posibles medidas son:

  • Toda aplicación que descarguemos en el dispositivo, debe venir de una fuente fiable y resulta conveniente disponer de un antivirus que nos proteja del malware. También es recomendable utilizar la aplicación de Virustotal que permite analizar todas las aplicaciones que tengamos instaladas contra los más de 40 antivirus de que dispone la plataforma.
  • Respecto de las URL no visibles, es interesante que el programa de escaneo de códigos QR no acceda directamente a la URL decodificada sino que nos indique si queremos acceder a ella mostrando previamente el destino en Internet. Esto dependerá de la funcionalidad de la aplicación QR que utilicemos.
  • El problema de los códigos USSD en Android se ha solucionado a partir de la versión 4.1.1 de forma que si nuestro teléfono tiene una versión anterior, deberíamos actualizarlo cuanto antes. También se han publicado varias aplicaciones que evitan la ejecución directa de estos códigos de teléfonos móviles.

Difícilmente vamos a poder evitar los códigos bidimensionales, ya sean datamatrixtag barcodebocodes o códigos QR. Ahora incluso tenemos extensiones para los navegadores más populares que nos permiten analizar los códigos bidimensionales en páginas web. Así que con este entorno la única opción posible es adaptarse y esto conlleva el uso de herramientas de prevención y realizar formación y concienciación a todos los usuarios, sobretodo a los cargos directivos.

@crojas

Fuente: http://www.securityartwork.es/2012/11/12/cuidado-codigos-qr/ (Xavi Morant, coordinador técnico de CSIRT-CV)

Redes sociales: consejos básicos para no caer en las trampas de los ciberdelincuentes.

Teclado de ordenador

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha advertido esta semana de que las redes sociales están en el “punto de mira” de los ciberdelincuentes, que aprovechan el auge de estas comunidades para conseguir datos personales de los usuarios y propagar virus, timos y estafas.

Inteco ha informado de que, según la cuarta oleada del Observatorio de Redes Sociales de la Oficina de Seguridad del Internauta (OSI), los ciberdelincuentes están buscando cada vez más a sus víctimas en las redes sociales.

Ha subrayado que la “falsa sensación de seguridad” del usuario, al recibir los mensajes de contactos conocidos, abre muchas oportunidades para explotar trucos de ingeniería social, como la creación de cuentas falsas y el envío de mensajes engañosos.

A este respecto, ha apuntado que, aunque los usuarios de redes sociales están preocupados por la seguridad, “la mayoría no toma las precauciones necesarias para protegerse”.

Para evitar engaños, Inteco ha recomendado “usar el sentido común”, no hacer clic “en cualquier cosa”, no seguir los enlaces que aparecen en páginas sospechosas y no permitir acceder a datos de perfil a aplicaciones de dudosa credibilidad.

Ha incidido en que “ninguna red social” solicita a través del correo electrónico el nombre de usuario y la contraseña, y que si se recibe una comunicación de esas características debe eliminarse.

Además, ha aconsejado comprobar adónde redirigen los enlaces antes de pulsar en ellos, no abrir mensajes de usuarios desconocidos o que no se hayan solicitado, y ser “selectivo” con las personas que se agregan a la lista de amistades.

En estos vídeos podemos ver otros consejos sobre la seguridad en las redes sociales:

 

OMariño

Seguridad Online – Manteniéndote seguro en la web

La seguridad es algo fundamental. Con tanta gente por ahí queriendo aprovecharse de los demás, tienes que saber cómo proteger tu identidad online para limitar así las posibilidades de fraude o robo. Aquí encontrarás trucos y consejos para ir empezando.

Información general / Cosas obvias

A continuación veremos unos consejos para novatos de la red. Seguro que mucha gente ya sabe estas cosas, pero si hay algún principiante leyendo esto, esto les puede venir bien:

No eres el visitante un millón de r3g4l0sgr4t1s.com. No hagas click en ningún anuncio, ya que probablemente instalarán cookies o cualquier otra basura que no necesitas en tu ordenador.
Intenta no usar datos que te identifiquen en la red. No te sientas mal por utilizar datos falsos.
No entres en páginas que resulten sospechosas.
No descargues todo lo que encuentres en internet. Intenta quedarte en páginas conocidas y de toda confianza, y sólo baja aquellos que necesites.
Poner fotos tuyas online está bien, pero ten cuidado. No sólo por el aspecto de seguridad sino porque luego podrían resultar un problema. Lo mismo se aplica a todo aquello que escribas. Cuando pones algo en internet puede ser muy difícil erradicarlo más tarde.
Si no quieres que la gente te encuentre fácilmente, no uses el mismo nombre de usuarios en todas las páginas en las que te registres. Y por supuesto, esconde tu dirección de eMail siempre que sea posible.

Passwords

Un password fuerte es una de las “claves” de la seguridad. A continuación, unas pistas para poner un buen password.

Creando un Password fuerte
Hay muchas guías que explican cómo crear passwords fuertes. Te recomendamos que eches un vistazo a estas 2 páginas:

http://lifehacker.com/#!184773/geek-to-live–choose-and-remember-great-passwords

http://lifehacker.com/5667944/how-to-choose-and-remember-great-passwords-that-live-in-your-head-video-edition

Los mejores Passwords
En general, intenta usar mayúsculas y minúsculas, y también símbolos y números. Asegúrate de que nunca utilizas un password de menos de 9 caracteres. Lo mejor es que sean de 12. Evita utilizar palabras “reales” o de diccionario (password@01 no es nada seguro). Los hackers más competentes empiezan comprobando las palabras más obvias, por lo que la contraseña del ejemplo podría ser crackeada en segundos.

Password Managers
Los Password Managers son una auténtica bendición. Si quieres passwords verdaderamente seguros para cada página que visites necesitarás uno. Todos los Password Managers tienen una herramienta de generación de passwords, y se recomienda usarla para las cuentas importantes. Sí. Puede ser un rollo teclearlas en ordenadores de fuera (tienes auto rellenado en tu propio ordenador) pero aún así te pueden ayudar mucho.

Recomendaciones: LastPass, KeePass y 1Password.

Programas Anti-Virus

NOD32 [DE PAGO]
A buen anti-virus de carácter ligero. No ralentiza el ordenador y funciona genial.

Kaspersky [DE PAGO]
Otro anti-virus bastante popular que ofrece mucha protección.

Microsoft Security Essentials [GRATIS]
Altamente recomendado. No tiene prestaciones exageradas, pero sí lo suficiente para defendernos. Completamente gratis y funciona bien. Sorprendentemente no sufre del exceso de requerimientos de sistema y de toda la parafernalia típica que se suelen ver en otros programas de Microsoft.

AVG [GRATIS]
El anti-virus gratuito más popular. No es perfecto, pero si no quieres pagar y tampoco confías en la protección que ofrece Windows, ésta es una de tus mejores opciones. Sin embargo, prepárate para una avalancha de falsos negativos (más que en otros programas al menos).

Avast [GRATIS]
Bastante popular, pero algo lento y problemático. No lo recomendamos.

Avira [GRATIS / DE PAGO]
Otro anti-virus gratuito altamente recomendado por muchos usuarios.

Hay más anti-virus que puedes probar, pero los que hemos comentado son las mejores opciones.

Los anti-virus no son perfectos. Asegúrate de tenerlos al día (normalmente hacen updates automáticos) y recuerda usar el sentido común (ver sección Cosas Obvias).

ADVERTENCIA: Si quieres cambiar de anti-virus, asegúrate de borrar el anterior antes de instalar el siguiente o se producirán errores graves en el sistema. Busca en Google instrucciones de desinstalación específicas para tu anti-virus.

Programas Anti-Malware

Malwarebytes [GRATIS]
Uno de los programas anti-malware más populares. Muy recomendable.

CCleaner [GRATIS]
No es un auténtico programa anti-malware, pero ayuda a proteger tu equipo de cookies no deseadas. Un buen complemento para tu protección.

Asegurando tus archivos
Si tienes ciertos archivos con información de carácter privado de los que no quieres que nadie se apodere, puedes encriptarlos para que sólo sean accesibles mediante password.

Recomendaciones: TrueCrypt (flexible) y AxCrypt (más accesible, user-friendly).

HTTPS
Varias páginas ofrecen una conexión segura que puede que no conozcas. ¿No sabes qué es HTTPS?

http://www.lifehacker.com.au/2011/01/ask-lh-why-should-i-care-about-https-on-facebook-or-other-websites/

Facebook
Activar HTTPS
Vete a Account > Account settings > Account security.

Esto te ayuda a protegerte de hackers que tratan de interceptar tu conexión con Facebook. Sin embargo, también puede impedir que funcionen ciertas aplicaciones.

Ajustes de privacidad
Hay muchos ajustes que puedes customizar en tu cuenta. Lamentablemente mucha gente ignora esto y expone su información personal a todo el mundo.
Vete a Account > Privacy settings > Customise settings.

Pon todas las opciones a tu gusto para mantener tu información a salvo. Se recomienda hacer varios grupos (por ejemplo, compañeros de clase o de trabajo, amigos íntimos y familia). De esa forma, puedes personalizar tu privacidad de tal manera de cada grupo sólo pueda ver ciertas cosas. Es altamente recomendable que no haya información al alcance de todo el mundo, pero también es aceptable poner datos triviales en plan público para que sólo tus amigos te reconozcan (por ejemplo, tus series de TV o tus videojuegos favoritos).

Twitter
Activa HTTPS yendo a Settings > HTTPS only.

Cuentas GMail / Google
Activar HTTPS
Para activar esto en tu GMail, vete a Settings y haz click en ‘Always use HTTPS’.

Activar Verificación de 2 Pasos
La verificación de 2 pasos le da a tu cuenta Google una segunda capa de seguridad, para que incluso si un ladrón o un hacker consiguen tu password, no sean capaces de entrar en tu cuenta.

http://lifehacker.com/5756977/set-up-googles-two+step-verification-now-for-seriously-enhanced-security-for-your-google-account

Google Search
Utiliza el motor de búsqueda encriptado visitando…

https://encrypted.google.com/

Steam
Casi todos los jugadores de PC tienen Steam instalado. Si quieres una segunda capa de seguridad para tu cuenta, puedes utilizar ‘Steam Guard’. Al igual que la verificación de 2 pasos de Google, sólo puedes entrar en tu cuenta desde otro ordenador con una clave que te mandan por eMail.

http://store.steampowered.com/news/5123/

Extras

http://www.lifehacker.com.au/2010/12/how-to-stay-secure-online/

Resumen rápido
Instala un anti-virus
Instala algún anti-malware
No publiques tus datos reales online, utiliza un eMail temporal si no deseas utilizar el tuyo propio
Esconde tu dirección eMail siempre que te resulte posible
Utiliza un nombre de usuario diferente en cada página
Usa passwords que tengan más de 9 caracteres, con mayúsculas, minúsculas, símbolos y números
No visites páginas raras
Sé listo y prudente 🙂

KAIST desarrolla un sistema de localización en interiores basado en WiFi

Investigadores del KAIST (Korean Advanced Institute of Science and Technology) han anunciado un nuevo sistema para geolocalizar personas en interiores de edificios y grandes superficies que utiliza las conexiones WiFi de los terminales móviles para identificar y seguir la posición de sus portadores.

El sistema tiene como meta ser capaz de localizar a personas que se queden atrapados en situaciones de emergencias tales como terremotos, inundaciones, derrumbamientos de edificios, etc., sin que sea necesario usar los sistemas GPS convencionales cuya eficacia en interiores y en edificios de muchas plantas disminuye considerablemente.

Para ello se basa en un equipo central que va recopilando información sobre cada terminal con WiFi a medida que se conecta a los diferentes puntos de acceso, midiendo la intensidad de las señales mientras se mueve por el espacio del edificio y actualizando una base de datos.

kaistSus creadores afirman que en entornos domésticos y semiprofesionales el margen de error es cercano a los 10 metros, con lo que piensan también podrá utilizarse en otras aplicaciones, como para localizar a niños perdidos en centros comerciales, aeropuertos y lugares públicos con gran afluencia de gente.

Fuente – http://www.xatakaon.com/tecnologia-de-redes/kaist-desarrolla-un-sistema-de-localizacion-en-interiores-basado-en-wifi

Provocan el mayor ataque informático que ha sufrido la Red en su historia

Una disputa entre un grupo que lucha contra el spam y un proveedor de hosting holandés provocó el pasado miércoles, 24 de marzo, la ralentización de internet a nivel global. Los ataques, que alcanzaron en su punto álgido los 300 GB/segundo han sido definidos por expertos como “el mayor ciber-atentado jamás cometido” y ha forzado a gigantes como Google y Netflix a reorganizar sus recursos apresuradamente para evitar besar la lona. Para entender la magnitud del asunto, un ataque coordinado por Anonymous suele mover una media de 50 GB/segundo.

El problema comenzó cuando una organización sin ánimo de lucro que lucha contra el spam, SpamHaus, incluyó en una de sus listas negras a la empresa holandesa Cyberbunker, ya que la política de admisión del proveedor de hosting holandés se limita a excluir la pornografía infantil y los mensajes que promueven el terrorismo pero no limita el alojamiento al spam y el malware.

Sven Ola Kamphuis, portavoz de CyberBunker, declaraba públicamente hace unos días que SpamHaus estaba abusando de su posición de poder y no debería tener derecho a decidir lo que se filtra en internet. Estas declaraciones provocaron, como represalia, que SpamHaus comenzara a bloquear masivamente los servidores de la compañía holandesa y ésta, a su vez, contraatacase con todo su arsenal disponible.

El método de ataque elegido ha sido el DDoS (ataque distribuido de denegación de servicio). Una maniobra que consiste en colapsar los servidores a base de enviar un volumen de datos que son incapaces de gestionar.

Pese a estar sufriendo un tráfico de datos inimaginable para una situación normal, los servidores de SpamHaus han logrado mantenerse “online”. No obstante, ciertos servicios de la compañía sí han caído, afectando a clientes tan ilustres como la BBC británica. El efecto dominó, además, ha afectado al tráfico mundial de la red, ralentizando la conexión a internet de millones de usuarios y poniendo en grave peligro servicios como el de correo electrónico, banca online, etc.

REFERENCIAS:

 

 

jcruz

Ataques a cuenta de correo mediante Android.

En el pasado reciente, hemos observado ataques dirigidos contra activistas uygures y tibetanos que empleaban plataformas Windows y Mac OS X, ambos documentados en nuestra web, cuyas herramientas de propagación consistían en archivos ZIP además de DOCXLS y documentos en PDF plagados de agujeros de seguridad.

Hace algunos días, la cuenta de correo electrónico de un activista tibetano relevante ha sido hackeada y usada para enviar ataques dirigidos contra el resto de compañeros activistas y otros defensores de los derechos humanos. Pero esto no es nada nuevo, lo que llama la atención aquí es que los emails empleados para atacar llevan adjunto un .APK -o paquete instalador- de Android.

El ataque

El día 24 de Marzo de 2013, la cuenta de correo de un activista tibetano importante fue vulnerada y está siendo empleada para dirigir ataques tipo “spear phishing” contra su lista de contactos. El aspecto que presenta este ataque de phishing es el siguiente: 

 android 1

En relación a la captura superior, debemos explicar que muchos grupos de activistas han organizado recientemente una conferencia de derechos humanos en Génova. Hemos visto como han aumentado los ataques que perseguían engañar al usuario con este supuesto. A continuación otro ejemplo de este tipo de ataque sobre usuarios de Windows:

 android 2

Volviendo al paquete de Android (APK) que viene adjunto al email, lo que este presenta es una aplicación llamada “WUC´s Conference.apk“.

El paquete malicioso tiene un tamaño de 334326 bytes, cuyo MD5 es: 0b8806b38b52bebfe39ff585639e2ea2 y es detectado por el producto antivirus de Kaspersky como “Backdoor.AndroidOS.Chuli.a”

Después de la instalación, una aplicación llamada “Conference” (conferencia) aparece en el escritorio.

 android 3

Si la víctima arranca la aplicación, verá la información que esta desvela sobre el inminente evento: 

 208194195

A continuación el texto completo contenido en la aplicación. Nótese un error llamativo en dicho texto, ya que se confunde la palabra “Word” con “World”:

“On behalf of all at the Word Uyghur Congress (WUC), the Unrepresented Nations and Peoples Organization (UNPO) and the Society for Threatened Peoples (STP), Human Rights in China: Implications for East Turkestan, Tibet and Southern Mongolia

In what was an unprecedented coming-together of leading Uyghur, Mongolian, Tibetan and Chinese activists, as well as other leading international experts, we were greatly humbled by the great enthusiasm, contribution and desire from all in attendance to make this occasion something meaningful, the outcome of which produced some concrete, action-orientated solutions to our shared grievances. We are especially delighted about the platform and programme of work established in the declaration of the conference, upon which we sincerely hope will be built a strong and resolute working relationship on our shared goals for the future. With this in mind,we thoroughly look forward to working with you on these matters.

Dolkun lsa

Chairman of the Executive Committee

Word Uyghur Congress”


Mientras la víctima lee el mensaje falso, el malware contenido ya está informando de la infección a su centro de “comando y control” o C2. Después, este empieza a recopilar información del dispositivo, lo que incluye:

  • Contactos (tanto los de la tarjeta SIM como los del teléfono)

  • Registro de llamadas.

  • Mensajes SMS

  • Geo-localización

  • Datos del teléfono (número, versión de Sistema Operativo, modelo, versión SDK)

Es importante señalar que estos datos no serán enviados al servidor C2 automáticamente. El troyano espera a que entre un SMS (“alarmReceiver.class”) y comprueba si estos mensajes contienen uno de los siguiente parámetros: “sms”, “contacto”, “lugar”, “otro”. Si se encuentra uno de estos comandos, el malware codificará los datos robados con “Base64” y los enviará al servidor de comando y control. La url de este C2 es:

hxxp://64.78.161.133/*victims’s_cell_phone_number*/process.php

Además de esto, el malware enviará otro script, “hxxp://64.78.161.33/android.php“. Primero conseguirá la variable “número nativo” del valor “telmark” situado en “AndroidManifest.xml”. Esto es igual al número de teléfono. Después, añade el resultado al método publico “localDate.getTime()”, que simplemente añade la fecha y hora actuales. Un ejemplo de cadena resultante es “teléfono 26.03.2013”.

Resulta interesante que los atacantes empleen la librería Java Base 64 desarrollada por Sauron Software. Es un software gratuito y libre distribuído bajo licencia LGPL.

También se aprecia que, en las comunicaciones entre el centro de control y el malware, se incluye la función denominada “chuli()” antes de transmitir los datos robados al servidor. Parece ser que los atacantes están de alguna forma familiarizados con el lenguaje y la cultura de montaña-escalada de los objetivos -la palabra chuli significa “cumbre” o “cima”. 

 android 4

El código fuente descompilado nos permite ver claramente cuales son los parámetros usados por el centro de Comando-control:

 android 5

El centro de Comando y Control

El servidor que ejerce estas funciones tiene asignada la IP 64.78.161.133. Esta IP está situada en Los Angeles, U.S.A. y alojada en una compañía de hosting llamada “Emagine Concept Inc”. 

 android 6

Resulta interesante comprobar uno de los dominios que apuntan al servidor, “DlmDocumentsExchange.com“. El dominio fué registrado el día 8 de Marzo de 2013:

Registration Service Provided By: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.

Domain Name: DLMDOCUMENTSEXCHANGE.COM

Registration Date: 08-Mar-2013

Expiration Date: 08-Mar-2014

Status:LOCKED

The domain registration data indicates the following owner:

Registrant Contact Details:

peng jia

peng jia ( bdoufwke123010@gmail.com)

beijingshiahiidienquc.d

beijingshi

beijing,100000

CN

Tel. +86.01078456689

Fax. +86.01078456689

El centro de comando y control también aloja en su página “index” o principal un archivo .APK: 

 android7

Si abrimos el centro de comando en una ventana del explorador de internet, muestra el siguiente aspecto: 

android 8

El servidor que ejerce de Centro de control está basado en Windows Server 2003 y ha sido configurado para lenguaje Chino: 

 android 9

Conclusiones

Cada día aparecen cientos (sino miles) de ataques dirigidos contra simpatizantes de la causa tibetana o Uygur. La gran mayoría de los ataques persiguen máquinas Windows a através de exploits para documentos Word basándose en las vulnerabilidades conocidas como CVE-2012-0158, CVE-2010-3333 y CVE-2009-3129.

Resulta bastante probable que los atacantes sean chinos, ya que es el lenguaje bajo el que funciona su servidor de control.

Por ahora la mejor opción es no abrir paquetes .APK que lleguen a dispositivos Android vía e-mail. El malware es detectado como “Backdoor.AndroidOS.Chuli.a” por Kaspersky antivirus.

J. Alfaya Perez

5212