Etiqueta: malware

Android Malware abusa de los permisos de la aplicación para secuestrar teléfonos | Noticias y opiniones


Tenga cuidado con los usuarios de Android: los piratas informáticos se están aprovechando de una laguna en el sistema operativo que puede hacer que niegue el acceso a su teléfono.

El lunes, investigadores de seguridad noruegos revelaron "Strandhogg", una vulnerabilidad que permite explotar ventanas de permisos de autorización en Android. Irónicamente, se supone que las ventanas de permisos emergentes son una característica de seguridad; Si una aplicación desea acceder a mensajes SMS, la cámara o los contactos de su teléfono, primero debe obtener su aprobación.

Esta función es una forma conveniente de evitar que las aplicaciones accedan automáticamente a datos o funciones confidenciales en su teléfono. Desafortunadamente, la misma copia de seguridad tiene un valor predeterminado. La compañía de seguridad Promon descubrió que los hackers usan software malicioso de Android para superponer ventanas emergentes falsas con permisos ilegales.

Los usuarios que hacen clic en ventanas emergentes pueden asumir: "Oh, estoy dejando que Instagram o Twitter accedan al almacenamiento de mi teléfono, por supuesto que es bueno". Pero en realidad, abren la puerta a la aplicación maliciosa del hacker.

"Un atacante puede solicitar acceso a todos los permisos, incluidos mensajes de texto, fotos, micrófono y GPS, lo que le permite leer mensajes, ver imágenes, escuchar orejas y seguir los movimientos de la víctima ", dijo Promon en su informe. "El ataque puede diseñarse para solicitar permisos, lo que sería natural para diferentes aplicaciones específicas, para reducir las sospechas de las víctimas".

La misma falla puede secuestrar la ventana de permisos para cualquier aplicación de Android. Además, también puede superponer ventanas de inicio de sesión similares en una aplicación de banca o redes sociales para engañarlo al pasar sus contraseñas.

La vulnerabilidad existe gracias al sistema multitarea de Android llamado "taskAffinity", que puede dejar inadvertidamente que una aplicación maliciosa asuma la identidad de otra aplicación incrustada en el sistema operativo, dijo Promon. La compañía de seguridad descubrió la amenaza después de que los clientes de varios bancos en la República Checa dijeron que su dinero había desaparecido misteriosamente de sus cuentas. Luego, un socio de la compañía proporcionó a Promon una muestra en vivo de malware de Android que explotó esta vulnerabilidad.

Para lanzar el ataque, los hackers utilizan secretamente "aplicaciones cuentagotas" y "descargadores hostiles" en Google Play Store. Estas aplicaciones pueden ser inofensivas al principio, pero descargarán en secreto el malware basado en Strandhogg en el teléfono de la víctima más tarde.

En respuesta a la amenaza, Google anunció que había eliminado aplicaciones dañinas de Play Store. De la sociedad El software de protección contra malware incorporado para Android, Google Play Protect, también se ha actualizado para evitar que las aplicaciones utilicen el ataque Strandhogg. "Además, continuamos nuestra investigación para mejorar la capacidad de Google Play Protect para proteger a los usuarios de problemas similares", agregó un portavoz de la compañía.

Sin embargo, Promon afirma que Google no ha corregido el sistema operativo Android desde el ataque de Strandhogg. En total, se descubrieron 36 aplicaciones maliciosas, algunas que datan de 2017, utilizando esta vulnerabilidad, según el socio de la encuesta de Promon, Lookout. Por extraño que parezca, ninguna de las empresas involucradas ha indicado qué aplicaciones se han visto afectadas, lo que desdibuja la importancia de la amenaza.

Entonces, ¿cómo puedes protegerte? El ataque proviene de aplicaciones maliciosas. Por lo tanto, es mejor evitar las tiendas de aplicaciones de terceros fuera de Google Play y no descargar aplicaciones de desarrolladores poco conocidos.

Promon también aconseja a los usuarios que tengan cuidado con las aplicaciones que requieren permisos que no necesitan. Por ejemplo, una aplicación de calculadora que solicita autorización de GPS. Si cree que está sucediendo algo sospechoso, desinstale la aplicación de inmediato.

Posible malware en Corea del Norte golpea planta nuclear india | Noticias y opiniones


Un malware norcoreano supuestamente infectó una computadora en una planta de energía nuclear en India.

La compañía que opera la central nuclear de Kudankulam confirmó el miércoles que una computadora presente en el sitio había sido infectada con un programa malicioso. "La investigación reveló que la PC infectada pertenecía a un usuario conectado a la red de Internet utilizada para fines administrativos", dijo la Corporación de Energía Nuclear de India Limited en un comunicado.

Afortunadamente, el código malicioso nunca se ha extendido a los sistemas de control industrial que gestionan directamente los procesos de las centrales nucleares. "Esto está aislado de la red crítica", agregó la compañía. "La investigación también confirma que los sistemas de la planta no se ven afectados".

La noticia de la infección fue revelada el lunes por Pukhraj Singh, analista indio en ciberseguridad. m dicho un tercero lo alertó de una intrusión en la red informática central. Luego informó a las autoridades del gobierno cibernético el 3 de septiembre, lo que desencadenó la investigación.

Según Singh, una muestra del malware basado en Windows también se cargó en VirusTotal, que utiliza varios motores antivirus para escanear un archivo en busca de procesos maliciosos. El análisis asocia el ejemplo con una cepa de spyware llamada "Dtrack", un troyano de acceso remoto que puede usarse para tomar el control de un dispositivo infectado y robar archivos. del sistema.

"En el caso de una implementación exitosa, el spyware puede enumerar todos los archivos y procesos disponibles en progreso, registro de claves, historial del navegador y direcciones IP de host, incluyendo información sobre redes disponibles y conexiones activas ", según el creador de antivirus Kaspersky Lab. También se puede usar para descargar otro código malicioso.

Dtrack también se conectó a un grupo de hackers patrocinado por el estado de Corea del Norte llamado Lazarus, que fue culpado por la violación de Sony Pictures en 2014 y el brote de ransomware WannaCry. Según Kaspersky Lab, el código de computadora de Dtrack comparte similitudes con ataques de malware anteriores, también relacionados con el grupo de piratería de Corea del Norte.

Las infecciones en Dtrack han afectado a instituciones financieras y centros de investigación en India, dijo Kaspersky Lab en un informe el mes pasado. La compañía dijo que había descubierto 180 muestras de malware Dtrack.

La forma en que la herramienta espía que se encuentra en el sistema informático de una central nuclear sigue sin estar clara. Pero esto sugiere la preocupante perspectiva de que los hackers norcoreanos hayan logrado robar archivos críticos en las operaciones de la fábrica, a pesar de que el acceso a los sistemas de control industrial nunca ha sido alcanzado.

En respuesta a esta violación, la Corporación de Energía Nuclear de India Limited declaró que continúa monitoreando las redes de la planta. Como garantía, los sistemas de control industrial que gestionan los procesos de la planta operan sin ningún acceso externo a Internet.

A %d blogueros les gusta esto: