Análisis de APPs relacionadas con COVID19 usando Tacyt (II)Andrés Naranjo Amador Aparicio 20 agosto, 2020 Seguimos con la investigación comenzada en la entrada anterior en la que analizamos este tipo de aplicaciones con nuestra herramienta Tacyt. Relacionado con la aplicación analizada, podemos observar que un rápido vistazo a los permisos en Tacyt ya nos deja bien claro que no nos hallamos ante una APP convencional: permisos de llamadas, cuentas, SMS, eliminación de procesos, NFC, grabar audio y un largo etcétera. Todo esto es mucho más propio de una APP maliciosa que de una APP legítima, sea cual sea su funcionalidad. Las probabilidades de que sea un troyano que se ejecute en segundo plano para poder acceder a información sensible generada a través del dispositivo móvil son, por tanto, elevadas. Destacan como críticos los siguientes permisos que la APP necesita para poder ejecutarse en el terminal: android.permission.CALL_PHONE: permite que una aplicación inicie una llamada telefónica sin pasar por la interfaz de usuario del marcador para que el usuario confirme la llamada.android.permission.INTERNET: permite que las aplicaciones abran conexiones de red.android.permission.NFC: permite que las aplicaciones realicen operaciones de E/S a través de NFC.android.permission.READ_CONTACTS: permite que una aplicación lea los datos de los contactos del usuario.android.permission.READ_PHONE_STATE: permite el acceso de solo lectura al estado del teléfono, incluida la información actual de la red celular, el estado de las llamadas en curso y una lista de todas las cuentas telefónicas registradas en el dispositivo.android.permission.READ_SMS: permite que una aplicación lea mensajes SMS.android.permission.RECEIVE_SMS: permite que una aplicación reciba mensajes SMS.android.permission.RECORD_AUDIO: permite que una aplicación grabe audio.android.permission.SEND_SMS: permite que una aplicación envíe mensajes SMS. Tras instalar la APP en un dispositivo Android, se observa que únicamente realiza conexiones a la dirección IPv4 149.154.167.99 bajo el protocolo HTTPS. Podemos ver también que la dirección IP anterior corresponde con uno de los servidores de Telegram encargados de la gestión de bots para comunicarse por este medio. Tras descompilar y analizar el código de la APP maliciosa, vemos que usa técnicas de ofuscación para intentar evadir la detección por los motores antimalware existentes o por los mecanismos de protección presentes en los dispositivos móviles actuales. La APP utiliza SQLite para almacenar de manera local la información sensible que obtiene del dispositivo de la víctima donde se instala y, presumiblemente, por cada víctima, mandar un aviso a un bot de Telegram. Además, es muy probable que toda la información que vaya recabando la APP maliciosa de cada una de sus víctimas, como por ejemplo mensajes de audio, búsquedas realizadas con el navegador en busca de parámetros o cookies de sesión, información obtenida a través de la webcam, etc., sea almacenada de manera local en una base SQLite para un posterior volcado en un servidor centralizado controlado por el cibercriminal. Con estos claros indicios, se puede ya comprobar que muchos motores antimalware identifican a la APP como maliciosa, concretamente detectando el famoso troyano Cerberus, que permite control total del sistema. Los atacantes han disfrazado el troyano una vez más con una temática llamativa y relevante para el momento, intentando maximizar las descargas. Conclusión Como en tantas otras ocasiones y aprovechando la repercusión y la incertidumbre generada por la pandemia de la COVID-19, muchas aplicaciones maliciosas están usando técnicas de ingeniería social para, a través de troyanos tradicionales, controlar dispositivos. Sólo nos queda recomendar encarecidamente descargar solamente aplicaciones desde fuentes oficiales para evitar problemas de seguridad y privacidad. ElevenPaths presenta DIARIO, el detector de malware que respeta la privacidad de los usuariosNoticias de Ciberseguridad: Boletín semanal 15-21 de agosto
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
David Prieto Marqués La importancia del control de acceso: ¿está tu empresa protegida? Por David Prieto y Rodrigo Rojas En un mundo cada vez más digitalizado y complejo, la seguridad de la información es fundamental para las empresas. A medida que las empresas...
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...