Análisis de APPs relacionadas con COVID19 usando Tacyt (II)Andrés Naranjo Amador Aparicio 20 agosto, 2020 Seguimos con la investigación comenzada en la entrada anterior en la que analizamos este tipo de aplicaciones con nuestra herramienta Tacyt. Relacionado con la aplicación analizada, podemos observar que un rápido vistazo a los permisos en Tacyt ya nos deja bien claro que no nos hallamos ante una APP convencional: permisos de llamadas, cuentas, SMS, eliminación de procesos, NFC, grabar audio y un largo etcétera. Todo esto es mucho más propio de una APP maliciosa que de una APP legítima, sea cual sea su funcionalidad. Las probabilidades de que sea un troyano que se ejecute en segundo plano para poder acceder a información sensible generada a través del dispositivo móvil son, por tanto, elevadas. Destacan como críticos los siguientes permisos que la APP necesita para poder ejecutarse en el terminal: android.permission.CALL_PHONE: permite que una aplicación inicie una llamada telefónica sin pasar por la interfaz de usuario del marcador para que el usuario confirme la llamada.android.permission.INTERNET: permite que las aplicaciones abran conexiones de red.android.permission.NFC: permite que las aplicaciones realicen operaciones de E/S a través de NFC.android.permission.READ_CONTACTS: permite que una aplicación lea los datos de los contactos del usuario.android.permission.READ_PHONE_STATE: permite el acceso de solo lectura al estado del teléfono, incluida la información actual de la red celular, el estado de las llamadas en curso y una lista de todas las cuentas telefónicas registradas en el dispositivo.android.permission.READ_SMS: permite que una aplicación lea mensajes SMS.android.permission.RECEIVE_SMS: permite que una aplicación reciba mensajes SMS.android.permission.RECORD_AUDIO: permite que una aplicación grabe audio.android.permission.SEND_SMS: permite que una aplicación envíe mensajes SMS. Tras instalar la APP en un dispositivo Android, se observa que únicamente realiza conexiones a la dirección IPv4 149.154.167.99 bajo el protocolo HTTPS. Podemos ver también que la dirección IP anterior corresponde con uno de los servidores de Telegram encargados de la gestión de bots para comunicarse por este medio. Tras descompilar y analizar el código de la APP maliciosa, vemos que usa técnicas de ofuscación para intentar evadir la detección por los motores antimalware existentes o por los mecanismos de protección presentes en los dispositivos móviles actuales. La APP utiliza SQLite para almacenar de manera local la información sensible que obtiene del dispositivo de la víctima donde se instala y, presumiblemente, por cada víctima, mandar un aviso a un bot de Telegram. Además, es muy probable que toda la información que vaya recabando la APP maliciosa de cada una de sus víctimas, como por ejemplo mensajes de audio, búsquedas realizadas con el navegador en busca de parámetros o cookies de sesión, información obtenida a través de la webcam, etc., sea almacenada de manera local en una base SQLite para un posterior volcado en un servidor centralizado controlado por el cibercriminal. Con estos claros indicios, se puede ya comprobar que muchos motores antimalware identifican a la APP como maliciosa, concretamente detectando el famoso troyano Cerberus, que permite control total del sistema. Los atacantes han disfrazado el troyano una vez más con una temática llamativa y relevante para el momento, intentando maximizar las descargas. Conclusión Como en tantas otras ocasiones y aprovechando la repercusión y la incertidumbre generada por la pandemia de la COVID-19, muchas aplicaciones maliciosas están usando técnicas de ingeniería social para, a través de troyanos tradicionales, controlar dispositivos. Sólo nos queda recomendar encarecidamente descargar solamente aplicaciones desde fuentes oficiales para evitar problemas de seguridad y privacidad. ElevenPaths presenta DIARIO, el detector de malware que respeta la privacidad de los usuariosNoticias de Ciberseguridad: Boletín semanal 15-21 de agosto
Telefónica Tech Boletín semanal de ciberseguridad, 8 — 19 de agosto Google informa del mayor ataque DDoS de la historia Investigadores de Google han informado acerca del mayor ataque de DDoS jamás registrado hasta el momento. En concreto, el pasado 1...
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 16 — 22 de julio Lightning Framework: nuevo malware dirigido a entornos Linux El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y...
Telefónica Tech España necesita 83.000 profesionales en ciberseguridad en los próximos dos años Universidad Loyola y Telefónica Tech han puesto en marcha el nuevo Máster en Ciberseguridad para CISO
Roberto García Esteban Cloud computing: abierto por vacaciones Llegan las vacaciones de verano y con ellas el merecido descanso para casi todos nosotros. La actividad de la mayoría de las empresas se reduce drásticamente, aunque también hay...