ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Luchando y detectando replicantes con armas innovadoras (V) En esta ocasión te contamos de qué hablaron nuestros expertos del equipo de Innovación y Laboratorio en el Security Innovation Day 2019.
ElevenPaths Desde un sueño hasta la primera oficina de ElevenPaths en Latinoamérica Hace un tiempo en ElevenPaths comenzamos a soñar con una oficina en Latinoamérica, una oficina donde trabajar en los procesos internos de la empresa, que además pueda agregar la...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Segunda Edición de #GirlsInspireTech18: el laboratorio tecnológico para hijas de empleados de Telefónica Las sociedades se transforman cada vez más deprisa. Cuanto mayor es la innovación mayor es la capacidad de cambio en una sociedad. Sin embargo, esta transformación acelerada abre importantes...
ElevenPaths Los 433 MHz y el Software Libre. Parte 3 Antes de adentrarse en los proyectos de software, es conveniente considerar el hardware que será necesario, mínimo en muchos casos, pero imprescindible. Hardware RF 433Mhz AM (ASK/OOK) Receptor SDR-RTL. Aunque no...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Gabriel Bergel Descubriendo el mundo del biohacking No es la primera vez que hablamos sobre biohacking en el blog de ElevenPaths, si quieres conocer su historia te invitamos a visitar este post en el que hablamos...
ElevenPaths ElevenPaths Radio – 1×13 Entrevista a Pilar Vila Todo lo que rodea a la figura del perito informático forense en esta entrevista en formato podcast con Pilar Vila, CEO de Forensics&Security.
Otro mes, otra nueva familia de “rooting malware” para AndroidElevenPaths 11 julio, 2016 Hace varios meses hubo una explosión mediática sobre malware de rooteo de Android en Google Play. Estas familias fueron descubiertas y descritas por los laboratorios de investigación y seguridad de Cheetah Mobile, Check Point, Lookout, FireEye y Trend Micro, que las denominaron NGE MOBI/Xinyinhe, Brain Test, Ghost Push, Shedun o Kemoge. En un informe técnico posterior, tratamos a su vez de unir los puntos y conectarlas a todas. Concluimos que probablemente, todas ellas habían sido desarrolladas por el mismo grupo que habrían ido evolucionado sus técnicas desde, quizás, 2014. Vuelve a ocurrir: Se ha escrito en los medios sobre HummingBad, Hummer o Shedun Reloaded. ¿Pertenecen a la misma familia de malware? Todo depende de qué laboratorio este haciendo el análisis. ¿Tres familias diferentes de malware o no? HummingBad En febrero de este año, Check Point alertó al mercado sobre HummingBad. Este malware sigue las mismas “reglas” establecidas por la familia Brain Test, lo que implica que introduce también un rootkit en el móvil casi imposible de quitar, e instala aplicaciones móviles fraudulentas automáticamente. Pero era sorprendentemente más sofisticado. Infectaba a través de drive-by-downloads, su contenido estaba cifrado, y utilizaba varios métodos de redundancia para asegurar la infección (incluyendo automatización y, si esto no funcionaba, ingeniería social). Parte de la infraestructura utilizada como C&C han sido los dominios hxxp://manage.hummerlauncher.com, hxxp://cdn.sh-jxzx.com/z/u/apk, hxxp://fget.guangbom.com y hxxp://d2b7xycc4g1w1e.cloudfront.net. Y empeora. A principios de julio, los investigadores de Check Point atribuyeron HummingBad a una compañía de publicidad “legítima” llamada Yingmob, que según mantienen, es además responsable del malware para iOS denominado Yispecter, que se aprovecha de su certificado corporativo para instalarse por sí mismo, y que fue descubierto a finales del 2015. Hummer También en julio, Cheetah Mobile alertó sobre un malware que llamó Hummer, una nueva amenaza diferente a “GhostPush” (su propia denominación para Shedun, Kemoge, Brain Test, etc). Aunque Cheetah Mobile no lo indica explícitamente, Hummer es HummingBad, tal y como hemos podido confirmar fácilmente con Tacyt, puesto que utiliza la misma infraestructura y el archivo de rooting “right_core.apk” que a veces va incrustado en el APK y otras veces es descargado. Un ejemplar de HummingBad/Hummer con algunas de las URL singulares utilizadas Shedun? Lookout piensa de forma diferente. Afirman que HummingBad, o Hummer es lo mismo que Shedun, descubierto en noviembre de 2015. Mantienen que Shedun está estrechamente relacionado con la familia de BrainTest/GhostPush, y describen HummingBad como “no nuevo”, sin aportar más detalles técnicos. Por tanto, ¿son HummingBad/Shedun una evolución del mismo grupo cibercriminal que llegamos a conectar en nuestra anterior investigación, o proviene de un grupo distinto? Vamos a verlo. Nuestro análisis HummingBad, o Hummer, provienen de una compañia de adware “legítima” llamada Yingmob que por un tiempo, mantuvo su popular aplicación móvil “Hummer Launcher” en Google Play. Finalmente, Google eliminó la aplicación en mayo de 2015. Hummer Launcher firmado con el ismo certificado igual que algunas muestras de HummingBad Determinamos usando Tacyt, que incluso algunas muestras más agresivas estaban firmadas con el mismo certificado. Desde nuestro informe anterior de octubre, vimos algunas conductas muy específicas que asocian todas las familias de malware. Por ejemplo, la utilización de unos dominios particulares y la presencia de algunos archivos dentro del APK como “sys_channel.ng”. Uno de los dominios particulares compartido por varias muestras analizadas en octubre Uno de los nombres de ficheros específicos compartido por varias muestras analizadas en octubre Nuestro equipo de analistas utilizó Tacyt para concluir que existe una fuerte evidencia que sugiere una relación entre varios informes diferentes de varias diferentes empresas de seguridad, y confirmar que algunas de las aplicaciones móviles agresivas descubiertas estaban en Google Play a principios del 2015. Las evidencias obtenidas sugieren que las supuestas diferentes familias de malware podrían proceder de los mismos cibercriminales chinos (utilizan la misma infraestructura, los mismos dominios, asuntos, archivos, etc), evolucionando la misma idea de servir anuncios agresivos, rotear los dispositivos, enviar comandos e instalar nuevos paquetes. Llegamos a esta conclusión por varias similitudes que relacionan a las familias: dominios, fechas, permisos, nombres, certificados, recursos, etc. Este grupo chino comenzó sus actividades probablemente a finales de 2014, utilizando la “marca” OPDA y tratando de introducir malware en Google Play así como aplicaciones legítimas. Posteriormente, evolucionaron con nuevas técnicas, desde el adware Xinyinhe, que parecen ser simplemente variantes de “Ghost Push”, “BrainTest”… hasta “Kemoge”, todos ellos técnicamente relacionados de alguna forma. ¿Y qué pasa con HummingBad? Comprobando las singularidades de HummingBad hemos determinado que utiliza una infraestructura completamente diferente que tiene poco en común con nuestros resultados anteriores, aun cuando siguen la misma filosofía de rootear el dispositivo e instalar de forma silenciosa aplicaciones. No podemos encontrar ninguna evidencia acerca de certificados, archivos, o cualquier otro indicio que pueda ayudarnos a vincular las dos familias juntas como lo hicimos previamente. Por supuesto, es posible que no las hayamos encontrado. Por ejemplo, HummingBad utiliza principalmente estos dominios: guangbom.com, hummerlauncher.com, hmapi.com, cscs100.com… que no son compartidos con familias de malware anteriores, excepto hmapi.com, que parece un lugar común para adware y malware. Todas las aplicaciones móviles que contienen este dominio particular en Google Play son finalmente eliminadas. hmapi.com compartido entre adware o malware diferente que finalmente es siempre eliminado Otro ejemplo puede ser que HummingBad utiliza right_core.apk como payload, que puede ser descargado o estar incrustado en el APK. Buscando muestras que utilicen un fichero muy específico descargado o incrustado Con HummingBad podemos remontarnos “solamente” a principios de 2015 con ejemplos “legítimos” de adware. Con la familia BrainTest podemos hacerlo hasta 2014. Fecha de firma para las muestras que nuestros analistas habían marcado como HummingBad Otro punto de interés es que parece que BrainTest no estaba muy interesada en el seguimiento de sus anuncios con UMENG (la popular plataforma china), mientras que HummingBad parece utilizar UMENG en muchos más ejemplos. Las claves no coinciden en todo caso. Comparando keys entre familias La filosofía coincide, pero el código, la infraestructura, o incluso la “historia” no Parece que Shedun y HummingBad operan desde las raíces de compañias legítimas chinas (OPDA y Yigmob), y que pueden estar relacionados de otras maneras, pero los propietarios, recursos y desarrolladores parecen ser diferentes. Por lo tanto podemos concluir un par de ideas: HummingBad es Hummer, pero no parece ser el mismo malware que Shedun/GhostPush/BrainTest Esto es importante, porque significaría que los cibercriminales están aprendiendo entre ellos mismos. No es sólo el mismo grupo que evoluciona su propio producto. Preocupa puesto que lo más probable es que traten de mejorar técnicamente para ganar cuota de mercado entre ellos, ya que cuentan con “competidores”. Conseguir la atribución es siempre un ejercicio arriesgado para cualquier analista (incluido nosotros), pero creemos que HummingBad no es una evolución sino que se trata de un nuevo y peligroso malware de rooteo que se desarrolló paralelamente a otros anteriores (igual que hay diferentes ransomware o familias de troyanos bancarios con exactamente la misma filosofía). Y también creemos que esta familia está aquí para reclamar su cuota de mercado y quedarse por un tiempo. Desde un sueño hasta la primera oficina de ElevenPaths en LatinoaméricaNo te pierdas nuestro Tour de Seguridad Zona Norte en Chile
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...