Fallas en la doble autenticación de paypal

Existe una vulnerabilidad en la forma en como PayPal maneja algunas peticiones de clientes móviles. Esto permite a los atacantes evitar el mecanismo de autenticación doble y transferir dinero de alguna víctima a la cuenta que el atacante quiera.

La falla radica en la forma en la que fluye el proceso de autenticación en los dispositivos móviles iOS y Android, el error se encuentra del lado del servidor. Investigadores de Duo Security desarrollaron una aplicación móvil como prueba de concepto que puede explotar la vulnerabilidad. Se advirtió a PayPal del problema desde marzo y han estado trabajando en corregirlo. Sin embargo, no se planea liberar un parche completo sino hasta julio.

Zach Lanier, investigador en seguridad de DuoSecurity, escribió su explicación sobre la vulnerabilidad y sus efectos:

“El Atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta que está protegida por seguridad de dos factores y enviar dinero. La protección ofrecida por el mecanismo de seguridad de dos factores puede ser evadido y esencialmente anulado”.

“Mientras la app móvil de PayPal aun no soporta la autenticación doble, es posible engañar a la aplicación para que ignore la bandera de autenticación doble de la cuenta, permitiendo al atacante ingresar a la cuenta sin la segunda autenticación”.

PayPal brinda a sus usuarios la opción de usar autenticación doble de distintas maneras. En esta autenticación se generan contraseñas de un sólo uso durante la sesión. Este sistema puede ser utilizado en el soporte web de PayPal pero no en la aplicación móvil.

La vulnerabilidad puede ser explotada al crear una aplicación que engaña a la API de PayPal, ésta cree que la aplicación móvil se está conectando a una cuenta con autenticación simple, ignorando por completo la autenticación doble.

La aplicación que se creó se comunica con dos API distintas de PayPal. La primera se encarga de la autenticación y la segunda se encarga de la transferencia del dinero. Mientras se investigaba la vulnerabilidad, los investigadores de Duo notaron que cuando los servidores de PayPal responden a una petición POST desde la aplicación móvil, utilizando la autenticación doble, se desplegaba un mensaje de error y se enviaba al usuario a la pantalla de login. Pero cuando la respuesta del servidor era modificada colocando el campo de autenticación doble en la aplicación, se le permitía al usuario entrar.

vía threatpost

Anuncios

Clon chino con malware preinstalado

Celular clon con malware incluido desde el inicio, que brillante idea!!! por que esperar a que el usuario descargue algo malicioso, si le puedes dar el celular infectado desde un principio, a final de cuenta esta comprando algo ilegitimo no?

 

A continuación el árticulo original.

 

Malware-Android-Aplicaciones

 

Ya sea por una vulnerabilidad recién encontrada que ponga en jaque a toda la seguridad de un conjunto, o por una pieza de código creada por x con y intereses que crea ese problema por sí mismo, la seguridad de cualquier sistema suele estar en entredicho demasiadas veces. Esto no es nada nuevo en Android: no serán pocas las actualizaciones lanzadas para paliar estos problemas, pero parece que la historia se vuelve a repetir por un lado que, aunque ya era predecible al contar con algún que otro antecedente, no hace más que lanzar (más) desconfianza hacia el continente asiático.

Sí, estamos hablando de China, el lugar de donde han salido incontables clones de todos los terminales populares del mercado: Samsung, HTC, Sony… todos cuentan con un clon de su modelo insignia dentro de las fronteras que marcan la Gran Muralla, y gracias a la exportación podemos hacernos con muchos de ellos (y más de una vez hemos hablado de ellos e incluso os hemos hecho análisis sobre algunos modelos). El caso es que esto podría ser mucho mas inseguro de lo que pensamos, porque G Data ha encontrado un clon chino que cuenta con malware desde que sale de la fábrica.

Malware instalado y funcionando desde que sale de la caja

Star N9500

Los alemanes especializados en seguridad se han encontrado, al analizar el Star N9500 (clon bastante popular del Samsung Galaxy S4), que cuenta con malware de fábrica: la versión de Google Play Store que viene preinstalada con el firmware en realidad no es la original, pero lo que sí llega a ser es el troyano Android.Trojan.Uupay.D. El problema es bastante peliagudo: es capaz de acceder hasta los rincones más oscuros del teléfono sin que nos demos cuenta, no se puede desinstalar al venir junto al sistema y envía todos tus datos a un servidor de origen desconocido en China, y creo que podemos dar por seguros que no es para regalarte un Galaxy S4 de verdad.

Y sí, lo habéis leído bien, se oculta en una falsa aplicación de Google Play para capturar todos los datos personales que pueda y enviarlos a ese servidor chinos, o incluso instalar más malware sin que nos demos cuenta a través de aplicaciones: una herramienta todo-en-uno para las personas que hayan ideado este sistema, ya que les da un acceso trasero perfecto para instalar mas herramientas que nos saquen mas y mas datos confidenciales y sensibles. Lo malo es que no podemos saber a ciencia cierta si es cosa de la marca o de algunas manos negras que hayan entrado en la cadena de producción sin que nadie se percatara, y siendo el servidor chino completamente anónimo parece inútil buscar cabezas que cortar. Y, si estáis interesados en profundizar, podéis leer todos los detalles en el artículo que han preparado desde la compañía, aunque tenga un tono algo alarmista.

¿Un flaco favor a todos los fabricantes chinos?

FILES-CHINA-TAIWAN-TECHNOLOGY-FOXCONN-LABOUR

Esto llega a nuestros oídos en una época en la que China esta en plena expansión en lo que se refiere a Android: marcas como Huawei, Lenovo y Oppo se asientan cada vez más en mercado internacional, otros como Xiaomi o OnePlus vienen pisando muy fuerte, los clones chinos que prometen características punteras a precios de derribo estan a la orden del día… y dudo mucho que ningún jefazo de estas marcas disfrute leyendo estas noticias: ¿Quien va a querer comprar teléfonos chinos sí corren el riesgo de contener malware oculto en el sistema que nos robe información de todo tipo?

En el caso de que sea Star el responsable final de todo esto, creo que esta muy claro por donde habría que cortar el hierbajo. Sin embargo, si se debe a lo segundo, esto deja muy en entredicho la seguridad que disponen las cadenas de montaje y pruebas cuando cualquiera puede entrar y colocar su flamante troyano en el firmware de unos cuantos clones chinos sin que nadie se percate de ello. Puede que no toque demasiado a los grandes fabricantes o a los que prometen de verdad, pero el fantasma de que los Android chinos son malos sí o sí probablemente haya crecido más aún con esta noticia.

Y es que no es la primera vez que vemos que desde China nos llegan cosas del todo inseguras: por ejemplo, no son pocos los casos de reproductores MP3 que contienen virus que se intentan colar en nuestro ordenador o videocámaras de seguridad que cuentan con malware que también trata de robar datos (por citar ejemplos que se me vengan a la mente). ¿Por que los clones chinos iban a ser diferentes en este sentido? ¿Este es el verdadero coste de unos precios tan bajos?

vía elandroidelibre

Uroburos, un spyware sofisticado con raíces rusas

Los expertos en seguridad de G Data han descubierto un spyware altamente sofisticado y complejo. Está diseñado para robar información secreta y sensible de instituciones públicas, servicios de inteligencia o grandes corporaciones. El rootkit, llamado Uroburos, es capaz de propagarse por las redes infectadas de forma autónoma. Incluso los equipos que no están conectados a Internet son atacados por este malware.

G Data concluye que para desarrollar un software como este son necesarias notables inversiones en personal e infraestructura y su diseño y nivel de complejidad permiten deducir que pueda haberse elaborado en los laboratorios de algún servicio secreto. De acuerdo a detalles técnicos como el nombre de los archivos, el cifrado y el comportamiento del software, se sospecha que Uroburos podría provenir de los mismos autores del ciberataque dirigido contra Estados Unidos en 2008, en aquella ocasión usando un malware llamado “Agent.BTZ”. El fabricante de soluciones de seguridad alemán estima que este malware ha permanecido funcionando al menos tres años.

¿Qué es Uroburos?

Uroburos es un rootkit formado por dos archivos, un driver y un archivo de sistema cifrado. El malware puede usarse para tomar el control del PC infectado, ejecutar cualquier código arbitrario y ocultar sus acciones en el sistema. Uroburos es también capaz de robar datos y grabar el tráfico de datos de la red. Su estructura modular permite a los atacantes completar el malware con funciones adicionales. Y es precisamente su modularidad y flexibilidad lo que detalla lo avanzado y peligroso de este malware.

Su complejidad técnica apunta a los servicios secretos

El diseño de Uroburos atestigua que el malware es muy complejo y costoso de desarrollar y los expertos de G Data deducen que han tenido que estar implicados en su creación desarrolladores altamente cualificados. De igual forma, el fabricante alemán asume que no ha sido obra de ciberdelincuentes y piensa que algún servicio secreto se esconde detrás de Uroburos.

Uroburos está diseñado para trabajar en redes de grandes empresas, instituciones públicas y organizaciones dedicadas a la investigación. El patrón muestra que los atacantes han tenido en cuenta la circunstancia de que en las redes conviven equipos no conectados. El malware se propaga de forma autónoma y funciona en modo “peer to peer” donde las PC infectadas en una red cerrada se comunican directamente entre sí y donde los atacantes sólo necesitan una PC con acceso a Internet. Los equipos infectados recolectan los datos y los transfieren al equipo con conexión, donde se recopilan las informaciones y se transfieren a los atacantes. Uroburos soporta los sistemas de Microsoft Windows de 32 y 64 bits.

Un malware con conexión rusa

De acuerdo a los detalles técnicos, el cifrado y el comportamiento del malware, los expertos de G Data observan una conexión ente Uroburos y un ciberataque llevado a cabo contra Estados Unidos en 2008 mediante un malware conocido como “Agent.BTZ”. Uroburos comprueba los sistemas infectados para ver si dicho malware está ya instalado, en cuyo caso el rootkit permanece inactivo. De igual forma, parece claro que los desarrolladores de estos dos programas son ruso parlantes.

Los análisis muestran que los atacantes no están interesados en internautas ordinarios. Los esfuerzos operacionales solo están justificados cuando se persiguen información sensible y nunca de internautas comunes, como grandes empresas, estados, servicios secretos o similares.

Al menos tres años funcionando

El rootkit Uroburos es el malware más avanzado que los expertos de G Data han analizado en su laboratorio y su driver más antiguo fue compilado en 2011, lo que indica que permanece activo desde entonces.

Vector de infección, indeterminado

Hasta ahora, no ha sido posible determinar cómo se infiltra Uroburos en una red y el ataque puede darse con éxito de varias formas, entre ellas, spear phising (phising dirigido a objetivos específicos), infecciones drive-by o ingeniería social.

¿Qué significa Uroburos?

G Data ha utilizado este nombre después de comprobar su presencia en el código fuente. Uroburos es un símbolo griego que muestra un animal serpentiforme engullendo su propia cola.

vía pcworld

Primer malware para Android basado en Tor

Yo por eso no instalo aplicaciones de dudosa procedencia y el mobile security de Trend Micro, me ha detectado algunas cosillas.

Actualmente, utilizamos nuestros teléfonos inteligentes para realizar cualquier cosa, desde servicios bancarios por Internet hasta compartir archivos privados, al mismo tiempo, el sector de programas maliciosos para dispositivos móviles está creciendo.

First Tor Based Android Malware Spotted in the Wild

El número de variantes de programas maliciosos dirigidos a dispositivos móviles ha reportado un aumento que se aproxima a un 185% en menos de un año.

Investigadores en seguridad han observado un incremento en el número de equipos con familias de programas maliciosos que comienzan a utilizar comunicaciónes basadas en Tor. Recientemente investigadores de la firma de antivirus Kapersky Lab encontraron el primer programa malicioso basado en Tor para el sistema operativo Android.

El programa malicioso de Android es conocido como “Backdoor.AndroidOS.Torec.a”, por que usa un protocolo de servicio oculto de Tor para esconder la comunicación con el servidor de comando y control.

Investigadores detectaron que el troyano se ejecuta desde un dominio .Onion perteneciente a Tor y trabaja basándose en un cliente Tor de código abierto para dispositivos móviles llamado Orbot, así la amenaza pudo ser detectada y bloqueada por las autoridades, aunque no está claro el número de dispositivos que han sido infectados por el malware.

El troyano es capaz de interceptar y robar los mensajes de entrada, puede hacer peticiones USSD, el robo de información de dispositivos incluye el número de teléfono, país, IMEI, modelo y versión del sistema operativo, puede recuperar la lista de las aplicaciones instaladas en el dispositivo móvil y también puede enviar mensajes de texto a un número específico.

Kaspersky no mencionó que el malware se centre particularmente en el robo de información bancaria o no, pero la popularidad del sistema operativo Android mantiene la motivación de los cibercriminales para desarrollar malware mucho más avanzado para Android, con métodos más sigilosos y poco rastreables.

Estas son algunas consideraciones para reducir drásticamente el riesgo de infecciones de malware en su teléfono Android:

  • Instalar aplicaciones desde Google Play Store en lugar de las tiendas de aplicaciones de terceros o sitios web externos.
  • Antes de instalar cualquier aplicación, compruebe quién las publica y los comentarios a la aplicación.
  • Preste atención a los permisos de aplicaciones durante la instalación.
  • Instale un antivirus y un firewall de aplicaciones.

FLAPPY BIRD

Ya de por si es dificil para mi terminar un video juego por el rápido aburrimiento y desinteres que muestro despues de jugarlo por un rato (con algunas excepciones)… ¿por qué jugar un juego frustrante?… y lo más increible es la fama que a creado por ser considerado el peor videojuego, sin embargo dicha fama también le a hecho ganar varios miles de dolares al desarrollador, así como a unos abusados en ebay que venden celulares con el juego instalado.

El juego es básico, limitado, frustrante, difícil, poco original. No le impidió ser -por razones diversas- un éxito: sumó más de 50 millones de descargas en el tiempo en que estuvo disponible en las tiendas de juegos para Android y para el iPhone.

Ya no está más: el domingo último, Dong Nguyen , el programador vietnamita de 29 años que lo creó en unas pocas noches de trabajo, lo borró.

Ya no importan las razones por las que tomó esa decisión. ¿Una demanda judicial en ciernes? ¿el bochorno por haber sido descubierto -al parecer- usando estrategias non sanctas para hacer que ese y otros juegos sumaran, de un día para el otro, cientos de reseñas en las tiendas de Google y Apple y, con ellas, crecieran las descargas? ¿La necesidad de reducir su exposición pública por el juego que , como dijo Nguyen, le hacía mal? Quedará en el mundo de la especulación y el debate.

Lo cierto es que hoy no es posible descargar el juego de las tiendas oficiales. Pero sí es posible -y esto es un problema- conseguir el archivo original para Android e instalarlo en el teléfono (si se activa la instalación de software de terceros en el equipo).

El problema es que los vivillos que nunca falta aprovecharon para inundar Internet de malware disfrazado del Flappy Bird. El juego se instala, cómo no, y uno intenta hacer volar el pajarraco la mayor distancia posible, pero junto con él viene código malicioso que intenta generar SMS a números premium (aunque apuntan a servicios fuera de nuestro país).

El Flappy Bird original era gratis; de hecho, se financiaba en base a publicidad. En su momento de apogeo Nguyen llegó a facturar 50.000 dólares diarios, según algunos reportes. Todavía gana dinero, porque Flappy Bird no se puede descargar más pero tiene probablemente millones de usuarios que todavía lo conservan en sus equipos, lo juegan y, cuando lo hacen, ven un aviso.

Una de las versiones del juego modificadas con malware que circula por la red, nota la compañía Sophos , muestra un cartel que dice que el tiempo de prueba ha expirado, que deberá enviarse un SMS a un número para activarlo, etcétera. Esto, por supuesto, es falso, y hace que el usuario genere un mensaje premium que cobra la otra parte.

Otra versión, según indica Trend Micro , logra además enviar datos del usuario (como su dirección de mail, etcétera) a un servidor remoto.

 

Vía: la nacion

Samsung se cansa del malware en Android e incluirá un antivirus de serie en sus móviles

El malware se ha convertido en la principal lacra de Android en los últimos años. Cansado de esperar una solución por parte de Google, Samsung ha decidido tomar la iniciativa y ha confirmado que sus terminales con este sistema operativo móvil incluirán por defecto un antivirus.

El auge de Android en el sector móvil ha venido acompañado de un boom en lo que amenazas en forma de software malicioso se refiere. Cada día se detectan nuevas formas de malware que buscan afectar a los usuarios y las consecuencias podrían ser muy graves para éstos, ya que dan pie incluso a estafas económicas y robo de información personal que puede utilizarse con fines de dudosa moralidad.

Lo más sorprendente de la situación es el inmovilismo que ha mostrado Google a la hora de luchar contra este tipo de software. En las últimas versiones de Android asegura que sus desarrolladores han mejorado la seguridad de la plataforma, pero lo cierto es que los virus siguen campando a sus anchas en la Red y el número de terminales infectados continúa creciendo sin control.

Hastiado de este problema, Samsung ha decidido entrar de forma directa en la polémica anunciando un acuerdo con la firma de seguridad informática Lookout. Como leemos en Androidayuda.com, los móviles de Samsung incluirán de serie este antivirus, considerado como uno de los más efectivos hasta ahora. De esta forma, el fabricante surcoreano tiene un gran gesto con sus usuarios, reforzando su protección frente a los ciberdelincuentes.

Este acuerdo se une al Kill Switch que el Gobierno de Corea del Sur ha obligado a integrar en los dispositivos. Se trata de un sistema antirrobo con el que se pretende que desciendan los hurtos de smarpthones en el país asiático y que complementa a Knox, el sistema de la compañía para proteger los archivos, la privacidad y aplicaciones de los usuarios.

¿Deberían seguir sus pasos el resto de fabricantes? Aunque no resulta nada complicado descargar un antivirus por nuestra cuenta, es evidente, que lo anunciado por Samsung es un gesto muy positivo de cara a la relación con sus clientes. Esperemos que otras compañías hagan lo propio, pero que sea especialmente Google la que centre sus esfuerzos en acabar con este grave problema.

vía adslzone

Publicidad movil Redes de publicidad móvil, autopistas para el malware

Palo Alto Networks, una empresa especializada en seguridad de red, ha presentado los resultados de un estudio en el que asegura que las redes de publicidad móvil son perfectas para servir malware a los dispositivos Android.

La mayoría de los desarrolladores móviles incluyen publicidad en sus aplicaciones para generar ingresos. Sin embargo, a diferencia de los anuncios mostrados en los navegadores, la que aparece dentro de las aplicaciones móviles se sirven a través de un código que es parte de las propias aplicaciones.

Es ese código embebido utilizado por las redes de publicidad la que permite hacer un seguimiento de la publicidad y que se pague a los desarrolladores, pero al mismo tiempo, es una puerta trasera, explica Wade Williamson, analista de Palo Alto, en un post.

De forma que si las redes móviles se convierten en un método para extender el malware, una aplicación absolutamente benigna puede convertirse en peligrosa. Lo que tenemos entonces no es más que una botnet. La única diferencia, explica el investigador, es que la red de publicidad muestra contenido benigno y aprobado.

Después de detectar que las amenazas para Android se están distribuyendo de esta manera, Williamson explica que una vez distribuida como si fuera publicidad, la carga maliciosa se ejecuta silenciosamente en la memoria del dispositivo y espera que el usuario inicie la instalación de cualquier otra aplicación. Sin que el usuario se de cuenta, porque piensa que es parte del proceso de instalación, otorga permisos al malware, que una vez instalado adquiere la capacidad para interceptar y esconder mensajes de texto recibidos, además de enviar mensajes de texto que pueden incrementar las facturas de los usuarios.

Protegerse contra este tipo de ataques es complicado, pero no imposible. Una de las recomendaciones para los usuarios es que se aseguren de que sus dispositivos no están configurados para permitir la instalación de aplicaciones de fuentes desconocidas, además de ejecutar algún producto antivirus capaz de detectar comportamientos sospechosos, explica el experto de Palo Alto Networks.

Vía itespresso