Clon chino con malware preinstalado

Celular clon con malware incluido desde el inicio, que brillante idea!!! por que esperar a que el usuario descargue algo malicioso, si le puedes dar el celular infectado desde un principio, a final de cuenta esta comprando algo ilegitimo no?

 

A continuación el árticulo original.

 

 

Ya sea por una vulnerabilidad recién encontrada que ponga en jaque a toda la seguridad de un conjunto, o por una pieza de código creada por x con y intereses que crea ese problema por sí mismo, la seguridad de cualquier sistema suele estar en entredicho demasiadas veces. Esto no es nada nuevo en Android: no serán pocas las actualizaciones lanzadas para paliar estos problemas, pero parece que la historia se vuelve a repetir por un lado que, aunque ya era predecible al contar con algún que otro antecedente, no hace más que lanzar (más) desconfianza hacia el continente asiático.

Sí, estamos hablando de China, el lugar de donde han salido incontables clones de todos los terminales populares del mercado: Samsung, HTC, Sony… todos cuentan con un clon de su modelo insignia dentro de las fronteras que marcan la Gran Muralla, y gracias a la exportación podemos hacernos con muchos de ellos (y más de una vez hemos hablado de ellos e incluso os hemos hecho análisis sobre algunos modelos). El caso es que esto podría ser mucho mas inseguro de lo que pensamos, porque G Data ha encontrado un clon chino que cuenta con malware desde que sale de la fábrica.

Malware instalado y funcionando desde que sale de la caja

Los alemanes especializados en seguridad se han encontrado, al analizar el Star N9500 (clon bastante popular del Samsung Galaxy S4), que cuenta con malware de fábrica: la versión de Google Play Store que viene preinstalada con el firmware en realidad no es la original, pero lo que sí llega a ser es el troyano Android.Trojan.Uupay.D. El problema es bastante peliagudo: es capaz de acceder hasta los rincones más oscuros del teléfono sin que nos demos cuenta, no se puede desinstalar al venir junto al sistema y envía todos tus datos a un servidor de origen desconocido en China, y creo que podemos dar por seguros que no es para regalarte un Galaxy S4 de verdad.

Y sí, lo habéis leído bien, se oculta en una falsa aplicación de Google Play para capturar todos los datos personales que pueda y enviarlos a ese servidor chinos, o incluso instalar más malware sin que nos demos cuenta a través de aplicaciones: una herramienta todo-en-uno para las personas que hayan ideado este sistema, ya que les da un acceso trasero perfecto para instalar mas herramientas que nos saquen mas y mas datos confidenciales y sensibles. Lo malo es que no podemos saber a ciencia cierta si es cosa de la marca o de algunas manos negras que hayan entrado en la cadena de producción sin que nadie se percatara, y siendo el servidor chino completamente anónimo parece inútil buscar cabezas que cortar. Y, si estáis interesados en profundizar, podéis leer todos los detalles en el artículo que han preparado desde la compañía, aunque tenga un tono algo alarmista.

¿Un flaco favor a todos los fabricantes chinos?

Esto llega a nuestros oídos en una época en la que China esta en plena expansión en lo que se refiere a Android: marcas como Huawei, Lenovo y Oppo se asientan cada vez más en mercado internacional, otros como Xiaomi o OnePlus vienen pisando muy fuerte, los clones chinos que prometen características punteras a precios de derribo estan a la orden del día… y dudo mucho que ningún jefazo de estas marcas disfrute leyendo estas noticias: ¿Quien va a querer comprar teléfonos chinos sí corren el riesgo de contener malware oculto en el sistema que nos robe información de todo tipo?

En el caso de que sea Star el responsable final de todo esto, creo que esta muy claro por donde habría que cortar el hierbajo. Sin embargo, si se debe a lo segundo, esto deja muy en entredicho la seguridad que disponen las cadenas de montaje y pruebas cuando cualquiera puede entrar y colocar su flamante troyano en el firmware de unos cuantos clones chinos sin que nadie se percate de ello. Puede que no toque demasiado a los grandes fabricantes o a los que prometen de verdad, pero el fantasma de que los Android chinos son malos sí o sí probablemente haya crecido más aún con esta noticia.

Y es que no es la primera vez que vemos que desde China nos llegan cosas del todo inseguras: por ejemplo, no son pocos los casos de reproductores MP3 que contienen virus que se intentan colar en nuestro ordenador o videocámaras de seguridad que cuentan con malware que también trata de robar datos (por citar ejemplos que se me vengan a la mente). ¿Por que los clones chinos iban a ser diferentes en este sentido? ¿Este es el verdadero coste de unos precios tan bajos?

vía elandroidelibre

BOT, TRAFICO DE INTERNET

Aunque usted no la crea la mayoría de las visitas en los sitios web han sido realizadas por bots… jaja osea que tal vez de las 10 visitas que tengo, 7 son de robots, vaya información.

Publicidad movil Redes de publicidad móvil, autopistas para el malware

Palo Alto Networks, una empresa especializada en seguridad de red, ha presentado los resultados de un estudio en el que asegura que las redes de publicidad móvil son perfectas para servir malware a los dispositivos Android.

La mayoría de los desarrolladores móviles incluyen publicidad en sus aplicaciones para generar ingresos. Sin embargo, a diferencia de los anuncios mostrados en los navegadores, la que aparece dentro de las aplicaciones móviles se sirven a través de un código que es parte de las propias aplicaciones.

Es ese código embebido utilizado por las redes de publicidad la que permite hacer un seguimiento de la publicidad y que se pague a los desarrolladores, pero al mismo tiempo, es una puerta trasera, explica Wade Williamson, analista de Palo Alto, en un post.

De forma que si las redes móviles se convierten en un método para extender el malware, una aplicación absolutamente benigna puede convertirse en peligrosa. Lo que tenemos entonces no es más que una botnet. La única diferencia, explica el investigador, es que la red de publicidad muestra contenido benigno y aprobado.

Después de detectar que las amenazas para Android se están distribuyendo de esta manera, Williamson explica que una vez distribuida como si fuera publicidad, la carga maliciosa se ejecuta silenciosamente en la memoria del dispositivo y espera que el usuario inicie la instalación de cualquier otra aplicación. Sin que el usuario se de cuenta, porque piensa que es parte del proceso de instalación, otorga permisos al malware, que una vez instalado adquiere la capacidad para interceptar y esconder mensajes de texto recibidos, además de enviar mensajes de texto que pueden incrementar las facturas de los usuarios.

Protegerse contra este tipo de ataques es complicado, pero no imposible. Una de las recomendaciones para los usuarios es que se aseguren de que sus dispositivos no están configurados para permitir la instalación de aplicaciones de fuentes desconocidas, además de ejecutar algún producto antivirus capaz de detectar comportamientos sospechosos, explica el experto de Palo Alto Networks.

Vía itespresso

Aumenta malware en redes fijas

 Al segundo trimestre de este año, 10 por ciento de las redes domésticas ha resultado con infección de malware, cifra superior al 9.0 por ciento que se registró en el primer trimestre de este año, informó Kindsight Security Labs.

En su reporte de malware que corresponde al segundo trimestre de este año, la firma proveedora de productos de seguridad expuso que en el periodo de referencia, 6.0 por ciento de sus clientes con banda ancha resultó infectado con bots, rootkits y troyanos bancarios.

A su vez, el bot –programa que imita el comportamiento humano– ZeroAccess es todavía una de las amenazas más comunes y afectó a alrededor de 0.8 por ciento de los usuarios de banda ancha.

ZeroAccess es un bot que utiliza tecnología rootkit -programa que accede de manera continua y en forma oculta a una computadora- y que se descarga en el equipo para utilizar los datos y hacer fraudes, los cuales pueden costar a los anunciantes en Internet cantidades millonarias al día.

Respecto a los troyanos alureon.dX y Zous/Zbot que roban datos importantes de los usuarios, contraseñas e información bancaria, el primero apareció en 2006, en tanto que el segundo salió a la luz en 2007 y desde esas fechas han evolucionado en diversas versiones.

vía el universal

Anuncian malware de Zeus en redes sociales para realizar fraudes

El crimen electrónico tiene un gran interés en la venta y comercialización de botnets y, en los últimos meses, uno de los sectores más afectados es el bancario. Una de las amenazas más activas, y que sigue amenazando a los bancos, es Zeus. Según las grandes necesidades del mercado negro, este malware es uno de los más viejos (está activo desde el 2007) y es un malware que ha proliferado con el tiempo.

Recientemente, en foros del mercado negro, abundan las ofertas de códigos maliciosos, servicios de robo de información y hospedaje de servicios a prueba de fallos, con el fin de organizar un fraude a gran escala. Los ciber criminales están vendiendo sus herramientas de ataque a precios razonables, además de poner en renta botnets enteras que incluyen información útil al momento de realizar los ataques.

Estas acciones se denominan como Fraud-as-a-Service, o Fraude como un servicio y están ganando gran terreno. Códigos maliciosos como Zeus, SpyEye, Ice IX o Citadel cumplen con este modelo de ventas que ciertos ciber criminales y unos cuantos cientos de dólares usan para llevar a cabo sus planes maliciosos.

Desde entonces, el modelo de ventas y el actor han permanecido sin identidad y, usualmente, el acceso a estas ofertas de ciber crimen es através de canales selectos como la deep web o canales de chat IRC.

Expertos de RSA han publicado un artículo interesante para describir este problema, la oferta criminal ha sobrepasado la popularidad y a recurrido a la gran audiencia de las redes sociales para ofertar un panel de la botnet de Zeus, totalmente personalizado.

La aplicación maliciosa parece ser desarrollada por programadores indoneses que han aportado mejoras a las versiones de Zeus. El equipo optó por utilizar un acercamiento comercial al diseñar un sitio web de demostración para atraer posibles compradores por medio de una página de Facebook dedicada a la botnet.

Los ciber criminales utilizaron la red social para mantener notificados a sus clientes por medio de información de otras botnet, exploits, ciber crimen y, por supuesto, de sus propios productos y la versión 1.2.10.1 de Zeus.

Las diferentes leyes electrónicas en varios países, así como su escasa implementación en varios estados, han permitido el auge del ciber crimen a nivel mundial y los criminales ahora empiezan a comprar/vender de manera pública códigos maliciosos y servicios de robo de información en campañas maliciosas.

La comunidad de las TI a nivel mundial, requiere un marco de leyes y estándares globales que permitan procesar a las organizaciones de ciber criminales, la aplicación de las leyes necesita establecer penas severas y esfuerzos en conjunto para luchar una batalla contra un enemigo invisible que no tiene una connotación geográfica específica.

Los ciber criminales tienen la oportunidad de esconderse en un país, cuyas leyes gubernamentales no los persigan de manera correcta, haciendo imposible detener la ola de ciber crimen.

El ciber crimen ahora es una emergencia global.

Vía The Hacker News

WordPress es atacado a nivel mundial por botnet de gran tamaño

Compañías de hosting en todo el mundo reportan un aumento considerable en ataques de diccionario dirigidos a la interfaz administrativa de blogs y sitios que usan WordPress. HostGator publicó en su blog que sus clientes recibieron ataques de más de 90 mil direcciones IP. CloudFlare también notó un incremento en este tipo de ataques hacia sitios que utilizan el popular sistema de gestión de contenido. Según datos de la compañía de seguridad Sucuri, este tipo de ataques ha ido en aumento desde principios de mes.

De acuerdo con el análisis de estos ataques, es posible observar que la botnet intenta obtener acceso administrativo en blogs y sitios que usan WordPress realizando un ataque de diccionario el cual contiene las cuentas de administrador más populares.  Matthew Prince, director ejecutivo de CloudFlare, supone que estos ataques se realizan con el objetivo de comprometer los servidores web y de esta forma hacerlos miembros de la botnet. Los servidores web de proveedores de hosting profesionales son muy deseados como miembros de la botnet ya que poseen un hardware más poderoso y tienen acceso a mejores  recursos de red que los que tienen los equipos de cómputo convencionales. Sucuri menciona que los atacantes instalaron el kit de exploits Blackhole en los equipos comprometidos con el propósito de infectar a los usuarios que naveguen por el blog de WordPress alojado en los equipos que tienen instalado Blackhole.

Los ataques a WordPress han sido recurrentes en los últimos años, sin embargo en esta ocasión la cantidad de bots usados hace digno de mención al ataque. Matt Mullenweg, fundador de WordPress y principal desarrollador del mismo, recomienda que los usuarios cambien el nombre del  administrador a uno diferente de “admin” el cual es el administrador en algunas versiones del WordPress, además agregó que la funcionalidad de bloqueo de IP después de cierto número de intentos fallidos de conexión no es efectiva debido a la gran cantidad de direcciones IP usadas por la botnet. Para evitar caer ante este tipo de ataques es importante usar una contraseña segura y de longitud adecuada.

vía The H Security 

¿Qué es un botnet?

Los zombies están entre nosotros, controlan nuestros equipos y son demasiados.

El término bot es el diminutivo de robot.Los delincuentes distribuyen software malintencionado (también conocido como malware) que puede convertir su equipo en un bot (también conocido como zombie).Cuando esto sucede, su equipo puede realizar tareas automatizadas a través de Internet sin que lo sepa.

Los delincuentes suelen usar bots para infectar una gran cantidad de equipos.Estos equipos crean una red, también conocida como botnet.

Los delincuentes usan botnets para enviar mensajes de correo electrónico no deseados, propagar virus, atacar equipos y servidores y cometer otros tipos de delitos y fraudes.Si su equipo forma parte de una botnet, el equipo puede volverse más lento y puede estar ayudando a los delincuentes sin darse cuenta.

Vía. Microsoft

botnet para conocer detalles sobre internet

Utilizando una simple técnica, un investigador creó una botnet benigna para conocer detalles sobre Internet, encontró una puerta trasera abierta de par en par muy útil para atraer atacantes.

El investigador utilizó una técnica binaria para poder obtener el control de más de 420 mil dispositivos inseguros, incluídas cámaras web, routers e impresoras públicas en Internet. Esto da un indicio del verdadero potencial que un problema así podría causar.

Publicado el pasado lúnes 17 de marzo en las lístas de correo de SecLists, un investigador anónimo describe como fue capaz de tomar control de varios dispositivos con acceso abierto a Internet. El investigador lo hizo por medio del uso de combinaciones de usuario y contraseña como «root:root» o «admin:admin», demostrando cómo una gran cantidad de dispositivos con interfaz web no cuentan con una protección ante un posible secuestro.

Al tomar el control de los dispositivos, el investigador pudo generar una botnet (la cual bautizó como Carna) para censar el Internet. «Las botnet se han utilizando más en actividades maliciosas, como envío de spam, ataques de denegación de servicio distribuidos y robo de identidad y tarjetas de crédito». Al terminar su investigación, el investigador añade que dio de baja la botnet y en tono de broma dijo que no hubo dispositivos afectados durante la realización de este experimento.

El investigador advirtió de los peligros encontrados en su exploración:

Esperamos que otros investigadores encuentren útil la información que recolectamos y que esta publicación ayude a generar conciencia de que, mientras todo el mundo habla acerca de exploits y guerra cibernética, cuatro simples contraseñas por defecto en telnet te pueden dar acceso no solo a cientos de miles de dispositivos caseros, también a miles de dispositivos industriales en todo el mundo.

Nos dimos cuenta de que muchos dispositivos y servicios no deberían estar conectados al Internet público bajo ninguna cisrcunstancia. Como regla general, si se cree que realmente nadie los conectaría a Internet, existen al menos mil personas en todo el mundo que sí lo hicieron. Siempre que pienses que no debería estar en Internet, pero que puede ser encontrado algunas veces, existen mil veces más posibilidades. Hay millones de impresoras, cámaras web o dispositivos que tienen la contraseña «root» como su contraseña principal.

El investigador tituló a su trabajo como «Censo de Internet 2012» y está enfocado en el viejo protocolo de construcción de Internet IPv4. La transición a IPv6 comenzó apenas en junio del año pasado gracias al gran empujón de compañías tecnológicas como Microsoft, Google, Cisco, Facebook y Yahoo. La diferencia más notable entre estos protocolos es la cantidad de dispositivos se pueden conectar a Internet, mientras que IPv4 permite cerca de 4.3 mil millones de direcciones IP (2 a la 32da potencia), IPv6 permite más de 340 sextillones de direcciones IP (2 a la 128va potencia).

vía cnet