lunes, 31 de marzo de 2014

Phishing en Gmail

   Lo de hoy afecta a muchas personas que reciben un correo electrónico de una empresa como puede ser su banco diciéndole que cambie su contraseña y cuando la cambias resulta que no era un correo del banco, si no que era SPAM, un correo de Phishing te ha quitado la cuenta bancaria.

   Esto es uno de los ejemplos más antiguos en la comunidad que se conocen, pero hoy en día no sólo se hace por correo, también se hace con Facebook, Twitter, Whatsapp, SnapChat, iMessage, Vieber, Telegram…Se me acaba de ocurrir un Sin Pardillos }:)

    El caso es que es sumamente fácil enviar un mensaje de Caja Madrid, por ejemplo, y que accedan a un link manipulado con MySQL y que nos lleguen las credenciales que la víctima envíe.

El Phishing a Caja Madrid


   Cómo ya he dicho, te puede llegar un “correo de tu banco” y te podrían robar la cuenta bancaria sin ningún problema ya que se la habrías dado tú, aunque eso sí, esto si sería ilegal ya que ha consistido en el engaño a una persona, aunque no vendría mal asegurarse que cuando por ejemplo, Caja Madrid te envíe un correo diciendo que cambies de contraseña, asegurarse que el que lo ha enviado es Caja Madrid. Ahora es cuando llega la pregunta de ¿y cómo se hace eso? Pues la respuesta es bastante sencilla, y es ver si el correo se ha enviado desde un servidor que no es el de la empresa (lo que sería un “correo falso”) es bastante fácil ¿no?


    Aquí lo vemos poniendo simplemente un “nslookup” para hacer una consulta al DNS, al que después le pediremos que nos devuelvan los archivos “txt” y ponemos un dominio como el de Caja Madrid  y nos devolverá entre otros un filtro SPF, que nos indica unas direcciones, lo que nos lleva a la conclusión de que todo correo que nos legue de Caja Madrid y no esté entre esas direcciones, es más falso que judas…¡¿A qué es fácil?! Una vez dicho esto, vamos a ver si Gmail respeta el filtro SPF o se lo pasa por el forro. Sólo tenemos que acceder a un servicio de mailto y poner algo como lo que yo he escrito.


    Entonces lo enviamos y vamos a ver si primero se cumple el PTR, el SPF en Gmail, etc y llega a mi cuenta de Gmail, para que no sea ilegal, una cosa que tengo que añadir es que la url que he puesto no está manipulada. Entonces nos vamos a gmail y vemos que.



    Pues como vemos nos aparece el mensaje en el INBOX, ya ni SPAM ni p…en vinagre, lo que si pulsamos en la URL y esta estuviese manipulada, nos robarían nuestras credenciales

Conclusiones

     Es por eso que unas de mis recomendaciones –entre otras muchas- es que tengáis firma digital de todo y no contestéis a correos que no estén firmados digitalmente debido a los problemas que hemos visto y mirad el código fuente para ver el filtro SPF si lo cumple o no.

Saludos Malvados!

domingo, 30 de marzo de 2014

Averiguar el nombre interno del servidor IIS usando una carpeta protegida con NTLM generando un error 401

La gracia de averiguar el nombre interno del servidor SQL Server mediante una cadena de conexión con autenticación integrada se puede replicar con cualquier servicio Microsoft Windows que haga uso de NTLM Session, ya que es el funcionamiento por defecto. De hecho, esto es algo que ya habíamos visto en alguna auditoría de seguridad web cuando te encuentras con un servidor Microsoft Internet Information Services en el que se ha protegido una carpeta con NTLM.


En ese caso, cuando te conectas al recurso compartido con NTLM, sin conocer las credenciales, puedes ver como en el paquete de respuesta con el error 401 llega un parámetro www-authenticate con un valor codificado en Base64.


Es suficiente con decodificar ese valor, con cualquier decoder, en este caso el que viene integrado directamente con Burp, y obtener la cabecera del protocolo NTLM Session donde se puede leer el nombre interno del servidor en el que está corriendo el Internet Information Services.



En este caso, como se pude ver, el nombre del servidor donde hicimos las pruebas comienza por O. Un sencillo truco que en una auditoría de seguridad te puede dar algo más de información y, a la postre, ser crucial para conseguir o no el éxito en la intrusión, así que, si puedes, evita este tipo de protecciones por carpetas en servidores Microsoft IIS.

Autor: Chema Alonso en http://www.elladodelmal.com/

sábado, 29 de marzo de 2014

Sin Pardillos 1: Los Consejos del Malvado

Hoy he querido plasmar en un dibujo-ya que me gustan los dibujos y los cómics- unos de los consejos que suelo dar cuando me preguntan que cómo se puede estar seguros en Internet y me pongo en plan abuelo cebolletas, profesor, o nerd, como queráis llamarlo y me tiro largo y tendido dando consejos, como los que digo en alguna conferencia que doy y como las que os traigo hoy.


Ya os dejo la Tira de hoy, este post ha sido casi improvisado porque apenas tengo tiempo hoy de hacer , porque hoy me ha surgido una charlilla de las mías, así que aquí está la tira, coloreada con mis “rotus” como siempre.


Esto es lo que suelo decir cuando me hacen esta pregunta, lo que lleva a que no todo el mundo le interese y pase y que otros sientan una gran pasión, pero así es esto.

Saludos Malvados!

viernes, 28 de marzo de 2014

Viendo usuario y contraseña del señor “rafa1”

Uno de los post con más éxito en el Blog anterior fue precisamente este que he querido recuperar y plasmarlo por aquí con todos los que leáis el Blog. La cosa que vengo a explicar hoy es bastante sencilla, pero primero unas breves cositas que debo mencionar.

Lo primero es que yo no me responsabilizo del uso que hagáis a lo que voy a decir a continuación, lo que hagáis cada uno con lo que enseñe será responsabilidad vuestra.

Lo segundo es que hasta aquí no voy hacer nada ilegal, ya que la ley dice lo siguiente:

“3. El que por cualquier medio procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo”


Y la RAE a vulnerar me dice que significa lo siguiente:



Y yo no voy a romper una medida de seguridad, yo me la quiero saltar que es muy diferente, por lo cual no voy a constituir un delito. Encima tampoco voy  a difundir una contraseña de nadie.

Dicho esto procedo con la explicación, lo primero que se puede hacer es bien, abrir una wifi trampa en la que el nombre te muestre la contraseña, abrir una red wifi libre, irse con tu víctima y que se conecte a una red wifi gratuita, etc. Ahí ya el ingenio de cada uno.

Una vez hecho esto, lo siguiente será hacer un Man In The Middle y SLAAC a la víctima para que se conecte con nuestra herramienta que vamos a usar y cuando se “conecte con nosotros” se le va a realizar un SSL Strip y pasar todas las HTTP-s a HTTP para que las contraseñas no queden cifradas, después ya por último sería acceder a un analizador de tráfico de red y ya está, bastante sencillo.

Todo esto ocurre porque con SLAAC se produce -al conectarse a una red- Router Solicitation (RS), que viene siendo algo como “Necesito Internete”, entonces se produce la respuesta  “Router, aquí un colega” (Router advertisement), todo esto ya escribiré o cogeré un post donde lo explique más detalladamente.

El ataque

Ya una vez que nuestra víctima se ha conectado a una red wifi-preferiblemente que no sea la de su casa para no hacer nada ilegal- nos ponemos en marcha con el Bridging HTTP-s(IPv4)-HTTP(IPv6), que realizaré con la Evil FOCA.

Lo que haremos será coger la dirección IPv6 de nuestra víctima y en la parte de SLAAC, ponerla y pulsar en el botón START.



Una vez aquí, lo que hacemos es esperar y que nuestra víctima se conecte a Twitter por ejemplo.


Una vez que la víctima se conecte a Twitter y envíe sus credenciales, solo tenemos que irnos a nuestro analizador de paquetes de red como Wireshark  y ver los paquetitos con su usuario y contraseña.


Lo único es que tendremos que poner un filtro para encontrar el paquetito con la contraseña de Twitter, que es “http.request.method==POST” y podremos acceder a su Twitter. Para que veáis que es verdad, simplemente nos vamos y ponemos su usuario y contraseña.



Como veis he sido tan Malvado de tapar sus datos, para no difundir nada-por si después se queja. Esto pretendía ser una lección para que “rafa1” aprendiese sobre seguridad, pero no quiso aceptarla y así le va y le irá, pero yo no digo nada que no soy ni mucho menos un profesor. Lo que dio a que se hiciese esto ya lo contaré en otro post más adelante.

Además no sé muy bien por qué pero se ha quitado su barnner de perfil, pero serán cosas secundarias, lo realmente importante es que hay que ser conscientes de este problema y si un hacker amigo te reporta una vulnerabilidad, hacerle caso y no enfadarse

Saludos Malvados!

jueves, 27 de marzo de 2014

El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias

Sergio de los Santos,ssantos@11paths.com,@ssantosv en http://blog.elevenpaths.com/ el 10 de Marzo

Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué aplicaciones son las que más se "simulan". Esta clasificación tampoco pretende ser demasiado rigurosa ni exhaustiva puesto que las modas y las circunstancias van cambiando periódicamente. Sí que puede llegar a reflejar la tendencia del último trimestre de 2013, periodo durante el que se ha desarrollado el estudio principalmente.

Fundamentalmente, los atacantes se basan en tres pilares para saber qué aplicaciones falsificar:

Aplicaciones de pago que se ofrecen supuestamente gratis. Es el caso de, una de las más deseadas es Minecraft Pocket Edition, sin duda la más imitada durante meses y uno de los baluartes de los atacantes. La original cuesta 5,49 euros.


Aplicaciones que estuvieron disponibles oficialmente en Google Play hace tiempo, pero ya no aparecen (han sido expulsadas por políticas de uso u otras razones). Adblock Plus es un buen ejemplo. Los usuarios siguen buscándolas en el market oficial, y ahí es donde encuentran a sus víctimas despistadas.


Una de las más imitadas y usadas como reclamo son las aplicaciones que están a punto de salir para la plataforma Android. Es el caso de Clash of Clans. Durante 2013 se bombardeó Google Play con réplicas falsas de este juego. Finalmente se hizo oficial su aparición en Google Play el 1 de octubre. Igual ocurrió durante ese verano con Blackberry Messenger.
Aplicaciones muy populares. Obviamente, los atacantes usan la imagen de apps muy populares como reclamo. Es el caso de WhatsApp (donde un día se pudieron contar cerca de 30 falsificaciones subidas concurrentemente), GTA, Pinterest, Flappy Birds, Candy Crash...



Aplicaciones que solo están disponibles para iPhone. Un reclamo son las apps que solo están disponibles para "la competencia" y puede que un futuro (o no) se programen en Android. Un claro ejemplo son Clumsy Ninja o Quiz Up.



Sospechosos habituales


En general, los "sospechosos habituales" (esto es, las apps más populares del momento y muy suplantadas) son cambiantes. Durante el tiempo de este estudio y de forma habitual, destacan especialmente los siguientes.

Tubemate Youtube Downloader: Es una aplicación "rechazada" por Google Play que, por tanto, debe ser descargada e instalada desde otras fuentes. También es muy deseada, y por tanto un gancho fácil para quien desconozca que oficialmente no puede encontrarse en el market oficial pero la busque ahí.


Aptoide: Una aplicación para crear un market propio. Tampoco puede encontrarse oficialmente en Goolge Play, sin embargo, no es difícil encontrar fakes.


BlackMart Alpha: Una aplicación que dice que descarga aplicaciones de pago gratis. Obviamente no debe estar en Google Play.


Hay Day, Clash of Clans, Infitnity Blade III y Plant vs Zombies 2...: Las primeras del mismo fabricante (Supercell). Clash of clans está disponible en Google Play solo desde el 1 de octubre de 2013.



BBM, BlackBerry Messenger. Un "clásico". Su entrada en Google Play era muy esperada. Ya hace unos meses se encontraron aplicaciones falsas que simulaban ser BBM messenger, pero durante el mes de septiembre y octubre de 2013 la expectación ante su inminente aparición oficial aumentaba entre los usuarios, lo que disparó el número de apps falsas que decían serlo días antes de estar oficialmente disponible. Durante estos meses, muchos atacantes han centrado su gancho en ella.

Con esta "lista de deseos" de los usuarios, entre apps populares y esperadas, el atacante detalla un plan. Habitualmente, lo que hacen es que un mismo atacante sube un conjunto de estas aplicaciones falsas "sospechosos habituales" con ligeros cambios en el nombre una y otra vez, en grupos, aunque todas suelen ser más o menos el mismo adware, sin importar muy bien contra quién intenta realizar la suplantación. Así consiguen un mayor éxito, centrándose en el conjunto de aplicaciones "estrella" del momento, subiéndolastodas diariamente o cada vez que son retiradas.

Estos son algunos de los ejemplos de lotes de aplicaciones falsas agrupadas por "falso fabricante". Este falso fabricante (aunque detrás se encuentra un mismo atacante o grupo) subía a diario estos lotes. Observando el conjunto, se puede completar una buena parte de los títulos de apps más falsificados durante los últimos meses.


Sergio de los Santos
ssantos@11paths.com

*****************************************************************
El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias
*****************************************************************

miércoles, 26 de marzo de 2014

El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"

Autor: Sergio de los Satos ssantos,@11paths.com,@ssantosv, el 25 de febrero de 2014 en http://blog.elevenpaths.com/

¿Qué tipo de "malware" encontramos en Google Play? Ante esta discusión sobre niveles de infección que presentábamos en una entrada anterior, no es sencillo saber quién tiene razón. Lo primero que habría que definir es qué es malware exactamente, al menos en el contexto de Google Play.

Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos una posible clasificación del "fakes" que se puede encontrar en el market oficial, junto con algunos ejemplos. Esta clasificación no pretende ser demasiado rigurosa ni exhaustiva puesto que se basa más en el "aspecto" que pueden adoptar las apps falsas que en lo que pueden llegar conseguir en el teléfono. En estos casos, su objetivo suele ser siempre conseguir descargas oportunistas, rápidas y lucrativas. Normalmente intentan la instalación en el teléfono (aunque sea efímera) y que esto le permita al menos ser pagado por instalación de un paquete de publicidad, u obtener datos relevantes.

Troyanos (bancarios o no)


Se podría incluir aquí el concepto de malware de Windows trasladado a Android. Esto, aunque parezca muy amplio, quiere decir que se traslada el concepto de lucro despiadado a través del robo de datos, suplantación de apps bancarias, phishing... También los hay incluso que intentan infectar Windows a través del teléfono y viceversa cuando se conectan. De estos hay tantos como malware en Windows, y cada uno con su forma particular de actuar, pero aprovechan especialmente las particularidades del sistema operativo. Afortunadamente, son los más difíciles de ver en Google Play, pero no por ello son "raros".


Lo cierto es que parece una industria al alza, con avistamientos de malware sofisticado, con un funcionamiento (tanto técnico como logístico) muy parecido al malware bancario tradicional para Windows, como por ejemplo el reciente iBanking, cuyo código fuente se ha filtrado, pero se estaba vendiendo en entornos underground. Contaba con un panel de control web, al estilo del malware "tradicional" para Windows.

Malware y aplicaciones "espía"

Sin intentar imitar a nadie, son realmente sistemas de rastreo, espía, etc. Quizás orientados al control de menores. Pensadas para usuarios que deseen directamente espiar/troyanizar a alguien. No se ocultan, y dejan a criterio del usuario su utilidad. A veces Google Play las retira.


Programas que "parecen" otros, pero no lo son realmente. 


Intentan confundir al usuario. Su finalidad es conseguir descargas y lucrarse con la publicidad o realmente infectar al usuario a través de otros medios. Suelen ser oportunistas, esconderse bajo la coletilla de "wallpapers" sobre alguna actriz o película de moda, o bajo las palabras "guide", "hacks", "unlimited coins", "cheats".... como guías y trucos para pasar ciertas pantallas complejas de los juegos del momento. Mientras que las guías legítimas suelen dejar bien claro lo que son en la imagen y descripción de la app, otros no hacen distinción, invitan a la confusión e intentan infectar al usuario.

Los atacantes que utilizan la coletilla de "tricks" en sus nombres, manteniendo la imagen original del juego (y por tanto confundiendo al usuario) consiguen permanecer en Google Play mucho más días y pasar más desapercibidos. Durante el tiempo que ha durado este estudio, hemos observado algunos programas falsos que, siendo simplemente adware, con estas coletillas en el título han conseguido sobrevivir semanas en el market.




Programas que parecen otros, lo son e incluso puede que funcionen como el resto, pero además incluyen adware


Los atacantes reempaquetan el original al más puro estilo de los troyanos clásicos. Esto fue muy habitual hace pocos años y se generaron muchas alertas al respecto. Parece que ahora ocurre en menor medida después de que Google mejorara sus filtros. En algunos casos, la confusión es total sobre cuál es el juego "original".



Programas estafa


Son los programas que buscan la estafa directamente, invitando al usuario a pagar por servicios por los que probablemente nunca pagaría conscientemente, o suscribiéndolos de forma poco clara a mensajes premium, incluso si necesitan confirmación. Ya son varias las muestras que se han encontrado en Google Play que eluden la confirmación a través de un PIN en un SMS, de forma que el propio programa lee el mensaje de confirmación y "responde" por el usuario. Así,queda suscrito de forma transparente (sin confirmación explícita) y se le comienza a cobrar por mensaje recibido. Este caso fue ampliamente discutido aquí, aunque Panda ya ha encontrado otros ejemplos similares.


Dentro de este modelo, se pueden observar varios ejemplos centrados en España de los que hemos hablado en otras ocasiones.

Aquí podríamos incluir las supuestas "bromas" que solo sirven para robar datos. Es ya un clásico la broma de las WiFis. Se trata de aplicaciones que dicen poder "adivinar" las claves de las WiFi alrededor del teléfono. Algunas de ellas, avisan de que son una simple broma.



Pero muchas otras, no. De lo que tampoco avisan, es de que pueden contener código como este en su interior:



Las aplicaciones que supuestamente avisan de que son una "broma" a modo de "disclaimer", pueden permanecer en Google Play indefinidamente, independientemente de que realicen este robo de datos en segundo plano.

Programas que, en Google Play son presentados como réplicas casi exactas de otros 


Estos han sido muy comunes durante todo 2013. Excepto en el nombre del fabricante y el número de descargas, sería complicado reconocer si una aplicación es legítima o no. Se trata de apps que son simplemente adware, no contienen la funcionalidad del software original que intentan suplantar. Serían las "FakeApps" que hemos estudiado y de las que hemos recopilado un buen puñado de ejemplos. En todos, el fabricante es simulado, inventado, o deliberadamente remite a alguna parte del título del juego. Suelen pesar entre 200 y 400 kilobytes (frente a los varios megas de las apps originales que simulan) y solo constan del código necesario para que se ejecute el adware.

Es importante destacar que en ocasiones, ni siquiera son cazados como malware por ningún motor antivirus. A veces incluso requieren menos permisos que las originales, o no contienen un sistema de profesionalización del malware. Basta con que no sean lo que prometen (no contengan en ningún momento la funcionalidad prometida) y supongan algún tipo de intrusión en el teléfono (con adware), como para que sean consideradas "fake".


En cualquier caso, resulta evidente la importancia del nombre y, sobre todo, la imagen. Más aún que la descripción, imágenes, o incluso descargas y reputación del fabricante. Un atacante que consigue mimetizar imagen y título de una app, tendrá muchas descargas rápidas garantizadas. Si la búsqueda se realiza desde un móvil, el desconcierto para el usuario y las posibilidades de que "pique" aumentan considerablemente, porque los elementos con los que cuenta el usuario para evaluar disminuyen, facilitando la estafa. En el ejemplo de la figura (donde se suplanta la imagen de BlackBerry Messenger), se muestra cómo la aplicación maliciosa puede llegar a aparecer antes incluso que la legítima en las búsquedas. 


Este tipo de estafas ha sido muy común durante 2013 en Google Play, aunque parece que empieza a remitir el fenómeno. También, como último ejemplo, para el atacante es importante ser muy oportuno, en el sentido de estar al tanto de las últimas búsquedas y tendencias para practicar un buen SEO dentro de Google Play. Si es necesario, incluso pueden modificar nombre e icono de una aplicación cuando así lo requiere "el mercado" aun a riesgo de que no describa para nada la utilidad real. Solo para ganar descargas. Este es un buen ejemplo reciente.


Continuaremos en la próxima entrega analizando qué aplicaciones suelen ser falseadas y más ejemplos.

Sergio de los Santos
ssantos@11paths.com

**************************************************************************
El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"
El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias
***************************************************************************

martes, 25 de marzo de 2014

El negocio de las "FakeApps" y el malware en Google Play (I): Introducción

Autor: Sergio de los Santos, ssantos@11paths.com, @ssantosv, el viernes 21 de febrero en http://blog.elevenpaths.com/


El malware en Android es un problema. Quizás aún no llegue a los términos y cifras que barajan las casas antivirus y las empresas que venden soluciones, pero desde luego, tampoco se trata de una mera exageración como nos intentaba explicar la propia Google. La realidad suele acercarse al término medio. En cualquier caso, la fuerte asociación que se está creando entre Android y el malware, azuzada por los medios, además de la percepción que está calando entre los usuarios, constituyen ya un hecho del que le costará mucho deshacerse. 


Entre tanto, el asunto del malware en Android se manifiesta en muchas formas y dispone de diferentes frentes desde los que analizar el problema. Cuando se habla de "malware para Android" se debería ser mucho más específico. ¿De qué tipo? ¿De dónde viene? ¿Cómo me infecto? ¿Qué probabilidades existen? ¿Qué consecuencias tiene? ¿Cómo me protejo? ¿Cómo me defiende el sistema operativo? ¿Quién está detrás de todo esto? ¿Es realmente preocupante? Solo respondiendo a este tipo de cuestiones se podría conocer si realmente afrontamos un problema de seguridad como otro cualquiera o nos encontramos ante una grave epidemia contra la que deberíamos estar prevenidos.

En esta serie de entradas no se van a responder (al menos con la minuciosidad que requerirían cada una) a todas esas preguntas. Nos centraremos en un método de difusión concreto, y en una forma de malware definida. Sin embargo, podrá ofrecernos una idea de cómo se difunde una buena parte del malware para Android (que redunda en la sensación de (in)seguridad que mantienen los usuarios), y cómo funcionan ciertos atacantes y la propia Google Play a la hora de "defender" su market. Se intentará realizar aproximación realista y, esperamos, interesante.

Google Play y el malware

Google Play es la tienda "oficial" de aplicaciones de Android. Existen otras, de las que Google "no se responsabiliza" y, por tanto, pueden contener cualquier tipo de programa o aplicación. En principio, hay markets más serios y otros menos "profesionales". Pero nos centraremos en el oficial, Google Play, donde también se aloja malware o al menos, mucho adware. Una de cada diez aplicaciones en Google Play es maliciosa, afirmó Trend-Micro. Para valorar las "aplicaciones maliciosas" de esta forma entran en juego muchas variables, por lo que probablemente esas cifras sean discutibles. Con el objetivo de precisar el análisis, en este estudio vamos a centrarnos en las aplicaciones falsas, en cómo suelen funcionar los atacantes, en cómo suele reaccionar Google Play, sus técnicas y, a veces, saber quién está detrás de todo esto.


¿En realidad hay tanto malware en Google Play? 

En marzo de 2013 Trend Micro analizó dos millones de aplicaciones (Believe the hype, lo titularon). Casi medio millón se calificaron como "maliciosas". Así que algunos dedujeron que una de cada cuatro apps de Android era malware. De ese medio millón, casi 70.000 venían de Google Play. Como Goolgle Play alojaba en ese momento 700.000 apps, dedujeron a su vez que una de cada 10 apps de Google Play era malware. Todos estos datos venían como consecuencia de la detección del producto comercial de Trend Micro. Esas cuentas no eran precisas, se mirase por donde se mirase. Así el "estudio" nos dejaba con más preguntas que certezas sobre de dónde venían esas dos millones de aplicaciones y qué se consideraba malware exactamente.

En contraste, a finales de septiembre de 2013, Adrian Ludwig (jefe de seguridad de Android), dio una charla en la Virus Bulletin de Berlín destinada a quitar hierro al asunto del malware en Android . Con datos sobre la mesa, desmontó el supuesto "mito" de que Android se infecta mucho con malware. Alabó la defensa en profundidad que implementa su sistema operativo. Ludwig sostuvo que los investigadores son buenos a la hora de encontrar el malware, pero que no tienen datos fiables que indiquen la frecuencia con la que una aplicación ha sido instalada. y según Google, son muy pocas las veces que esto ocurre. Pretendía presentar un gran abismo entre lo que es la existencia de malware, y cuántos dispositivos están realmente infectados. Ese discurso era, cuando menos, discutible.

Otros estudios sobre infección, que detectan actividad sospechosa en la red generada por un terminal (y permiten detectar otro tipo de malware, aunque sigue sin ser un método perfecto), concluyen que el nivel de infección es de más del 1% de los dispositivos, o en números absolutos, más de 11 millones de dispositivos infectados.

Lo que pensamos que es más seguro, es de que la vía de infección más usada actualmente es la simple instalación por parte del usuario de aplicaciones fraudulentas. La infección por vulnerabilidades, aunque posible, todavía no es mayoritaria.. Recientemente Metasploit añadió un módulo para aprovechar una vulnerabilidad en Android de forma muy sencilla. El exploit, permite obtener el control del sistema con tan solo visitar una página web manipulada especialmente. Aprovecha una vulnerabilidad que afecta a las versiones anteriores a la 4.2 (Jelly Bean) y que publicada a finales de octubre de 2012. Aun así, con esta ventana de exposición tan "apetitosa"  para los atacantes, no se observa que este sea su método preferido de infección, como lo es en los sistemas de escritorio.

También es cierto que Google Play es el market más utilizado y "reputado" por ser el oficial. De él esperaríamos ciertas garantías a la hora de instalar aplicaciones y no infectar el dispositivo. Pero su modelo de negocio contiene errores de diseño que permiten que se ofrezca malware para descarga, algo que en otros markets o stores es poco habitual, anecdótico, o aún no ha ocurrido. Pero, ¿cuánto malware o adware y cómo se distribuye en Google Play? Daremos algunas pistas en las siguientes entregas.


Sergio de los Santos
ssantos@11paths.com
@ssantosv

**************************************************************
El negocio de las "FakeApps" y el malware en Google Play (I): Introducción
El negocio de las "FakeApps" y el malware en Google Play (II)
El negocio de las "FakeApps" y el malware en Google Play (III)
El negocio de las "FakeApps" y el malware en Google Play (IV)
**************************************************************

lunes, 24 de marzo de 2014

Bienvenidos Al Blog

Hola y buenas a todos a Un Malvado en la red, en este Blog iré publicando noticias sobre seguridad informática, dibujos, demos historias y mucho más que espero que os guste-ya que vuelvo después de dejar el anterior Blog.

En el Blog que tenía anteriormente que trataba sobre lo mismo, escribía todos los días un post, esta vez lo intentaré aunque no es seguro. También comentar que el anterior Blog lo quité entre algunas cosas por correos que me mandaban, que ya los publicaré por aquí cuando pueda y que colman¡ron mi paciencia, esto fue uno de los motivos, pero ya los iré diciendo.

Para que no haya problemas de copyright, todos los posts que no escriba yo, pondré el autor y alguna zona de contacto del autor - y así cumplo el hacer referencia al autor de un escrito (siempre y cuando no sea tuyo dicho escrito).

Pero ya iré diciendo, de momento esta semana no sé si podré subir un post cada día, pero ya se verá. Así que dicho esto, os dejo una zona de contacto para que me podáis escribir cosas importantes a mi Twitter, mi Facebook o a mis correos, manuelalensanchez7@gmail.com o manunewboards@gmail.com

Saludos Malvados!
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...