miércoles, 19 de julio de 2017

¿Juegas con tu móvil? En ese caso, puede que ya seas una de las nuevas víctimas de los últimos malwares


¿Utilizas tu teléfono móvil para jugar? ¿En algún momento te has quedado con una partida a medias porque no tenías más monedas o tokens? ¿Y qué hiciste…? ¿Comprar tokens? ¿Esperar a que el juego te dé más monedas? O tal vez… ¿buscaste otras alternativas como descargar aplicaciones a cambio de tokens?

Si has usado o piensas usar la última de las opciones que acabo de decirte, ten mucho cuidado, ¡¡puede que hayas instalado o estés a punto de instalar malware en tu teléfono móvil!!

Así es, es la realidad que GoNetFPI ha descubierto tras una de sus muchas investigaciones sobre el malware en los smartphones.

Siguiendo el rastro de uno de estos malwares, lo hemos encontrado publicitado en el portal de descargas de un servidor destinado a la obtención de estos tokens, en los que para recibir tus monedas debes descargar una aplicación desde el Play Store y ejecutarla (sí, sí, has leído bien, en Play Store hay malware). En la gran mayoría de estos casos, no pasará nada, seguirás los pasos, obtendrás tus monedas y eliminarás la aplicación de tu teléfono. Pero en el caso de ser malware, el tema se complica y ya todo no será tan sencillo.

Si alguna vez te has descargado aplicaciones para obtener tokens, y la aplicación ha hecho cosas extrañas, tal vez no fuese que tu móvil estaba “tonto” y fuese ya la hora de comprar uno nuevo; lo más probable, es que te estuvieses, sin saberlo, instalando un malware que una vez iniciado, se haya “intentado” esconder dentro de tu teléfono. Pero ¿cómo es eso de esconderse? Tras pulsar en la aplicación para abrirla, el móvil hace un movimiento de ventanas extraño y vuelve a salir, como por arte de magia, el menú, pero esta vez la aplicación ya no aparece reflejada en el móvil. Es muy posible que, en cuestión de segundos o bien al pulsar sobre ella, el móvil te avise de que la aplicación está pidiendo permisos de administración, dando dos opciones, “Activar” o “Cancelar”
Si intentas pulsar “Cancelar”, el malware rápidamente vuelve a solicitar los permisos, y te muestra la misma ventana de nuevo. Tu única salida… pulsar sobre “Activar”. Y el móvil sigue funcionando como siempre a simple vista. Mientras tanto, los ciberdelicuentes ya saben que aplicaciones tienes instaladas en tu móvil, te han hecho un selfie, han robado tu agenda de contactos y hasta han leído tus mensajes de texto.

Pero ¿y solo me roban eso?

Los datos robados en un primer momento son solo el preliminar, estas aplicaciones están destinadas al robo bancario.

Por un lado, encontramos los malwares más antiguos que buscan el robo a través de tus tarjetas de crédito, y para ello, al abrir determinadas aplicaciones salta una ventana pidiendo, muy amablemente, que introduzcas todos los datos de tu tarjeta bancaria para poder seguir usando la aplicación.

Por otro lado, tenemos un método, que en estos momentos está en auge, que crea una pantalla similar a la de tu banco y la muestra en el momento de acceder a él. De esta forma, ya pueden entrar a tu cuenta bancaria desde cualquier otro sitio. Además, ¿te mencioné que leían los SMS? Una vez dentro de tu cuenta comprueban que no te has equivocado al meter las claves de acceso y hacen una transferencia bancaria. A tu móvil llega el mensaje del banco con la clave de validación (OTP) que siempre recibes en estos casos, pero, en esta ocasión, el malware ya se ha encargado de mostrarte una pantalla de actualización de Android que nunca termina, ocultando el SMS que has recibido y que otra persona ha leído y utilizado.

¿Crees que puedes haber instalado un malware?

Si te suena lo que te acabo de contar, y piensas que es posible que hayas introducido tus datos en una pantalla similar pero no igual a la de tu banco, lo primero que debes hacer es, al menos, cambiar las claves de acceso o llamar a tu banco. Después comienza a buscar el malware en tu dispositivo, ya sea por medio de antivirus o dejando el móvil en manos de un profesional, es muy probable que si localizas el malware su desinstalación no sea sencilla.

Como recomendación ten mucho cuidado con las aplicaciones que instalas en tu terminal móvil, no descargues ni instales aplicaciones desde fuera del Play Store y las que instales desde esta plataforma, mira detenidamente las instalaciones que tienen, la opinión de la gente y, sobre todo, revisa los permisos que te solicitan. Por ejemplo, una aplicación real de linterna o destinada a hacer fotos, no te solicitará permisos para la lectura de SMS o un control total sobre el móvil. 

lunes, 17 de julio de 2017

Marcher, Maza-bot y Charger: los nuevos enemigos silenciosos de tu Android

Durante 2017 hemos podido ver cómo, poco a poco, se está produciendo una migración de los malwares bancarios hacia los terminales móviles Android. Los ciberdelincuentes saben que cada día crece el número de personas que sustituyen su ordenador por su teléfono móvil o tablet y es que las cifras, como que el 72% de los teléfonos móviles mundiales operan con Android o que 9 de cada 10 dispositivos en España tienen este sistema operativo, eran demasiado ‘golosas’ como para que los ciberdelincuentes las pasasen por alto.

Principalmente los malware que van dirigidos a dispositivos Android suelen ser de tipo financiero. En las últimas semanas hemos localizado, a través de Android Forensics Analytics, distintos malwares con afectación a entidades bancarias entre los que destacan Marcher, Maza-bot y Charger.

Todos ellos tienen un funcionamiento similar, buscar un "overlay" o superposición sobre una aplicación legítima mostrando un phishing. Una vez consiguen los datos que estiman oportunos, ingresan a la banca a distancia realizando cualquier tipo de operación. En la mayoría de los casos, las entidades bancarias envían mensajes de texto a los móviles de sus clientes con el código OTP (One Time Password) que permiten finalizar la transacción. El problema actual es que estos malwares tienen implementadas diferentes soluciones pero todas logran su objetivo: de leer la clave OTP remotamente.

¿En qué se diferencian Marcher, Maza-bot y Charger?

Marcher y Maza-bot tienen en su código los nombres de las aplicaciones a las que van a suplantar. En el command and control (C&C) existen páginas web de phishing para cada uno de sus objetivos que se cargan al iniciar la aplicación que se desea infectar. Al mismo tiempo, el móvil infectado deja de recibir SMS de cara al usuario, los mensajes recibidos son interceptados por el malware y reenviados al C&C sin dejar rastro de ellos en el terminal.

Sin embargo, Charger actúa de una forma diferente. El malware realiza una recopilación de las aplicaciones instaladas en el móvil y las envía al C&C. Posteriormente, se envía al móvil el código para mostrar el phishing y, tras recibir a través del phishing las credenciales, se inserta una pantalla de bloqueo -habitualmente una pantalla con el muñeco de Android y la excusa de actualizar las aplicaciones en el móvil- que impide al usuario realizar cualquier tipo de acción mientras los ciberdelincuentes realizan las operaciones bancarias.

Pero… ¿Cómo se realiza la infección del teléfono móvil?

Depende del malware, existen distintas tendencias para lograr la instalación en los dispositivos. Para el caso de Marcher y Maza-bot lo más habitual es encontrarlo en páginas de dudosa legalidad, como pueden ser webs para ver el fútbol online, descargas de Torrents o sitios con calificación para adultos. En estos casos se hace presente la ingeniería social, las aplicaciones llevan nombres destinados a confundir al usuario con actualizaciones, juegos gratuitos o cualquier otro tipo de nombre capaz de engañar a la víctima, como por ejemplo:
  • Flash Player 10 Update 
  • Flashplayer install
  • System Update
  • MobileConnect
  • Android Security Update 16.2.1
  • Mario Kart 8 Deluxe
  • SuperMarioRun FULL edition
  • ...

En estos casos, es muy difícil determinar el número de descargas o el tiempo total que ha estado disponible para su descarga.

En los casos detectados de Charger, la infección resulta mucho más sencilla. Estos malwares son capaces de evadir los sistemas de detección de Play Store. Por lo que estas aplicaciones, que tienen un tiempo de vida estimado de alrededor de 15 días, están disponibles y cualquier usuario las puede descargar. En los casos analizados de Charger, se han observado que entre 1.000 y 5.000 usuarios han descargado e instalado estas aplicaciones, según los datos que ofrece Play Store.

La mayoría de las aplicaciones disponibles en Play Store con malware Charger suelen estar relacionadas con linternas. Aunque se han detectado otros tipos como aplicaciones para grabación de llamadas.
  • Flashlight Widget 
  • Star Widget 
  • Golden Flashlight
  • Tactical Flashlight
  • Call Recorder
  • ...


En los análisis se detecta, como se puede ver en las imágenes, que los teléfonos infectados envían datos a sus respectivos paneles de control (C&C) con localizaciones de Europa del Este.


Normalmente, estas aplicaciones nos piden unos permisos de ejecución que poco tienen que ver con su funcionalidad. Por ejemplo, en el caso de las linternas, al realizar la instalación suelen pedir el acceso a la lectura y envío de SMS, cosa que debería de hacernos sospechar de su legitimidad.

Aunque los ataques son cada vez más sofisticados, siempre existen pequeñas señales que nos pueden alertar de que esa aplicación de nuestro terminal ‘no es trigo limpio’, así que:
  • Desconfía de cualquier cosa que te resulte sospechosa o fuera de lo normal, sobre todo si te solicita permisos excesivos.
  • Instala sólo las aplicaciones que vayas a utilizar.
  • Mantén actualizadas tus aplicaciones.
  • Instala sólo apps de sitios oficiales

viernes, 7 de julio de 2017

¡No sin mi Android!

Y es que… ¿quién puede vivir hoy en día sin estar constantemente conectado? Las últimas encuestas han revelado que el 70% de los españoles ve difícil su día a día sin su teléfono móvil (Fuente: Estudio Navegantes en la Red)

Los teléfonos móviles se han convertido en un elemento imprescindible para la mayoría de los españoles y es que, hoy en día, ya nadie puede pasar un día entero sin consultar su dispositivo. Android se ha convertido en el sistema operativo líder a nivel mundial y con él operan el 72% de los terminales. En el caso de España, 9 de cada 10 dispositivos tienen el sistema operativo de Google, lo que los ha convertido en un objetivo prioritario para los ciberdelincuentes que saben que cada día, crece el número de personas que sustituyen su ordenador por su teléfono móvil o tablet.

¿Qué hacer para saber si tu terminal está infectado?

Dependiendo del tipo de malware que haya infectado nuestro terminal, éste actuará de una forma u otra. Si es de tipo bancario, normalmente nos suele solicitar los datos de nuestras tarjetas de crédito o de nuestras cuentas bancarias. Desconfía siempre que veas pantallas mal diseñadas en tu dispositivo o cuando notes una superposición de pantallas entre las aplicaciones de tipo bancario.

Consejos para evitarlo

Aunque los ataques son cada vez más sofisticados, siempre existen conductas que nos permiten evitarlos. Estos consejos te ayudarán a mantener tu dispositivo libre de malware:
  • Instala siempre sólo apps de sitios oficiales, en el caso de Android
  • Desconfía de las aplicaciones que te soliciten permisos excesivos.
  • Instala sólo las aplicaciones que vayas a utilizar.
  • Es muy importante mantener actualizadas las aplicaciones y el software del fabricante.
  • No está de más usar un antivirus en tu dispositivo. Los tienes gratuitos y la instalación es     inmediata.
  • Cuidado con las páginas de dudosa legalidad, como pueden ser webs para ver el futbol online, descargas de torrents o sitios con calificación para adultos
  • Y, por supuesto, sentido común. Desconfiar de cualquier cosa que nos resulte sospechosa o fuera de lo normal.
Código malicioso, ataques contra el derecho a la intimidad, filtración de documentos confidenciales, destrucción de datos…, son sólo algunos de los incidentes que cada vez se están haciendo más frecuentes.

En este panorama, de amenazas sofisticadas y en constante crecimiento, es donde toman especial relevancia los Android Forensics Analytics, análisis en profundidad de los dispositivos a través de los cuáles se puede saber si ha estado expuesto a un ataque o vulnerabilidad y que permite tomar las medidas oportunas para evitar incidentes futuros. Desde GoNetFPI continuamos innovando para ofrecerte las soluciones más vanguardistas pero  recuerda… sigue nuestros consejos porque ¡más vale prevenir que curar!


lunes, 19 de junio de 2017

Agradecidos y emocionados…

Como diría la canción: agradecidos y emocionados…solamente podemos decir… ¡gracias por venir!

Arrancamos una nueva semana y atrás dejamos la 3ª edición de Secure Payments & ID Congress, un evento que nos reunió en Madrid a un gran número de profesionales de entidades públicas y privadas con un mismo objetivo: buscar soluciones para garantizar a clientes y usuarios la seguridad de las conexiones y transacciones.

Un día intenso que nos permitió compartir numerosas experiencias -realmente enriquecedoras- y queremos aprovechar estas líneas para agradeceros vuestra presencia ya que sabemos que, en algunos casos, supuso un gran esfuerzo.
La tecnología avanza a una velocidad de vértigo. La innovación constante ya no es una opción sino una obligación si no queremos quedaremos atrás. Pero, por desgracia, la tecnología no sólo avanza para mejorar en el desarrollo de nuestra sociedad, también lo hace hacia la sofisticación de la ciberdelincuencia.

En este marco, en continuo crecimiento de amenazas, cada día son más los riesgos que afectan a todo tipo de dispositivos móviles, principalmente a los utilizados como medios de pago, temática que centró la intervención de GoNetFPI. “Seguridad en medios de pago: inteligencia” fue el título de la mesa redonda que nos permitió debatir, analizar y abordar las últimas novedades del sector. Nuestro COO, Fernando Carrazón, tuvo la oportunidad de moderar un encuentro con dos grandes expertos del sector como son José Ignacio Garrido, Head of Global CERT de BBVA, y Alfonso Piñeiro, Director Ejecutivo de SocialBrains.


Los TPVs, que centraron gran parte del debate, se han convertido en objetivo de este tipo de incidentes, ataques dirigidos a su infraestructura para la búsqueda en la memoria de patrones, redes bancarias, tarjetas y transacciones para poder vender posteriormente esa información en la llamada “Deep Web”. La ciberdelincuencia conoce todos los controles que estos dispositivos deben pasar y busca nuevas vulnerabilidades y técnicas de ataques para modificar los terminales en su propio beneficio. A pesar de este incremento de incidentes, y de la sofisticación de los mismos, tal y como se afirmó en la mesa redonda, España continua siendo un país con un alto grado de seguridad.

Pero, como toda seguridad es poca, si tenemos en cuenta las pérdidas que estos incidentes pueden causar, una de las principales recomendaciones es el uso de Forenses Remotos para Dispositivos Móviles ¿Qué son exactamente? Son análisis en profundidad a través del cuales los expertos en ciberseguridad pueden detectar los ataques a los que ha estado expuesto el dispositivo móvil (TPVs, teléfonos móviles, tablets, etc.) y las vulnerabilidades que pueda tener, para así informar sobre las medidas de precaución necesarias que se deben tener en cuenta para evitar futuros ataques.

Estos análisis son realmente importantes ya que protegen frente:
  • Incidentes de código malicioso
  • Incidentes de acceso no autorizado o uso inapropiado del dispositivo móvil
  • Filtración de documentos confidenciales
  • Comportamientos anómalos de los sistemas
  • Destrucción de datos y futuros ataques
  • A ataques contra la propiedad intelectual
  • A ataques contra el derecho a la intimidad
  • Fraude y sabotajes informáticos
  • En caso de un procedimiento judicial ante el ataque, el informe realizado en el forense remoto puede ser utilizado como evidencia.
Como comentábamos antes, el tipo de incidentes no han dejado de proliferar pero la realidad es que en las empresas de seguridad antifraude no hemos dejado de innovar, ni lo vamos a hacer, para seguir ofreciendo un servicio de prevención del fraude e inteligencia de máximo nivel. Una vez más os agradecemos vuestra asistencia y haber aportado vuestro granito de arena para esta enriquecedora experiencia. Nos vemos de nuevo el año que viene en Secure Payments Congress 2018.

viernes, 26 de mayo de 2017

La vanguardia de los servicios antifraude te espera en Infosecurity Europe 2017

¡La cuenta atrás ha comenzado! Ya quedan pocos días para volar a Londres y aterrizar en Infosecurity Europe 2017, el mayor escaparate de seguridad europeo, de la mano de nuestro socio Logtrust. Tal y como dice el claim del evento este año, durante tres días Londres reunirá “everyone and everything you need to know about information security” y, por este motivo, no podíamos faltar.

La dilatada experiencia y especialización de GoNetFPI en la prevención del fraude en medios de pago y e-commerce complementada con la solución Big Data Analytics de Logtrust, nos permite ofrecer a nuestros clientes un servicio antifraude de vanguardia que beneficia directamente a clientes en todo el mundo, y qué mejor lugar para mostrarlo que InfosecurityEurope: 360 expositores, más de 13.000 visitantes y el mayor programa de conferencias gratuitas de Europa. El lugar perfecto para hacer del networking nuestro día a día y crecer tanto en contactos como en nuevas experiencias.

Queremos aprovechar este post para invitarte a una demo que seguro te dará qué pensar. En tan sólo 30 minutos, Fernando Carrazón, nuestro COO, te mostrará como GoNetFPI, con la plataforma de Big Data Analytics, puede ofrecerte un servicio de prevención del fraude e inteligencia de máximo nivel:

  • Reduce la ventana de exposición al fraude y el volumen de amenazas gracias a la correlación de inteligencia relativa a fraude propia y de terceros.
  • Detecta fácilmente potenciales amenazas de seguridad a través de una visualización en tiempo real de grandes cantidades de información.
  • Ahorra millones de euros a través de una detección temprana e integrando eficazmente fuentes de datos.

 Infosecurity Europe GoNet FPI

En GoNetFPI ayudamos a las organizaciones en su lucha contra el fraude, en temas de ciberseguridad así como en la provisión de inteligencia y tenemos la suerte de contar con el apoyo de Logtrust a través del análisis de Big Data formando un gran equipo que hace que tanto las marcas como la reputación de nuestros clientes estén seguras.

El mundo de la ciberseguridad crece a una velocidad vertiginosa, apenas podemos pararnos a pensar si no queremos quedarnos atrás. Innovación continua y alianzas con partners, como Logtrust, es lo que demanda el mercado y lo que nos permite ofrecer los servicios más novedosos y efectivos.


Ahora ya sólo falta que nos escribas a marketing@gonetfpi.com y así podremos sorprenderte con nuestra demo, conocernos e intercambiar experiencias. Recuerda nos vemos en el stand #S58 ¡te esperamos en Londres!

jueves, 18 de mayo de 2017

WannaCry: Pagas y... ¿Rescatas?

Seguro que ya conoces a WannaCry, WCry, Wannacrypt o sus variantes. Son muchas las denominaciones que suenan estos días en los medios, pero son más las hipótesis sobre cómo y por qué ha entrado en cerca de 200.000 ordenadores en más de 179 países y cuáles serán las consecuencias.

El discurso es variado, la infoxicación dura, muy dura. Caos y locura en la red con el ciberataque del siglo. Esta es la razón por la que no queremos ser portadores de opiniones sin sustancia. Hablar por hablar es fácil. Nuestra intención es informarte con datos objetivos y resultados empíricos para que tú mismo llegues a una conclusión propia.

Muchos de los interrogantes que aparecen en los medios y que abren debate en las redes sociales están relacionados con el pago del rescate:

  • ¿Merece la pena pagar el rescate del ransomware?
  • ¿Deben mostrarse las empresas colaborativas en este tipo de chantajes cibernéticos?
  • ¿qué garantiza el pago de los mencionados 300 dólares en bitcoins?

Por esta razón, a continuación vamos a explicarte cómo funciona el sistema de cifrado de este virus que trae de cabeza a muchas empresas del mundo. También te vamos a mostrar una hipótesis que puede que debas tener en cuenta: todo apunta a la posibilidad de que, durante el proceso de pago del rescate, haya una o varias personas validando el mismo. Por lo que, si esas personas desaparecen o desaparece el servidor que contiene los datos, la empresa puede efectuar el pago y no recibir la información secuestrada.


¡Ojo! Nuestra postura es contraria al pago del rescate.

Obtención de la clave de cifrado Wannacrypt

Check Payment: se puede decir que la clave está en este nombre. Pero, ¿Qué es? Se trata del botón que permite descifrar todos los archivos que han sido cifrados previamente por WannaCrypt.

Botón Check Payment



¿Qué ocurre una vez que pulsas este botón? Nuestro protagonista, Wannacrypt, obtiene nombre de usuario y de sistema de tu ordenador y los envía al servidor de lo ciberdelincuentes. Junto con estos datos, también envía la dirección bitcoins en la que debes ingresar el dinero del rescate (en este caso que exponemos solicita $600, que a día de hoy está a 0.33 btc).

Envío de datos cifrados tras pulsar el botón Check Payment

Junto con toda esta información, también se envía el contenido del archivo 00000000.eky. Este archivo contiene la clave privada que se generó en el sistema cuando el malware cifró los ficheros del ordenador infectado.

A su vez, la clave privada de la que hablamos está asociada a la clave pública, que se usa para cifrar las claves AES128. Esta última se genera nuevamente para cifrar cada archivo.


Además, la clave privada está cifrada con la clave pública maestra de los autores del malware.

Clave privada cifrada que envía el malware al servidor de los ciberdelincuentes

Contenido del archivo 00000000.eky



Toda la comunicación pasa a través de la red TOR y el malware envía toda la información a una serie de dominios ONION controlados por los ciberdelincuentes. Para ello se usa una instancia de la aplicación legítima TOR y realiza la comunicación mediante socks5 en localhost.

Servidor donde se envía los datos



La comunicación, al canalizarse a través de TOR, se anonimiza y, además, los datos se cifran previamente a través de la siguiente función:



Muestra de la función que cifra los datos antes de ser enviados


En esta función, lo datos se cifran mediante XOR usando una custom key y agrupados en bloques. 

Pero, pagas y… ¿rescatas?

¿Cómo saben los ciberdelincuentes que has pagado el rescate? Es más… ¿Está automatizada la verificación del pago y el posterior descifrado o hay un humanoide pendiente de la validación?

Respondemos:


Una vez que has realizado el pago, tienes que ponerte en contacto con los ciberdelincuentes enviando un mensaje mediante el enlace Contact Us:

Enlace Contact Us


En el contenido del mensaje debes incluir el ID de transacción de haber realizado el pago. Esto permite a los ciberdelincuentes comprobar la cadena de bloques y cuántos nodos ha verificado dicha transacción.


Como puedes apreciar en la siguiente captura, además del contenido del mensaje, puedes ver también los parámetros que identifican tu ordenador ya infectado. 

Envío de los datos al servidor de los ciberdelincuentes al finalizar la operación de Contact Us


Una vez validado el pago por el ciberdelincuente, debemos pulsar de nuevo Check Payment inicial para que el servidor de los malos nos devuelva una clave privada, que supuestamente permite descifrar toda la información secuestrada.


Como demuestra la última imagen, no hay campos predefinidos para indicar el ID de la transacción, sino texto libre. Esto significa que la probabilidad de que se necesite inteligencia humana para interpretar ese texto es alta, muy alta.