You are here

Noticias

Vulnerabilidad en Samba permite acceder a archivos no compartidos

Hispasec - Wed, 29/03/2017 - 22:00
Se ha confirmado una vulnerabilidad en Samba (versiones anteriores a 4.6.1, 4.5.7, 4.4.12), que podría permitir a un atacante acceder a archivos no compartidos.
Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
El problema (con CVE-2017-2619) puede permitir a un cliente malicioso acceder a áreas del servidor de archivos no exportadas mediante una ruta de enlace simbólico.
Se han publicado parches para solucionar esta vulnerabilidad en http://www.samba.org/samba/security/Adicionalmente, se han publicado las versiones Samba 4.6.1, 4.5.7 y 4.4.12 que corrigen los problemas.
Como contramedida el equipo de Samba recomienda añadir el parámetro"unix extensions = no"En la sección [global] de smb.conf y reiniciar smbd. Esto impide a los clientes SMB1 la creación de enlaces simbólicos en el sistema de archivos exportado empleando SMB1.
Más información:
Symlink race allows access outside share definitionhttps://www.samba.org/samba/security/CVE-2017-2619.html



Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Galaxy S8, el smartphone de Samsung que también quiere ser tu ordenador

Canal PDA - Wed, 29/03/2017 - 19:34
El Galaxy S8 que Samsung ha presentado este miércoles tiene una doble misión: pasar página tras el incidente con algunas baterías que obligó a la firma a retirar del mercado toda la producción del modelo Galaxy Note 7 y mantener el liderazgo del fabricante en el mercado de los smartphones. Aún tardaremos unos meses en […]
Categories: PDA / PPC

Samsung DeX mejora la productividad de los trabajadores móviles al llevar el smartphone a un entorno de escritorio

Canal PDA - Wed, 29/03/2017 - 19:19
Samsung Electronics ha anunciado el lanzamiento de Samsung DeX, un dispositivo diseñado para mejorar la productividad de los profesionales móviles al mismo tiempo que reduce la necesidad de transportar múltiples dispositivos informáticos. Compatible con Galaxy S8, Samsung DeX proporciona una experiencia basada en Android similar a la de un ordenador, que permite a los usuarios […]
Categories: PDA / PPC

La nueva Samsung Gear 360 permite grabar videos con resolución 4K, retransmitir en streaming y compartir contenidos en 360 grados

Canal PDA - Wed, 29/03/2017 - 19:10
Samsung Electronics ha anunciado el lanzamiento de la nueva Samsung Gear 360, una cámara de 360 grados con resolución 4K que destaca por un cuidado diseño que facilita su uso. Con funcionalidades mejoradas para contenidos en alta calidad, Samsung Gear 360 es ligera, compacta y ofrece un amplio ecosistema Samsung VR. “Los consumidores optan cada […]
Categories: PDA / PPC

Samsung presenta Samsung Galaxy S8: un smartphone sin límites

Canal PDA - Wed, 29/03/2017 - 19:01
Samsung Electronics ha presentado mundialmente Samsung Galaxy S8, un smartphone que supera los límites de los smartphones tradicionales con un diseño eficiente de hardware y una gran variedad de nuevos servicios. Samsung Galaxy S8 ofrece un nuevo nivel de funcionalidad proporcionando a los usuarios una galaxia de nuevas posibilidades al incorporar múltiples servicios y aplicaciones, […]
Categories: PDA / PPC

Sónar+D traerá a Barcelona los últimos avances en inteligencia artificial y realidad virtual aplicada a las artes de la mano de los grupos de investigación de Google

Canal PDA - Wed, 29/03/2017 - 11:01
Sónar+D, el congreso de Sónar dedicado a las tecnologías creativas, avanza hoy su programa para la próxima edición 2017, que tendrá lugar los días 14, 15, 16 y 17 de junio y reunirá en Barcelona más de 100 actividades, a 180 ponentes y cerca de 5.000 acreditados de 2.100 empresas provenientes de 60 países. Durante […]
Categories: PDA / PPC

Comunicado ZTE sobre la decición de la BIS

Canal PDA - Wed, 29/03/2017 - 10:52
Esta noche, la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio de los Estados Unidos (BIS) recomendó la retirada de ZTE de su Lista de Entidades. Para obtener más información, consulta el enlace a la web del Hong Kong Exchanges and Clearing: Http://www.hkexnews.hk/listedco/listconews/SEHK/2017/0329/LTN20170329119.pdf El CEO de ZTE Corporation, Zhao Xianming, ha realizado la […]
Categories: PDA / PPC

Apple publica actualizaciones para múltiples productos

Hispasec - Tue, 28/03/2017 - 22:00
Apple ha anunciado la actualización de productos sus productos más destacados, incluyendo la publicación de macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite, iOS 10.3, Safari 10.1, watchOS 3.2, macos Server 5.3, tvOS 10.2, así como Pages, Numbers y Keynote para Mac e iOS. Estas nuevas versiones solucionan un total de 210 vulnerabilidades algunas de ellas en múltiples productos.
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
Se ha publicado macOS (anteriormente OS X) macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite, destinada a corregir 127 nuevas vulnerabilidades en macOS Sierra. Las vulnerabilidades corregidas afectan a múltiples componentes que incluyen entre otros Apache, apache_mod_php, Bluetooth, curl, EFI, ImageIO, Kernel, Keyboards, libarchive, LibreSSL, OpenSSH, OpenSSL, python, QuickTime, Security, sudo, tcpdump, tiffutil y WebKit. Algunos componentes se han actualizado a versiones más recientes como LibreSSL 2.4.25, PHP 5.6.30, OpenSSH 7.4, tcpdump 4.9.0 y LibTIFF 4.0.7.
iOS 10.3 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que está destinada a solucionar 84 nuevas vulnerabilidades. Los problemas corregidos están relacionados con diferentes componentes, como Accounts, Audio, CoreGraphics, CoreText, HTTPProtocol, ImageIO, Kernel, libarchive, Phone, Safari, Security, Siri o WebKit entre otros. Múltiples problemas podrían permitir la ejecución remota de código arbitrario.
Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10.1 para OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 y macOS Sierra 10.12.4. Se solucionan 38 vulnerabilidades, la mayoría de ellas relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Muchas podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario al visitar una página web específicamente creada.
El contenido de seguridad de Safari 10.1 se encuentra incluido en macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite.
También se ha publicado macOS Server 5.3 destinado a corregir tres vulnerabilidades en Profile Manager, Web Server y Wiki Server.
De forma similar, Apple publica WatchOS 3.2, destinada a todos los modelos de su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan 34 vulnerabilidades. También ha publicado tvOS 10.2, el sistema operativo para Apple TV (de cuarta generación), que soluciona 56 vulnerabilidades.
Por último, se ha publicado Pages 6.1, Numbers 4.1 y Keynote 7.1 para Mac y Pages 3.1, Numbers 3.1 y Keynote 3.1 para iOS para solucionar una vulnerabilidad por la que se podría obtener el contenido de los PDFs protegidos con contraseña.
Más información:
About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemitehttps://support.apple.com/es-es/HT207615
About the security content of iOS 10.3https://support.apple.com/es-es/HT207617
About the security content of Safari 10.1https://support.apple.com/es-es/HT207600
About the security content of watchOS 3.2https://support.apple.com/es-es/HT207602
About the security content of tvOS 10.2https://support.apple.com/es-es/HT207601
About the security content of macOS Server 5.3https://support.apple.com/es-es/HT207604
About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOShttps://support.apple.com/es-es/HT207595


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

AWS presenta Amazon Connect

Canal PDA - Tue, 28/03/2017 - 16:49
Amazon Web Services acaba de anunciar Amazon Connect, un servicio de contact center basado en la nube. Amazon Connect permite a cualquier negocio mejorar su atención al cliente a bajo coste. Este nuevo servicio se basa en la misma tecnología de contact center que usa Amazon para su servicio de atención al cliente.El contact center […]
Categories: PDA / PPC

Actualización de seguridad para Apple iTunes para Windows y Mac

Hispasec - Mon, 27/03/2017 - 22:00
Apple ha publicado nuevas versiones de iTunes para Windows y Mac, destinadas a corregir 17 vulnerabilidades con diferentes efectos.
iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.
Los problemas corregidos están relacionados con siete vulnerabilidades en SQLite y 10 fallos en expat. Estos problemas se han solucionado actualizando a las versiones 3.15.2 de SQLite y 2.2.0 de expat.
Hay que señalar la antigüedad de algunos de los problemas, que se remontan incluso al 2009. Los CVE asignados son: CVE-2013-7443, CVE-2015-3414 al CVE-2015-3717, CVE-2015-6607, CVE-2016-6153, CVE-2009-3270, CVE-2009-3560, CVE-2009-3720, CVE-2012-1147, CVE-2012-1148, CVE-2012-6702, CVE-2015-1283, CVE-2016-0718, CVE-2016-4472 y CVE-2016-5300.
Apple ha publicado la versión 12.6de iTunes para Windows 7 (y posteriores) y para OS X Mavericks 10.9.5 (y posteriores) que corrigen estos problemas, disponibles desde: https://www.apple.com/itunes/download/
Más información:
Acerca del contenido de seguridad de iTunes 12.6https://support.apple.com/es-es/HT207598
Acerca del contenido de seguridad de iTunes 12.6 para Windowshttps://support.apple.com/es-es/HT207599


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categories: Seguridad

Atos se sitúa en las primeras posiciones del índice “CAC 40 Governance” de Euronext por la calidad de su gestión y responsabilidad corporativa

Canal PDA - Mon, 27/03/2017 - 11:32
Atos, líder global en transformación digital, se sitúa en los primeros puestos del índice CAC 40 Governance, un nuevo índice de gobierno corporativo basado en el CAC 40, desarrollado por Euronext junto con la agencia de calificación de responsabilidad social corporativa Vigeo Eiris.El índice califica a las empresas que figuran en el índice bursátil CAC […]
Categories: PDA / PPC

Los nuevos teléfonos de Alcatel-Lucent Enterprise redefinen la experiencia del usuario en las comunicaciones empresariales

Canal PDA - Mon, 27/03/2017 - 10:31
ALE, que opera bajo la marca Alcatel-Lucent Enterprise, ha presentado hoy los nuevos teléfonos Alcatel-Lucent Premium DeskPhones y DECT. Los nuevos DeskPhones de la serie Alcatel-Lucent incluyen menús contextuales para comunicaciones empresariales expertas, teclado exclusivo de búsqueda por nombre para comunicación instantánea, Bluetooth incorporado en modelos de gama alta y gestión centralizada que permite a […]
Categories: PDA / PPC

Poniendo en marcha un futuro centrado en la inteligencia artificial

Canal PDA - Mon, 27/03/2017 - 09:24
La Inteligencia Artificial (IA) está cambiando el mundo que nos rodea y nos va a ofrecer nuevas prestaciones para todo, desde las fábricas inteligentes a los drones, los deportes, la sanidad y los coches sin conductor. Los datos son el elemento común en todas estas aplicaciones y nuestra estrategia es convertir a Intel en el […]
Categories: PDA / PPC

Múltiples vulnerabilidades en NTP

Hispasec - Sun, 26/03/2017 - 22:00
La Network Time Foundation ha publicado una nueva versión de ntpd destinada a corregir 15 vulnerabilidades, que podrían permitir provocar condiciones de denegación de servicio y desbordamientos de búfer.
NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Los problemas corregidos incluyen seis de importancia media, cinco de riesgo bajo y cuatro de nivel informativo. También se corrigen otros 15 fallos no relacionados con la seguridad y otras mejoras.
Los problemas considerados más graves consisten en una denegación de servicio en servidores NTP a través de directivas de configuración específicamente construidas (CVE-2017-6464), una denegación de servicio en servidores NTP si un atacante remoto autenticado envía una configuración no válida a través de la directiva :config (CVE-2017-6463), desbordamientos de búfer en funciones ctl_put() (CVE-2017-6458), un desbordamiento de búfer en ntpq cuando solicita la lista de restricciones de un servidor ntpd malicioso (CVE-2017-6460) y por último una denegación de servicio en la funcionalidad de comprobación de marcas de tiempo de origen (CVE-2016-9042).
Se recomienda actualizar a la versión 4.2.8p10 disponible desde: http://www.ntp.org/downloads.html
Más información:
March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement http://support.ntp.org/bin/view/Main/SecurityNotice#March_2017_ntp_4_2_8p10_NTP_Secu


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Corregidas dos vulnerabilidades en OpenSSH

Hispasec - Sat, 25/03/2017 - 21:00
Se ha publicado una nueva versiónde OpenSSH destinada a corregir dos vulnerabilidades que podrían permitir descifrar mensajes o crear o modificar archivos en los sistemas afectados.
OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.
El primer problema corregido reside en la corrección de una variante de u ataque corregido en la versión 7.3 por una debilidad que puede permitir la medición de tiempo en las contramedidas contra ataques de Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los cifrados CBC están desactivados por defecto en los clientes OpenSSH y solo se incluyen por compatibilidad. En sshd se ofrecen como opción de preferencia más baja y se eliminarán por defecto completamente en la próxima versión.
Por otra parte un nuevo problema reportadopor los investigadores de Project Zero de Google. Solamente afecta a la versión OpenSSH portable y podría permitir a un servidor remoto autenticado aprovechar una escalada de directorios (o directorio transversal) en sftp-client en Cygwin para crear o modificar archivos fuera del directorio destino.
OpenSSH ha publicado la versión OpenSSH 7.5 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.
Más información:
OpenSSH 7.5 has just been releasedhttp://www.openssh.com/txt/release-7.5
OpenSSH on Cygwin: directory traversal in SFTP clienthttps://bugs.chromium.org/p/project-zero/issues/detail?id=1058&can=1&q=Openssh

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Mazain, un nuevo troyano bancario y su botnet asociada (y II)

Hispasec - Fri, 24/03/2017 - 13:03
En la una-al-día de ayer describimos el comportamiento de Mazain, una nueva muestra de malware para Android que hemos encontrado en nuestro Departamento Antifraude. Tal y como adelantamos, en la noticia de hoy vamos a analizar el C&C, las campañas, las diferentes muestras, las entidades afectadas y el panel de control.
Seguimos nuestra investigación con la misma muestra que tratamos ayer, buscamos el panel de control del troyano y vimos que solo afecta a usuarios en Rusia:
Los atacantes saben todo de los dispositivos infectados
En este panel aparece información como el IMEI, si tiene ROM modificada, la versión de Android, versión del APK, país del afectado, aplicaciones de bancos que tiene en el dispositivo, modelo del dispositivo, si tiene acceso root, si tiene la pantalla encendida, si tiene el dispositivo encendido, fecha de infección y unos botones para ver la información recolectada del dispositivo, incluidas las credenciales robadas del banco.
Pues sí. Así de fácil consiguen las credenciales
A través de una búsqueda rápida en Koodous descubrimos que hay casi 90 apks con el mismo nombre de paquete en el momento de escribir esta entrada:
89 APKs con el mismo nombre de paquete
Y la primera muestra de la que tenemos constancia en Koodous es de finales del año 2016:
Esta es la primera
Hemos analizado todas las aplicaciones y hemos extraído tantos los bancos afectados como los puntos de control, finalmente muchas de las apps comparten el mismo punto de control:
¿Para qué tener muchos C&C?
El dominio mcdir.ru pertenece a una compañía de hosting rusa llamada MCHost. Nos ha llamado la atención este porque es el que mayor número de C&C presenta.
La lista de nombres de paquetes monitorizados es la siguiente:
  • ru.sberbankmobile
  • ru.sberbank_sbbol
  • ru.alfabank.mobile.android
  • ru.alfabank.oavdo.amc
  • ru.mw
  • ru.raiffeisennews
  • com.idamob.tinkoff.android
  • com.paypal.android.p2pmobile
  • com.webmoney.my
  • ru.rosbank.android
  • ru.vtb24.mobilebanking.android
  • ru.simpls.mbrd.ui
  • ru.yandex.money
  • ua.com.cs.ifobs.mobile.android.sbrf
  • ua.privatbank.ap24
  • ru.simpls.brs2.mobbank
  • com.ubanksu
  • com.alseda.ideabank
  • pl.pkobp.iko
  • com.bank.sms
  • ua.com.cs.ifobs.mobile.android.otp
  • ua.vtb.client.android
  • ua.oschadbank.online
  • com.trinetix.platinum
  • hr.asseco.android.jimba.mUCI.ua
  • ua.pentegy.avalbank.production
  • com.ukrgazbank.UGBCardM
  • com.coformatique.starmobile.android

De la que se pueden extraer todas las entidades afectadas, principalmente todas de Rusia, aunque también hay entidades de Ucrania, Polonia y Croacia: 
  • Sberbank 
  • Alfa-Bank
  • VISA QIWI
  • Raiffeisen Bank
  • Tinkoff Bank
  • PayPal 
  • Webmoney Keeper
  • Rosbank
  • VTB Bank
  • MTS Bank
  • Yandex Money
  • PrivatBank
  • Russian Standard Bank
  • ubank
  • IdeaBank
  • PKO Bank Polski
  • Banco SMS (HandWallet)
  • OTP Bank
  • VTB Bank
  • Oschadbank
  • Platinum Bank
  • Ukrsotsbank
  • UkrSibbank

Para terminar, hemos generado una regla Yara en Koodous que iremos actualizando y que contempla que el malware contenga alguna de las URLs que ya se han visto anteriormente o el nombre de paquete.
Una sencilla regla Yara para detectarlo
Aunque este malware en este momento afecte principalmente a entidades rusas, no debemos dejar de prestarle atención. En cualquier momento a los atacantes puede resultarles muy sencillo enfocar su ataque a otro punto, como ya hemos visto en otras ocasiones. Además las medidas y recomendaciones son básicamente las mismas independientemente del malware que tratemos.
De nuevo recordamos extremar la precaución, especialmente en nuestros dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. Recuerda que tu móvil es igual que un ordenador, aplica las mismas prácticas de seguridad. El sentido común siempre es nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.
Por otra parte si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com
Más información:
Mazain Yara https://koodous.com/rulesets/2350
Hosting principalhttps://mchost.ru/
una-al-dia (23/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (I)http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su.html


Antonio Sánchezasanchez@hispasec.com
Categories: Seguridad

La nueva TomTom Touch Cardio ya está disponible

Canal PDA - Fri, 24/03/2017 - 12:52
TomTom Touch Cardio, anunciada en ISPO el pasado mes de febrero, ya está disponible para su compra. Con este lanzamiento, TomTom amplía su gama de pulseras de actividad y refuerza su compromiso de continuar creando wearables deportivos que inspiran a las personas a que tengan una vida activa. Con un precio de 89,95€, TomTom Touch […]
Categories: PDA / PPC

Huawei España y el Instituto Tecnológico y de Energías Renovables (ITER) firman un MoU para el impulso de la supercomputación

Canal PDA - Fri, 24/03/2017 - 12:45
Huawei España y el Instituto Tecnológico y de Energías Renovables (ITER), empresa pública del Cabildo de Tenerife, han suscrito, en el marco del CebIT 2017 que se celebra en Hannover, un acuerdo de colaboración, en virtud del cual ambas organizaciones se comprometen a impulsar la Supercomputación (HPC, por sus siglas en inglés) en la isla. […]
Categories: PDA / PPC

Samsung aplaza su reestructuración como hólding

Canal PDA - Fri, 24/03/2017 - 11:02
Al parecer, Samsung quiere retrasar la reestructuración como hólding de la que tanto se ha hablado, aunque los inversores la exhorten repetidamente a emprenderla y a racionalizar su modelo de negocio. Según Reuters, la firma surcoreana líder en smartphones, que en estos momentos pasa por una revisión estratégica de sus actividades empresariales, ha afirmado en […]
Categories: PDA / PPC

Mazain, un nuevo troyano bancario y su botnet asociada (I)

Hispasec - Thu, 23/03/2017 - 15:07
El malware para Android crece más cada día, además se vuelve más peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado un nuevo troyano bancario para Android del que además hemos podido acceder al panel de la botnet que lo controla.
Nos hemos encontrado en Koodous con una nueva muestra que parecía tener un comportamiento sospechoso, así que el Departamento Antifraude de Hispasec ha procedido a realizar un análisis más detallado.
¿A qué va a ser malware?
Tras el análisis dinámico y estático hemos comprobado que se trata de un troyano de evidente origen ruso que monitoriza otras aplicaciones bancarias, de pago online y similares instaladas en el dispositivo, con el objeto de capturar las credenciales introducidas. Hemos llamado "Mazain" a este troyano por la referencia a su autor ("by Maza-in") en el panel de la botnet.
Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas tanto las "Actividades" como los "Servicios" que la aplicación tiene declarados en su manifiesto:
¿injectionActivity?¿goRoot? Con nombres así da para sospechar
¿injectionService? Más de lo mismo
Con estos indicios y con ya muchas sospechas de encontrarnos ante un nuevo malware, el siguiente paso es ejecutar la muestra en un dispositivo móvil. Y lo primero que encontramos es que pide permisos de administración. Otra evidencia.
¿Permisos de Administrador?
¡Es el momento de cancelar la instalación!
Y por si fuera poco, el icono desaparece de las aplicaciones disponibles y al mismo tiempo realiza un par de peticiones al C&C (Command and Control, la infraestructura mando y control):


Con todas las evidencias reunidas, solo queda pasar a realizar un análisis estático que nos ofrezca más información sobre este malware. Tras un primer examen del código vemos que contiene diferentes funcionalidades.
En primer lugar descubrimos información de la configuración del troyano, como es su punto de control, la clave con la que va a comunicarse con el servidor y el nombre de la campaña. No se puede decir que el desarrollador haya sido muy cuidadoso, ya que posteriormente hemos encontrado estos mismos datos incluidos directamente en otras partes del código ("hardcodeados").
Así siempre, por favor
También comprobamos los diferentes nombres de paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace evidente.


Las intenciones son claras, inyectar su código malicioso cuando el usuario abra alguna de ellas:


Es el momento de volver al teléfono y probar el funcionamiento sobre una de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago online:


Tras introducir las credenciales en la pantalla que nos muestra, vemos el tráfico realizado, tanto solicitando la web que ha superpuesto como la información que hemos introducido:



Además de la función de captura de credenciales de banca online, también hemos encontrado funciones para recolectar los SMS enviados y recibidos. Sin duda con el propósito de acceder a los sistemas en los que haya un doble factor de autenticación:


En una próxima entrega analizaremos la botnet, el panel y más datos interesantes sobre este nuevo malware.
De nuevo, las medidas recomendadas son las habituales: sentido común como nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.


Antonio Sánchezasanchez@hispasec.com
Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator