Apps maliciosas disfrazadas de servicios de préstamo infectan a más de 12 millones de dispositivos Android

Más de una docena de aplicaciones de préstamos maliciosas, que reciben el nombre genérico de SpyLoan, se han descargado más de 12 millones de veces este año desde Google Play, pero el recuento es mucho mayor ya que también están disponibles en tiendas de terceros y sitios web sospechosos.

Las amenazas de SpyLoan para Android roban del dispositivo datos personales que incluyen una lista de todas las cuentas, información del dispositivo, registros de llamadas, aplicaciones instaladas, eventos del calendario, detalles de la red Wi-Fi local y metadatos de imágenes. Los investigadores dicen que el riesgo también se extiende a la lista de contactos, los datos de ubicación y los mensajes de texto.

Se hacen pasar por servicios financieros legítimos para préstamos personales que prometen "acceso rápido y fácil a los fondos". Sin embargo, engañan a los usuarios para que acepten pagos con intereses elevados y luego el actor de la amenaza chantajea a las víctimas para que paguen el dinero.

Desde principios de año, la empresa de ciberseguridad ESET, miembro de App Defense Alliance dedicada a detectar y erradicar malware de Google Play, ha descubierto 18 aplicaciones de SpyLoan.

Google reaccionó al informe de ESET y eliminó 17 de las aplicaciones maliciosas, mientras que una de ellas ahora está disponible con un conjunto diferente de permisos y funcionalidades y ya no se detecta como una amenaza de SpyLoan.

La aplicación SpyLoan cuenta con 5 millones de descargas en Google Play (ESET)

Aumento del préstamo espía

Las aplicaciones SpyLoan se vieron por primera vez en 2020, pero a partir del año pasado se volvieron más frecuentes en los sistemas Android e iOS, según ESET, Lookout, Zimperium y Kaspersky.

ESET afirma que los canales de distribución actuales incluyen sitios web fraudulentos, software en tiendas de aplicaciones de terceros y Google Play.

Según datos de ESET, la detección de SpyLoan ha aumentado a lo largo de 2023, siendo la amenaza más prominente en México, India, Tailandia, Indonesia, Nigeria, Filipinas, Egipto, Vietnam, Singapur, Kenia, Colombia y Perú.

Para infiltrarse en Google Play, estas aplicaciones se envían con políticas de privacidad compatibles, siguen los estándares requeridos de conocer a su cliente (KYC) y tienen solicitudes de permiso transparentes.

En muchos casos, las aplicaciones fraudulentas enlazan con sitios web que son estafas flagrantes de sitios legítimos de la empresa, e incluso muestran fotografías de los empleados y de la oficina para crear una falsa sensación de autenticidad.

Riesgos multifacéticos

Las aplicaciones SpyLoan violan la política de servicios financieros de Google al acortar unilateralmente la duración de los préstamos personales a unos pocos días o cualquier otro período arbitrario y amenazar al usuario con el ridículo y la exposición si no cumple.

Además, lo que se menciona en las políticas de privacidad es engañoso y presenta razones aparentemente legítimas para obtener permisos riesgosos.

Por ejemplo, se necesita el permiso de la cámara para permitir la carga de datos fotográficos para KYC y el acceso al calendario del usuario para programar fechas de pago y recordatorios, pero esas son prácticas extremadamente intrusivas.

Exfiltrar datos del dispositivo (ESET)

 

Además, las aplicaciones SpyLoan solicitan permisos que no deberían ser necesarios en absoluto, como acceso a registros de llamadas y listas de contactos, que utilizan para extorsionar a los usuarios cuando se resisten a demandas de pago absurdas.

Amenazas enviadas al usuario vía SMS
(ESET)

 

"Si bien estas aplicaciones SpyLoan técnicamente cumplen con los requisitos de tener una política de privacidad, sus prácticas claramente van más allá del alcance de la recopilación de datos necesaria para brindar servicios financieros y cumplir con los estándares bancarios KYC", explica ESET.

"Creemos que el verdadero propósito de estos permisos es espiar a los usuarios de estas aplicaciones, acosarlos y chantajearlos a ellos y a sus contactos", añaden los investigadores.

Reseñas de usuarios bajo una aplicación SpyLoan (ESET)

 

Para defenderse de la amenaza SpyLoan, confíe únicamente en instituciones financieras establecidas, revise cuidadosamente los permisos solicitados al instalar una nueva aplicación y lea las reseñas de los usuarios en Google Play, que a menudo contienen pistas sobre la naturaleza fraudulenta de la aplicación.

Ir al Inicio

Un aviso de seguridad falso de WordPress impulsa un complemento de puerta trasera

Los administradores de WordPress reciben por correo electrónico avisos de seguridad falsos de WordPress por una vulnerabilidad ficticia rastreada como CVE-2023-45124 para infectar sitios con un complemento malicioso.

La campaña ha sido detectada y reportada por expertos en seguridad de WordPress en Wordfence y PatchStack, quienes publicaron alertas en sus sitios para crear conciencia.

Actualización falsa de WordPress

Los correos electrónicos pretenden ser de WordPress, advirtiendo que se detectó una nueva falla crítica de ejecución remota de código (RCE) en la plataforma en el sitio del administrador, instándolos a descargar e instalar un complemento que supuestamente aborda el problema de seguridad.

Correo electrónico de phishing que se hace pasar por un aviso de seguridad de WordPress
Fuente: PatchStack

 

Al hacer clic en el botón 'Descargar complemento' del correo electrónico, la víctima accede a una página de inicio falsa en 'en-gb-wordpress[.]org' que parece idéntica al sitio legítimo 'wordpress.com'.

Página de inicio falsa de WordPress
Fuente: PatchStack

 

La entrada del complemento falso muestra un recuento de descargas probablemente inflado de 500,000, junto con múltiples reseñas de usuarios falsos que explican cómo el parche restauró su sitio comprometido y los ayudó a frustrar los ataques de piratas informáticos.

La gran mayoría de las reseñas de los usuarios son reseñas de cinco estrellas, pero se incluyen reseñas de cuatro, tres y una estrella para que parezcan más realistas.

Reseñas de usuarios falsos
Fuente: Wordfence

 

Tras la instalación, el complemento crea un usuario administrador oculto llamado "wpsecuritypatch" y envía información sobre la víctima al servidor de comando y control (C2) de los atacantes en "wpgate[.]zip".

A continuación, el complemento descarga una carga útil de puerta trasera codificada en base64 desde el C2 y la guarda como 'wp-autoload.php' en la raíz del sitio web.

La puerta trasera presenta capacidades de administración de archivos, un cliente SQL, una consola PHP y una terminal de línea de comandos y muestra información detallada sobre el entorno del servidor a los atacantes.

Funcionalidad de puerta trasera
Fuente: Wordfence

 

El complemento malicioso se oculta de la lista de complementos instalados, por lo que es necesaria una búsqueda manual en el directorio raíz del sitio para eliminarlo.

Código para ocultar al usuario administrador y el complemento malicioso
Fuente: PatchStack

 

En este momento, se desconoce el objetivo operativo del complemento.

Sin embargo, PatchStack especula que podría usarse para inyectar anuncios en sitios comprometidos, realizar redirección de visitantes, robar información confidencial o incluso chantajear a los propietarios amenazando con filtrar el contenido de la base de datos de su sitio web.

Ir al Inicio

Evita que Windows recopile información de uso con Win10Privacy

Con la llegada de Windows 10, Microsoft introdujo un gran número de funciones de telemetría, que rastrean prácticamente cualquier uso que hacemos y que, podemos desactivar si no queremos compartir esa información con Microsoft, aunque el proceso para llevarlo a cabo no es sencillo, ya que estas opciones se encuentran en diferentes apartados de Windows y no muy a la vista que digamos.

Con Windows 11, la cosa no ha mejorado, y nos encontramos con el mismo problema. Afortunadamente se lanzó al mercado la aplicación Win10Privacy. Win10Privacy es una aplicación que nos permite conocer cuáles son los datos que Microsoft recopila en una misma ventana y evitar que siga haciéndolo.

Lo primero que debemos hacer antes de utilizar la aplicación es realizar un punto de restauración que nos permite recuperar el estado de Windows si realizamos un cambio que no debemos y ahora explicaremos el motivo. La pantalla principal de Wind10Privacy muestra toda la información que Microsoft recopila de nuestro PC. Esta se muestra en colores verde, amarillo y rojo.

Las opciones marcadas en color verde, se puede modificar sin problemas ya que no tienen ningún efecto secundario en Windows. Las que se muestra en color amarillo, afectan a algunas funciones del dispositivo mientras que las marcadas en color rojo pueden tener efectos secundarios en el equipo.

Aunque la aplicación se encuentra en español, algunas de las opciones únicamente se muestran en inglés. Para evitar que Microsoft recopile los datos de nuestro equipo que detallan esas funciones, tan solo debemos marcar la correspondiente casilla y, a continuación, pulsar en Aplicar cambios establecidos. Dependiendo de que tipo de cambios sean, será necesario reiniciar el equipo.

Pero, además, también podemos modificar el funcionamiento de las aplicaciones e incluso eliminarlas de forma segura del sistema y desactivar alguna de las funciones que ofrecen en las siguientes categorías: Servicios, Edge, Internet Explorar, OneDrive, Firewall, Aplicaciones-Usuarios, Aplicaciones-Sistema entre otros. Si tenemos previsto formatear el equipo y queremos conservar la configuración establecida, podemos hacer una copia a través del menú Configuración para restaurarla nuevamente.

Para poder realizar los cambios en el sistema, es necesario ejecutar la aplicación con permisos de Administrador. Para abrir la aplicación con permisos de administrador, lo único que debemos hacer es acceder al icono de la aplicación, acceder a las propiedades, en la pestaña Acceso directo pulsamos en Opciones avanzadas y marcar la casilla Ejecutar como administrador. De esta forma, cada vez que ejecutemos la aplicación, no tendremos que acordarnos de hacerlo en este modo.

Win10Privacy es una aplicación que podemos descargar de forma totalmente gratuita desde su página web a la que podemos acceder desde este enlace. La aplicación se encuentra traducida al español, por lo que no vamos a tener ningún problema en sacarle el máximo partido y controlar que información queremos compartir con Microsoft acerca del uso que hacemos de nuestro equipo.

Ir al Inicio

El malware FjordPhantom para Android utiliza la virtualización para evadir la detección

Se ha descubierto un nuevo malware para Android llamado FjordPhantom que utiliza la virtualización para ejecutar código malicioso en un contenedor y evadir la detección.

El malware fue descubierto por Promon, cuyos analistas informan que actualmente se propaga a través de correos electrónicos, SMS y mensajería dirigidas a aplicaciones bancarias.

Se engaña a las víctimas para que descarguen lo que parecen ser aplicaciones bancarias legítimas, pero que contienen código malicioso que se ejecuta en un entorno virtual para atacar la aplicación bancaria real.

FjordPhantom tiene como objetivo robar credenciales de cuentas bancarias en línea y manipular transacciones mediante fraude en el dispositivo.

El informe de Promon destaca un caso en el que FjordPhantom robó 280,000 dólares a una sola víctima, lo que fue posible combinando la naturaleza evasiva del malware con ingeniería social, como llamadas supuestamente de agentes de servicio al cliente del banco.

La virtualización como evasión en Android

En Android, se pueden ejecutar varias aplicaciones en entornos aislados conocidos como "contenedores" por motivos legítimos, como ejecutar varias instancias de la misma aplicación utilizando diferentes cuentas.

FjordPhantom incorpora una solución de virtualización a partir de proyectos de código abierto para crear un contenedor virtual en el dispositivo sin que el usuario lo sepa.

Tras su lanzamiento, el malware instala el APK de la aplicación bancaria que el usuario pretendía descargar y ejecuta código malicioso dentro del mismo contenedor, lo que lo convierte en parte del proceso confiable.

Con la aplicación bancaria ejecutándose dentro de su contenedor virtual, FjordPhantom puede inyectar su código para conectar API clave que le permitan capturar credenciales, manipular transacciones, interceptar información confidencial, etc.

En algunas aplicaciones, el marco de enlace del malware también manipula elementos de la interfaz de usuario para cerrar automáticamente los cuadros de diálogo de advertencia y mantener a la víctima inconsciente del compromiso.

El ataque de virtualización de FjordPhantom
Fuente: Promon

 

Promon señala que este truco de virtualización rompe el concepto de seguridad 'Android Sandbox', que evita que las aplicaciones accedan a los datos de otras o interfieran con sus operaciones, ya que las aplicaciones dentro de un contenedor comparten el mismo sandbox.

Este es un ataque particularmente furtivo porque la aplicación bancaria en sí no se modifica, por lo que la detección de manipulación del código no ayuda a detectar la amenaza.

Además, al conectar las API relacionadas con GooglePlayServices para que parezcan no disponibles en el dispositivo, FjordPhantom dificulta los controles de seguridad relacionados con la raíz.

Los ganchos del malware incluso se extienden al registro, lo que potencialmente proporciona sugerencias a los desarrolladores sobre cómo realizar ataques más dirigidos a diferentes aplicaciones.

Promon comenta que esto es una señal de desarrollo activo, lo que eleva el riesgo de que FjordPhantom expanda su alcance en futuras versiones.

Ir al Inicio

El nuevo ataque BLUFFS secuestra conexiones Bluetooth

Investigadores han desarrollado seis nuevos ataques denominados colectivamente 'BLUFFS' que pueden romper el secreto de las sesiones de Bluetooth, permitiendo la suplantación de dispositivos y ataques de intermediario (MitM).

Daniele Antonioli, quien descubrió los ataques, explica que BLUFFS explota dos fallas previamente desconocidas en el estándar Bluetooth relacionadas con cómo se derivan las claves de sesión para descifrar los datos a cambio.

Estas fallas no son específicas de las configuraciones de hardware o software, sino que son arquitectónicas, lo que significa que afectan a Bluetooth en un nivel fundamental.

Los problemas se rastrean con el identificador CVE-2023-24023 y afectan las especificaciones básicas de Bluetooth 4.2 a 5.4.

Teniendo en cuenta el uso generalizado del estándar de comunicación inalámbrica bien establecido y las versiones afectadas por los exploits, BLUFFS podría funcionar en miles de millones de dispositivos, incluidos portátiles, teléfonos inteligentes y otros dispositivos móviles.

Cómo funciona BLUFFS

BLUFFS es una serie de exploits dirigidos a Bluetooth, cuyo objetivo es romper el secreto futuro y futuro de las sesiones de Bluetooth, comprometiendo la confidencialidad de las comunicaciones pasadas y futuras entre dispositivos.

Esto se logra explotando cuatro fallas en el proceso de derivación de claves de sesión, dos de las cuales son nuevas, para forzar la derivación de una clave de sesión (SKC) corta, por lo tanto débil y predecible.

A continuación, el atacante fuerza bruta la clave, lo que le permite descifrar comunicaciones pasadas y descifrar o manipular comunicaciones futuras.

Pasos de ataque  (dl.acm.org)

 

La ejecución del ataque presupone que el atacante se encuentra dentro del alcance de Bluetooth de los dos objetivos que intercambian datos y se hace pasar por uno para negociar una clave de sesión débil con el otro, proponiendo el valor de entropía de clave más bajo posible y utilizando un diversificador de clave de sesión constante.

Negociar una clave de sesión mientras se suplanta a una parte legítima
(dl.acm.org)

 

El artículo publicado presenta seis tipos de ataques BLUFFS, que cubren varias combinaciones de ataques de suplantación de identidad y MitM, que funcionan independientemente de si las víctimas admiten Secure Connections (SC) o Legacy Secure Connections (LSC).

Los investigadores desarrollaron y compartieron un conjunto de herramientas en GitHub que demuestra la eficacia de BLUFFS. Incluye un script Python para probar los ataques, los parches ARM, el analizador y las muestras PCAP capturadas durante sus pruebas.

Impacto y remedio

BLUFFS afecta a Bluetooth 4.2, lanzado en diciembre de 2014, y a todas las versiones hasta la última, Bluetooth 5.4, lanzada en febrero de 2023.

El documento presenta los resultados de las pruebas de BLUFFS en varios dispositivos, incluidos teléfonos inteligentes, auriculares y computadoras portátiles, que ejecutan las versiones de Bluetooth 4.1 a 5.2. Se confirmó que todos ellos eran susceptibles a al menos tres de seis ataques de BLUFFS.

BLUFFS probado en una variedad de dispositivos (dl.acm.org)

 

El documento también propone las siguientes modificaciones compatibles con versiones anteriores que mejorarían la derivación de claves de sesión y mitigarían BLUFFS y amenazas similares:

• Introduzca una nueva "Función de derivación de claves" (KDF) para conexiones seguras heredadas (LSC) que implica el intercambio y la verificación mutuos, lo que agrega una sobrecarga mínima.
• Los dispositivos deben utilizar una clave de emparejamiento compartida para la autenticación mutua de diversificadores de claves, garantizando la legitimidad de los participantes de la sesión.
• Aplique el modo Conexiones seguras (SC) siempre que sea posible.
• Mantenga un caché de diversificadores de claves de sesión para evitar su reutilización.

Bluetooth SIG (Special Interest Group), la organización sin fines de lucro que supervisa el desarrollo del estándar Bluetooth y es responsable de otorgar licencias para la tecnología, recibió el informe y publicó una declaración en su sitio.

La organización sugiere que las implementaciones rechacen conexiones con niveles de clave bajos inferiores a siete octetos, utilicen el 'Modo de seguridad 4 Nivel 4', que garantiza un nivel de cifrado más alto, y operen en el modo 'Solo conexiones seguras' al realizar el emparejamiento.

Ir al Inicio