L’home dibuixat

Una completa anàlisi de SMSZombie, un troià per a Android especialitzat en robar informació relacionada amb l'accés a sistemes de banca electrònica a partir de la lectura dels missatges de text. Explica la tècnica utilitzada per amagar als usuaris els permisos necessaris per a executar l'aplicació i com aprofita la funcionalitat de Live Wallpapers per tal de fer operacions malèvoles cada dos segons.

Està disponible el codi font comentat del troià.

Informe «Mobile Threat Report Q2» de F-Secure, sobre l'estat de la seguretat als dispositius mòbils, especialment en els basats en sistema operatiu Android.

Every quarter, Android malware continues to grow in number, and q2 2012 is no exception. we received a total of 5033 malicious Android application package files (APKs), most of which are coming from third-party Android markets. This amount is a 64% increase compared to the number in the previous quarter. Out of this amount, we identified 19 new families and 21 new variants of existing families. A high concentration of these new variants is coming from FakeInst and OpFake, two families that are found to be related. Malware in these two families share a lot of similarities that in some instances, they can be classified as one family. In general, the new variants retain the same malicious behavior as found in the previous ones, only improving on the method used in defeating anti-virus technology in order to avoid detection.

After a while on the scene, Android malware has begun to explore new methods of infection as evidenced by NotCompatible.A and Cawitt.A. In May 2012, the first Android malware to use the drive-by download method was spotted in the wild, detected as Trojan-Proxy:Android/NotCompatible.A. A simple visit to a malicious website could render a device infected, if the device is configured to allow installations from unknown sources. when visiting a specially crafted website, the device will automatically download an application from the site. This application is then shown in the notification menu, waiting for the user to install it. To convince the user into installing it, the malware relies on social engineering tactics, naming the application as “com.Security.Update’ and the filename as “Update.Apk.” Once infected, the device is turned into a proxy or becomes part of a bot network.

In addition to drive-by download, another infection method discovered in this quarter is the utilization of Twitter as a bot mechanism. Cawitt.A for instance, accesses a Twitter account (possibly set up by the malware) to obtain a server address, from which it communicates with and receives further command from. Upon receiving instructions, this malware sends out SMS messages to certain numbers, and forwards data on the device’s International Mobile Equipment Identity (IMEI) number, phone number, and Android ID to the aforementioned server.

Aside from the continuing growth of Android malware and the discovery of new infection methods, the second quarter also reveals a trend in regionally-based attack. In Spain for instance, we tend to get a lot of reports on banking-related attacks. This quarter, SmsSpy.F which is related to Zitmo, is a fairly popular case being reported. The malware appears to be specifically targeting users who perform an online banking transaction and need the Mobile Transaction Authorization Number (mTAN). It arrives as an SMS message, notifying the user to download a security application from the provided link.

Recentment diversos blocs d'amics s'han llevat pel matí amb un cridaner avís de Google indicant que el lloc conté (o enllaça a) una font de malware. Toquem fusta per tal que això no em passi a mi

Acabo de veure un gràfic sobre les causes més habituals:

Causes més habituals d'infecció de malware als llocs web

Certament és curiós de veure que les dues principals causes, gairebé nou de cada deu, són provocades per la presència de codi malèvol en JavaScript o Java. Va ser Microsoft, vés per on, qui l'any 2010 ja ens avisava.

Si en connectar a una WiFi es mostra un missatge indicant que hi ha una actualització disponible per al sistema operatiu o una aplicació… sospiteu. Pel que indica un avís del FBI sembla ser una nova via per a la distribució de malware:

Recently, there have been instances of travelers' laptops being infected with malicious software while using hotel Internet connections. In these instances, the traveler was attempting to setup the hotel room Internet connection and was presented with a pop-up window notifying the user to update a widely-used software product. If the user clicked to accept and install the update, malicious software was installed on the laptop. The pop-up window appeared to be offering a routine update to a legitimate software product for which updates are frequently available.

Windows Defender Offline és un sistema de detecció de virus i malware de Microsoft pensat per analitzar un sistema i detectar qualsevol fitxer sospitós de contenir malware. A diferència de l'altre antivirus de Microsoft, Security Essentials, que ofereix una detecció online, Defender està pensat per ser executat des d'un CD/DVD o una memòria USB amb la que s'inicialitza l'ordinador. D'aquesta forma s'evita qualsevol interferència externa provocada pel malware que impedeixi la seva detecció.

Per a utilitzar-lo cal baixar l'instal·lador (en versió de 32 i 64 bit) i crear un CD o DVD d'inici, o bé instal·lar-lo en una memòria flash (aquesta opció és la més aconsellable ja que permet l'actualització del fitxer de signatures). Un cop instal·lat, cal iniciar l'ordinador amb aquest CD/DVD/memòria flash i fer l'anàlisi dels discos durs. En cas de detectar qualsevol malware, ens donarà l'opció d'eliminar-lo:

1) Instal·lació

Inici de la instal·lació

2) Escollir on volem instal·lar-lo:

Ubicació del programa: CD, DVD o memòria USB

Si escollim la instal·lació en una memòria USB ens avisarà que esborrarà tot el contingut:

Avís que s'esborrarà el contingut de la memòria USB

S'inicia el procés de còpia de fitxers

Procés de còpia de fitxers

i un cop finalitzada la instal·lació, ens diu les instruccions d'ús:

Instruccions d'ús

4) En ús:

Windows Defender en ús

La presentació està disponible en format PDF (3,7 MB) i mostra un exemple pràctic tot analitzant una versió falsa del Microsoft Messenger.

Ho van anunciar ahir (Using data to protect people from malware): Després de detectar l'existència d'un malware que s'encarrega d'interceptar les peticions que s'envien a Google (actuant com a proxy), Google ha decidit informar als usuaris que es troben infectats amb aquest avís:

Avís de malware de Google

Com sempre, és una mesura interessant… però evidentment només orientativa. El fet que no ens aparegui el missatge no és un indicador que no estem infectats. En cap cas hem de considerar aquest moviment de Google com un pas per substituir els antivirus.