Nos últimos tempos, devido ao grande crescimento e popularidade do sistema operacional Android, os criadores de malware desenvolveram muitas ameaças para esta plataforma. Muitos desses códigos maliciosos ficam geralmente alojados em repositórios de aplicativos não oficiais, mas eventualmente podem se infiltrar nos sites oficiais.

O Google anunciou recentemente a eliminação de 22 aplicativos do Android Market devido ao seu conteúdo malicioso. Títulos como Sim City Deluxe FREE, Need for Speed Shift FREE, Assassin’s Creed e versões falsas de acessórios para o Angry Birds, dentre outros. Esses aplicativos possuíam uma ameaça detectada pelo ESET Mobile Security para Android como Android/TrojanSMS.Boxer.AA. O arquivo malicioso realiza envios de mensagens de texto com ofertas de serviços premium para a vítima e assim faz com que ela tenha que pagar por conteúdo não solicitado.

Apesar de que teria sido mais conveniente que esse problema nem sequer tivesse acontecido, é importante considerar que a empresa desenvolvedora do sistema operacional Android tenha conseguido localizar e reparar essas aplicações maliciosas, para assim garantir a segurança dos dados e do dinheiro de seus usuários.

Para evitar esses ataques, o usuário deverá verificar, entre outras coisas, as permissões que o aplicativo solicita no momento do download e instalação, pois não é possível para a ameaça realizar essas ações sem a permissão do usuário. Isso se deve em grande parte ao modelo de segurança do Android, já que antes da instalação de qualquer aplicativo é apresentada uma lista de permissões requeridas. Se no momento de instalar um novo aplicativo ou atualizar um que já se encontra no dispositivo se observar que ela requer permissões especiais, é melhor ter em conta quais são os riscos que o usuário pode enfrentar.

Além disso, é bom contar com uma solução antivírus com capacidade de detecção proativa, assim como manter o sistema operacional do seu dispositivo móvel atualizado com a última versão disponível para que os criadores de códigos maliciosos não possam tirar proveito das vulnerabilidades que já tenham sido reparadas. Apesar desse inconveniente, continuamos aconselhando que, ao realizar downloads de aplicativos e jogos para seu smartphone, o faça através de páginas oficiais, ficando atento para quais são as permissões solicitadas pelo aplicativo, quem é o desenvolvedor e os comentários a respeito.

Gonzalo Presa
Analista Jr. de Segurança

Categories: Malware
No Comments »

Está chegando o Natal, e esse é momento de fazer compras. Graças à crescente demanda de produtos nessas datas especiais, muitas vezes isso acaba sendo um incômodo para muitos consumidores, seja devido ao tumulto nas lojas ou à falta de tempo para se fazer as compras em paz. Nesse contexto, as compras em sites de e-commerce aumentam consideravelmente nessa época. Esse dado é obviamente levado em consideração pelos criminosos virtuais, o que exige uma atenção especial no momento de realizar compras através desses meios e evitar ser mais uma vítima desse tipo de caso.

Para isso, compartilhamos cinco conselhos para que você realize suas compras natalinas de maneira segura:

1.    Atualizar seu sistema e aplicativos: Sempre é importante manter seu sistema e aplicativos atualizados para estar protegido diante das ameaças que utilizam erros já corrigidos pelos fabricantes.

2.    Comprar através de sites com reputação conhecida ou recomendada: Para evitar ser fraudado ao realizar uma compra ou ser vítima de roubo de dados bancários, faça suas compras através de serviços com reputação alta ou através de sites recomendados.

3.    Evitar links nos e-mails: Muitas vezes os criminosos virtuais utilizam engenharia social através de e-mails para atrair suas vítimas e assim poder furtar seus dados bancários. É necessário que se evite clicar nos links que chegam nos e-mails. Para acessar esses sites onde se apresentam as ofertas, deve-se escrever o endereço do site diretamente no navegador e verificar se a oferta realmente existe.

4.    Verificar a segurança do e-Commerce: É indispensável verificar que o site em que você está navegando possui proteção, ou seja, se está funcionando sob o protocolo HTTPS ao invés de HTTP. Isso pode ser verificado na barra de endereços, diante do endereço de acesso ao site. Muitas vezes também é possível observar um cadeado fechado localizado geralmente na parte inferior direita do navegador, que indica a segurança do site.

5.    Tenha cuidado com o local de onde se conecta: No caso de possuir um dispositivo móvel com conexão WIFI, seja notebook, netbook, etc., lembre-se que as redes wifi públicas, sejam abertas ou protegidas por senha, podem ser interceptadas. Por isso é recomendável realizar transações através de uma rede própria ou de alguém de sua confiança.

Seguindo esses conselhos, você poderá adquirir seus produtos através de lojas on-line de maneira segura e sem complicações ou efeitos inesperados. Além disso, reforçamos que esses conselhos, acompanhados de uma solução antivírus com capacidade de detecção proativa, servirão não somente para as compras, mas também serão de grande ajuda durante a navegação e verificação de e-mails.

Gonzalo Presa
Analista Jr. de Segurança

Categories: Educação
No Comments »

Hoje vamos apresentar a vocês a análise de um código malicioso que se propagava através de e-mails falsos se passando por uma notificação do Facebook. A ameaça, detectada pelo ESET NOD32 Antivirus como Win32/VB.NRE, tenta transformar o computador em um integrante de uma botnet. Observaremos como é que este código malicioso infecta o sistema e logo se comunica com o painel de administração.

Em primeiro lugar, para que um computador seja infectado, o usuário deve ter sido vítima do golpe, baixando e executando o trojan. Lembre-se que a engenharia social é utilizada para chamar a atenção de vítimas em potencial. Aqueles que não contam com boas práticas para navegar na Internet, nem contam com uma solução de segurança, podem estar expostos a esse tipo de ataques.

Quando se executa o arquivo, o usuário não vê a suposta postagem no Facebook. O que na verdade acontece é que o arquivo se adiciona ao início automático do sistema e, além disso, entrará em contato com o Centro de Controle (C&C) da botnet para receber novas ordens. Vejamos o que acontece em cada uma dessas duas etapas. Através de uma análise dinâmica do trojan, é possível determinar onde se armazena uma cópia dele mesmo: “C:\Windows\csrcs.exe”. Essa informação pôde ser comprovada utilizando o ESET SysInspector, uma ferramenta de diagnóstico da ESET, como se pode observar na imagem a seguir:

Uma vez que se conhece a localização do arquivo é possível eliminá-lo manualmente, além de ser recomendável apagar a entrada no início automático. Anteriormente, já havíamos comentado que essa técnica é muito comum entre as estratégias dos criminosos virtuais com o objetivo de executar seu código malicioso na inicialização do sistema.

Este trojan também se comunica com o painel de controle da botnet, enviando informação sobre o sistema operacional, usuário, senha e o endereço IP do novo computador zumbi. Com essa informação, o botmaster pode identificar de maneira exclusiva os equipamentos que estão sob seu controle, acessando os recursos remotamente. Outro dos pontos a considerar sobre este comportamento é que a conexão é feita a partir do computador infectado até o endereço URL remoto através do protocolo HTTP na porta 80. Com esse comportamento, é mais difícil para um firewall detectar a atividade anormal.

Na tela anterior, observamos o tráfego de saída até o painel de administração e todos os dados que mencionamos anteriormente. Uma vez que o computador é ativado como parte da botnet Volk, em sua versão 4.0, o criminoso poderá utilizar o sistema para o roubo de credenciais de acesso ao Internet banking, envio de spam e outras atividades maliciosas. O método GET utilizado ao enviar os dados permite baixar outros arquivos executáveis e armazená-los nos arquivos temporários do Windows para sua posterior execução. Por último, podemos observar que o painel de administração desta botnet se encontra ativo:

Mais uma vez, esse tipo de atividade foi reportada na região, assim como a detecção de redes de computadores zumbis que atacam usuários da América Latina. Para evitar este tipo de situação, é necessário contar com uma solução antivírus com capacidade de detecção proativa, como também poder identificar falsos e-mail e nunca abrir os arquivos anexos sem antes analisa-los.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análise de malware
No Comments »