Relatório da ESET sobre tendências em ameaças digitais para 2013 aponta que neste ano o foco dos criminosos virtuais serão os dispositivos móveis. Os smartphones, tablets e afins podem ser vítimas de ataques envolvendo sites violados.

As detecções de códigos maliciosos para mobile multiplicaram 7 vezes na Argentina, 10 vezes no Chile e 4 vezes no Uruguai, e é esperado que continuem a crescer. Além disso, um dos principais tipos de ataque atualmente é tentar forçar o usuário a assinar serviços de mensagem instantânea pagos, visando obter o lucro associado (40% das detecções).

Em segundo lugar nos golpes para mobile, está a transformação do aparelho em um integrante de uma rede zumbi (botnet), controlada por criminosos (32%). Em terceiro lugar, temos o roubo de informação nos smartphones (28%).

De acordo com a pesquisa da ESET América Latina, está mudando também um paradigma relacionado à propagação de malware: a utilização de meios tradicionais como e-mails e dispositivos removíveis está dando espaço para a exploração de sites para intermediar a infecção às suas vítimas.

Para ter acesso ao relatório completo, clique aqui.

Mauro Albuquerque
Marketing Analyst – ESET Brasil.

Categories: Alertas, Botnet
No Comments »

Há alguns dias, foram detectadas em diferentes sites da Internet novas variantes do ZITMO, versão do Zeus para dispositivos móveis que permite tomar o controle do dispositivo e executar comandos remotos. Essa versão do código malicioso, detectado pelo ESET Mobile Security para Android como Android/Spy.Zitmo, apresenta uma evolução considerável em comparação a outras ameaças detectadas anteriormente. Praticamente todo o código do trojan foi reescrito pelos cibercriminosos que o propagam como uma suposta aplicação de segurança, também conhecida como Rogue. Veremos a seguir alguns pontos importantes e a interação com o painel de controle.

Anteriormente, quando foram detectadas ou reportadas variantes do ZITMO para dispositivos móveis, suspeitava-se que eram aplicações para transações online. Desta vez, vemos que simula ser uma solução de segurança. Um dos principais motivos disso é o fato do Android ser um sistema baseado em permissões, que o usuário deve aceitar para instalar um aplicativo. No momento de executar o aplicativo pela primeira vez, o usuário observa uma tela com um código de ativação, mas ignora o que realmente acontece no seu dispositivo.

Esta nova variante do Android/Spy.Zitmo se trata da versão 1.2.7 do código malicioso e permite seu controle através de mensagens de texto. A ameaça armazena as mensagens recebidas em um banco de dados no diretório /data/data/com.android.security/secsuite.db e conta com três tabelas diferentes:

• android_metadata
• delay_data
• sqlite_sequence

Na tabela delay_data, são armazenados todos os dados referentes às mensagens de texto que não foram enviadas ao criminoso virtual. Esta informação é enviada de forma sincronizada em um número determinado de tempo. O primeiro relatório do código malicioso é feito aos 180 segundos após ter sido iniciada a aplicação e é atualizado aos 1500 segundos. Na tela a seguir podemos ver que a classe ValueProvider concentra toda a informação de administração do bot: o endereço URL a que o malware se reporta (UrlToReport), que está ofuscada, variáveis padrão, versão do malware, etc:

Todos esses dados são utilizados pelas diferentes seções do código malicioso. Além de que o AndroidManifest.xml conta com a definição de um BroadCastReceiver, com o nome SecurityProvider, que é disparado a uma recepção de uma mensagem de texto, a realização de uma chamada ou quando finaliza a inicialização do sistema. Toda essa informação fica detalhada no arquivo de permissões, porém não pode ser vista pelo usuário:

Através da utilização deste tipo de técnicas, que já reportamos anteriormente, o bot consegue obter a informação temporal, armazená-la na base de dados e em seguida enviar ao endereço URL. Outro ponto importante a levar em consideração é que o controle do computador infectado é feito através de mensagens SMS. Quando é iniciado o evento onReceive da classe Security Receiver, segundo o conteúdo da mensagem, podemos interpretar como um comando ou como uma mensagem a ser armazenada, com base nas opções da função AlternativeControl. Este último detalhe permite alterar as opções do bot segundo as necessidades do criminoso e estender suas funcionalidades:

As funcionalidades desta ameaça permitem ao criminoso tomar o controle do dispositivo e realizar ações distintas. A ação a ser executada varia segundo o caractere com o qual se inicia a mensagem de texto. Para prevenir a infecção dos dispositivos móveis com esse tipo de ameaças é recomendável contar com uma solução de segurança que detecte proativamente as ameaças.

Pablo Ramos
Security Researcher

Categories: Botnet, Malware
No Comments »

Na semana passada, recebemos em nosso laboratório um falso e-mail referente a uma importante empresa de telefonia celular, avisando sobre a chegada de uma suposta mensagem multimídia (MMS), que tem como objetivo fazer o usuário baixar um malware. Como podemos observar na imagem, esta campanha está direcionada a usuários chilenos, como indica o sufixo do link “.cl”.

O falso e-mail contém um link que redireciona o usuário ao suposto portal da empresa para poder acessar uma mensagem multimídia. Acessando o referido link, é baixado um arquivo executável com o nome DownloadMMS.exe, que é detectado pelo ESET NOD32 Antivirus sob a assinatura de worm Win32/Dorkbot.B. A principal suspeita disto é que em nenhum momento o e-mail menciona que se deve baixar um software para acessar a mensagem recebida. Inclusive deixa claro que em 10 dias a suposta mensagem será apagada.

Uma vez baixado o arquivo, é possível observar que a ameaça possui um ícone que corresponde a um arquivo multimídia para enganar o usuário, fazendo com que tente abri-lo, quando, na verdade, se trata de um executável (extensão .exe). Caso seja executado, o sistema do usuário será infectado pelo Dorkbot, e o computador do usuário passará a ser um computador zumbi da conhecida botnet.

Está mais do que claro que o Dorkbot continua evoluindo em diferentes níveis. Pontualmente, a ameaça em si foi modificada com a finalidade de dificultar a detecção por parte do software antivírus. O mesmo ocorre com as campanhas que são utilizadas para propagar este malware, as quais se modificam constantemente e miram em diferentes tipos de usuários em diferentes países. Além disso, cada variante pode conter um anexo diferente, sendo neste caso o arquivo com ícone de multimídia.

É fundamental que o usuário esteja consciente de que essas campanhas são cada vez mais frequentes e existem diferentes meios de propagação, desde e-mails falsos até sites de phishing. É por isso que é recomendável que o usuário esteja consciente da existência desse tipo de e-mail e saiba como identifica-lo. Como recomendação adicional, nunca se deve acessar um link que não provenha de um site de confiança, assim como também se deve ter cuidado especial com os links encurtados, que são moeda corrente nas redes sociais.

Finalmente, recomendamos ao usuário contar com um software antivírus com capacidade de detecção proativa para estar protegido diante desse tipo de ameaça que evolui constantemente.

Fernando Catoira
Analista de Segurança

Categories: Botnet, Malware
No Comments »

Alerta aos usuários da plataforma Mac: O malware OSX/Imuler, descoberto no ano passado, que atua roubando informações do sistema operacional, volta a ter evidência. Desta vez, ao invés de ser instalado pelo OSX/Revir.A, a nova variante do OSX/Imuler se esconde em um arquivo ZIP, dentro de uma pasta de imagens eróticas, esperando que o usuário abra o aplicativo malicioso.

A nova variante é muito similar às anteriores em termos de comunicação de comando e controle (C&C) e funcionalidades (o OSX/Imuler rouba informações que podem coletar e transmitir arquivos, capturas de tela, e outros dados para um servidor remoto). O protocolo de rede ainda é baseado em HTTP e o volume de dados transmitidos (payload) é compactado utilizando o zlib. Está sendo utilizado um novo domínio para comando e controle, registrado em 13 de fevereiro deste ano, através de um escritório de registros web chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizadas nos Estados Unidos e que ainda estão ativas.

Isso tudo parece indicar que a nova variante foi criada para reforçar sua evasão aos antivírus.

O OSX/Imuler tem a funcionalidade de enviar arquivos locais do usuário ao servidor do malware. O responsável por essa ação é um arquivo executável chamado CurlUpload, que é baixado do servidor sempre que o malware entra em atividade. Esse arquivo executável, primeiramente detectado no início de 2011, apresenta linhas interessantes em seu código, que sugerem ter sido desenvolvido inicialmente para o Windows e depois recompilado para o OS X:

O ESET Cybersecurity para Mac (software antivirus da ESET específico para a plataforma da Apple) já identifica a nova variante sob o nome OSX/Imuler.C, desde a atualização 6970 do banco de dados de assinaturas de vírus.

Alexis Dorais -Joncas
Security Intelligence Team Lead (ESET USA)

Categories: Alertas, Botnet, Malware em imagens
No Comments »