Caso você utilize um smartphone Android, você deve ter ouvido falar da vulnerabilidade USSD. Isso permite que malwares redefinam o status de seu Android às configurações de fábrica e deletem permanentemente seus dados. Iremos descrever o problema USSD em mais detalhes, mas primeiramente devemos informar que a ESET acaba de disponibilizar um aplicativo gratuito no Google Play para proteger seu smartphone ou dispositivo Android deste tipo de ataque.
O app é chamado ESET USSD Control. De acordo com Tibor Novosad, Líder da Seção de Aplicações Móveis da ESET, “o ESET USSD Control permite que o usuário verifique códigos USSD potencialmente nocivos antes que sejam discados (executados) pelo discados padrão do telefone. O ESET USSD Control também bloqueia os sites maliciosos (que fazem uso abusivo de códigos USSD). Ao checar por códigos maliciosos antes que sejam executados, o ESET USSD Control garante que todos os dados do telefone estejam a salvo”.
Como funciona o ESET USSD Control?
O aplicativo mostra uma janela de advertência cada vez que um código malicioso USSD é encontrado, bloqueando a execução do comando, como visto na screenshot ao lado.
Para proteger o seu smartphone Android de ataques USSD, você deve garantir que o ESET USSD Control esteja configurado como seu discador padrão. Saiba como:
- Baixe o ESET USSD Control do Google Play e instale em seu celular Android.
- Use o seu celular Android para visitar nossa página de teste: http://www.eset.com/tools/ussdtest (observe que este é somente um teste e não irá realizar alterações no seu smartphone).
- Quando solicitado a completar a ação, selecione “Usar ação como padrão” e selecione ESET USSD Control.
Perceba que a ESET somente rastreia códigos USSD e não armazena números de telefone.
Esperamos que este aplicativo mantenha seu dispositivo Android a salvo. Estamos satisfeitos em disponibilizar gratuitamente esta ferramenta para a comunidade Android, como parte de nossos contínuos esforços para dar suporte ao sistema e manter os usuários seguros em seus dispositivos.
A vulnerabilidade USSD no Android
Para explicar da melhor forma o que são os códigos USSD e como funciona a vulnerabilidade, produzimos o infográfico abaixo:
Equipe ESET Brasil
Conversores gratuitos de Youtube para mp3 – com malware como bônus
julho, 25, 2012 5:30 pmConversores gratuitos de Youtube para mp3 – com malware como bônus
Quer tocar faixas de áudio do Youtube no seu iPod mas não deseja pagar pelo aplicativo? Você não está sozinho. Recentemente, surgiram alguns sites prometendo converter áudio de vídeos para arquivos mp3 que você pode baixar sem custo. Parece ótimo, não? O golpe: scammers estão tentando capturar o alto tráfego de usuários e direcioná-lo a sites de scam, onde você pode acabar sendo vítima de malware e outras coisas desagradáveis como bônus.
Então, o que acontece se você cair em um golpe deste tipo? Abaixo, demonstramos um caso que acompanhamos, com capturas de tela de todo o processo.
Neste exemplo, eu cliquei em um resultado de busca bem posicionado no Google, que direcionava a um vídeo no próprio Youtube dando supostas instruções para converter os vídeos do site para mp3s. Ao clicar, ele demonstrou uma captura de tela dentro do próprio player de vídeo, me instruindo a acessar um site diretamente. A descrição do vídeo veio completamente cheia de palavras-chave para impulsionar o posicionamento. Aqui está uma captura de tela do que me foi apresentado:
Quando digitei no browser a URL recomendada pelo “vídeo”, fui levado a um site altamente carregado de javascript (que meu browser bloqueou através de um plugin), conteúdo de terceiros e anúncios me dizendo para pegar meu “cartão presente de US$ 500” – o que também liberaria o download do conversor de vídeo para mp3. Como eu adoraria ganhar um cartão presente de US$ 500, cliquei no link.
E então uma tela mostra o suposto arquivo com download bloqueado, que eu teria que desbloquear.
Eu escolhi a oferta de cartão presente da Best Buy. Quando cliquei no link, fui direcionado a uma página que me mostrava que poderia ganhar um cartão de US$ 1.000 – melhor ainda!
Eu também notei que a página queria usar bastante javascript e conteúdo de terceiros, gerando uma notificação de segurança do ESET Smart Security, informando que o site foi bloqueado por tentar enviar cookies de rastreamento. Também notei que o site usava significativo tráfego de Internet ao tentar baixar todos seus componentes. Após ter respondido a última pergunta, eu fui sido solicitado a inserir meu e-mail para receber o cartão presente. Quando inseri um e-mail falso, eu fui levado a uma tela onde teria que inserir ainda mais informações pessoais, incluindo meu endereço físico, idade, sexo, e número de telefone. Eu também teria de concordar em ser contatado por empresas terceiras sobre assinaturas de revistas, etc.
Clicando em “Continue”, passamos para a seguinte tela:
Nesse ponto, eu notei que a senha original que seria liberada para que eu pudesse destravar o arquivo mp3 convertido do vídeo não foi mais mencionada. Parecia que a trilha que eu vinha seguindo não estava perto de terminar, e então eu fechei todos os sites e escrevi esse artigo, contando com que esse relato impeça outras pessoas de caírem em golpes semelhantes.
Mas qual é o prêmio dos scammers? Eles costumam adaptar continuamente suas plataformas de golpes para fazer novas vítimas, e esse caso não é exceção. Ao ganhar altos posicionamentos nas buscas através de técnicas de BlackHat SEO (BHSEO), sempre que um usuário clica nos links, seu posicionamento no ranking de popularidade, e o lucro associado, sobe. Mesmo que o usuário não caia na história do “conversor para mp3 gratuito” (recheado de malware), o site de scam ainda consegue gerar lucro simplesmente pelo tráfego.
E muitos usuários acreditam ter feito download de um player baseado em java, levando malware como bônus.
Recapitulando, esse scam (até o momento) tentou enviar conteúdo bloqueado pelo ESET Smart Security, executar ocultamente javascript em diversas páginas, coletar meu endereço de e-mail e dados pessoais, e me fazer confirmar que tenho mais de 18 anos, consentindo com todo o processo. Isso não soa muito como “gratuito”, e parece o começo de uma longa cadeia de atividade má intencionada. No final das contas, optei por adquirir uma música de uma loja virtual de mp3 confiável, deixando de lado a coleta de informações pessoais “gratuita”.
Cameron Camp
Security Researcher – ESET USA
Dias após o DNSChanger
julho, 12, 2012 4:57 pmTempos atrás surgiu uma ameaça conhecida sob a nomenclatura DNSChanger, que é detectada pelo ESET NOD32 Antivirus como Win32/DNSChanger. Este malware tem como finalidade redirecionar os usuários infectados a sites maliciosos. Os redirecionamentos são feitos com a modificação dos endereços IP dos DNS do sistema infectado. No último dia 9 de julho, o FBI tirou de funcionamento os servidores DNS maliciosos, sobre os quais a própria instituição havia tomado controle. Desta forma, todos os usuários que continuem infectados com o DNSCHanger estão sem acesso à Internet por não terem como converter os nomes em endereços IP.
Além da ESET e do FBI terem oferecido ferramentas para ajudar a informar os usuários que estiveram infectados, sendo que o Google também ofereceu ajuda nesse sentido. O buscador analisava os servidores dos endereços que faziam buscas no site, e no caso de identificar um servidor malicioso, alertava o usuário, indicando que seu sistema poderia estar infectado.
A equipe da ESET América Latina recompilou dados baseados nas detecções reportadas do DNSChanger. Desta forma, é possível considerar quais foram os países mais afetados da região latino-americana. O México conta com 42,4% das detecções. Na posição seguinte, com taxas de detecção similares, estão a Argentina com 10,9%; Peru com 10,7% e o Brasil com 10,1% do total de infecções na América Latina. A seguir, você pode observar um gráfico que reflete a situação na região:
Outro dado que vale a pena destacar é que essa porcentagem está baseada em detecções, e por isso o número de usuários que realmente ficaram sem acesso à Internet pode ser inferior, devido à possibilidade de muitos sistemas já terem sido limpos.É importante destacar que o México, juntamente com a Argentina, Peru e Brasil reflitam aproximadamente 80% do total das infecções na América Latina. Contudo, existem outros países dentro da região que, em menor medida, também foram afetados pelo DNSChanger.
Para os usuários que tenham ficado sem acesso à Internet devido a este malware, é recomendável que baixem o ESET NOD32 Antivirus em um computador que tenha acesso à Internet e utilizem algum dispositivo de armazenamento removível (USB, cartão SD, discos externos, dentre outros) para instalá-lo no computador infectado. Nesse momento será necessário executar uma análise para limpar o sistema infectado. É importante destacar que é importante, além disso, contar com um software antivírus com capacidade de detecção proativa para se proteger contra ameaças que circulam na rede, incluindo o DNSChanger.
Fernando Catoira
Analista de Segurança
Trojans que utilizam proxies permanecem ativos
abril, 19, 2012 9:00 amEsta semana recebemos no Laboratório da ESET América Latina uma amostra de um trojan detectado pelo ESET NOD32 Antivirus como BAT/Agent.NLF Trojan. A ameaça se propaga através de um e-mail contendo um suposto vídeo do namorado de uma das integrantes do programa Big Brother Brasil 2012, tentando persuadir os usuários a baixarem um arquivo. Após realizarmos uma análise mais profunda, pudemos observar que o comportamento mudou a respeito das ações efetuadas no golpe:
Como primeiro passo, imediatamente depois de executar a ameaça, é aberta uma janela do navegador, acessando um popular site de vídeos online. Contudo, isso não é mais que uma distração, já que o malware está executando operações em segundo plano, sem que o usuário veja.
Analisando as mudanças que são feitas no sistema, é possível ver que várias entradas de registro foram alteradas, porém o que mais chama a atenção é a mudança nas entradas de registro correspondentes aos diferentes navegadores instalados no sistema operacional. A alteração dessas entradas tem como finalidade, cada vez que o navegador é iniciado, seja baixado um arquivo com extensão TXT a partir de um site remoto, que contém código oculto para evitar ser detectado, e que permite comparar os endereços URL que o usuário acessa com uma lista armazenada no referente código.
Desta maneira, se o usuário acessa uma URL que se encontra listada no arquivo de texto, é redirecionado a um site de phishing relacionado à URL acessada. Dessa maneira, o trojan não realiza pharming local como fazem muitos outros, mas utiliza um site remoto como proxy para redirecionar o usuário a determinados sites de phishing de acordo com os sites que o usuário acessa dentro da lista contida no arquivo de texto baixado:
Essas operações tem como finalidade o roubo de credenciais de múltiplos serviços através do mesmo malware. Isto inclui serviços de e-mail muito populares, como também o roubo de credenciais de home banking de diferentes entidades bancárias de renome, dentre outros.
Na imagem anterior, podemos ver a inserção de credenciais de acesso a um serviço popular de e-mail (na verdade um site de phishing). Os dados serão roubados e armazenados no servidor malicioso como mostra a imagem a seguir:
Outro ponto que vale a pena destacar é que através desta técnica os cibercriminosos por trás desse código malicioso podem modificar o arquivo de texto baixado e atualizá-lo com novos sites e campanhas para expandir o roubo de credenciais a outros serviços, sem que o usuário seja infectado com algum outro tipo de malware.
Finalmente, aconselhamos ao usuário que conte com uma solução antivírus com capacidade de detecção proativa para poder se proteger contra este tipo de ameaça, assim como também bloquear as URLS pertencentes a servidores maliciosos.
Fernando Catoira
Analista de Segurança
