Recentemente, BlackBerry informou sore uma vulnerabilidade que poderia permitir a execução de códigos maliciosos no BlackBerry Enterprise Server (BES) de forma remota por parte de um hacker.

O que é BlackBerry Enterprise Server?

BES é uma ferramenta que permite a sincronização de diferentes dispositivos de modo sem fios com outros serviços. Alguns deles são Microsoft Exchange, IBM Lotus Domino, entre outras alternativas. Desta forma, este tipo de serviços são amplamente utilizados no meio corporativo devido a utilidade que oferecem.

Especificamente a vulnerabilidade reside sobre o BlackBerry MDS Connection Service e BlackBerry Messaging Agent. O problema encontra-se na forma com que se realiza o manejo de imagens TIFF nos sites, mensagens instantâneas e também e-mails. A continuação, junta-se a tradução livre do português sobre parte da mensagem que divulgou a BlackBerry:

“Estas vulnerabilidades podem permitir a um hacker executar um código arbitrário utilizando os prvilégios com o que funciona a conta do servidor Enterprise da BlackBerry.”

Mediante esta vulnerabilidade os atacantes poderiam alojar malware sobre um servidor Enterprise de BlackBerry e abrir uma porta de acesso para ingressar de forma remota. Este poderia ter maior repercursão dependendo da topologia e características da rede onde, no pior cenário, o ciberdeliquente poderia ter acesso a outras sessões da rede. Outro potencial perigo é que um ataque deste tipo culmine com a queda do mesmo.

Anteriormente haviam outros tipos de vulnerabilidade no BlackBerry. Entretanto, é importante esclarecer que estas falhas não residem no próprio dispositivo, somente estão presentes e são exploradas no BlackBerry Enterprise Server.

É importante que as empresas tomem consciência sobre este tipo de vulnerabilidade já que podem ser espaço para códigos maliciosos que permitiriam roubar informação sigilosa ou inclusive ter conhecimento sobre as atividades que se realizam.

BlackBerry tem informado que não recebeu nenhum tipo de relatório sobre ataques realizados por parte de clientes que utilizam o já mencionado serviço. Contudo, é importante que aquelas empresas que estão utilizando o BES atualizem seu software assim que possível. Por outro lado, oferta-se outro tipo de solução para aquelas empresas que não podem realizar uma atualização de forma imediata.

Este tipo de caso  acompanha o que havia sido afirmado em nosso informe de Tendências 2013 sobre o vertiginoso crescimento de malware em dispositivos móveis. Além disso, recomendamos a leitura de nosso Guia de dispositivos móveis para aqueles que desejam abordar ainda mais a temática. Finalmente, para aquelas organizações que estejam implementando BYOD (Bring your own device), sugerimos a leitura de nosso artigo de segurança em BYOD assim como também os primeiros passos para adotá-lo no âmbito corporativo.

Fernando Catoira

Analista de Segurança

Categories: Malware, Vulnerabilidades
No Comments »

O ato de navegar na Internet sem as devidas precauções é um risco iminente para contagiar-se com algum tipo de código malicioso e o Facebook não é uma exceção. Por esta razão é importante que os usuários tenham em conta algumas recomendações no momento de instalar aplicações em seu perfil.

Contar com uma solução de segurança é a melhor opção para proteger-se de infecção com malware, visto que embora tome-se muitas precauções enquanto se navega na Internet a tendência na propagação dos ataques cibernéticos mostra técnicas como o “drive-by-download”, onde baixa-se códigos maliciosos sem que o usuário o autorize ou toma-se conhecimento do que está sendo feito.

Facebook, a principal rede social na América Latina, não é estranho a um conteúdo malicioso. Os ciberdeliquentes aproveitam a plataforma que é oferecida pela rede social para criar aplicações que buscam, na maioria dos casos, informação sensível dos usuários e de outros redirecionando-o à websites com conteúdo malicioso para infectar seu equipamento.

Quando um usuário conecta-se a um jogo, uma aplicação ou um website integrado ao Facebook proporciona os dados básicos do usuário, que incluem o identificador do usuário, a informação pública e os identificadores da lista de amigos. Além disso, é importante ter em conta que quando utiliza-se pela primeira vez uma aplicação no Facebook, automaticamente a rede social proporciona a aplicação no idioma, país e na faixa de idade do usuário. Esta informação serve para que a aplicação possa personalizar o conteúdo oferecido ao usuário e aplicar o conceito de rede social. A continuação, pode observar-se a referida característica:

Sabendo que tipo de informação pode ser compartilhada pelas aplicações no Facebook, é muito importante conhecer as opções que a rede social oferece a seus usuários para que as administrem. Desde a opções Aplicações podem-se ver as permissões concedidas as aplicações, a última vez que a aplicação acessou a informação pessoal e a atividade publicada no nome do usuário. Desde esta opção pode-se eliminar as aplicações que não são utilizadas ou desativar alguma para que desta forma não se proporcione a identificação do usuário.

Quando uma aplicação vai ser instalada no perfil de um usuário e esta solicita algum tipo de comportamento específico, Facebook, o exibe par ao usuário um quadro de diálogo onde aponta-se as permissões solicitadas. Na seguinte imagem observa-se o exemplo de uma permissão solicitada por uma aplicação potencialmente perigosa, que uma vez instalada no perfil do usuário passa a exibir banners que o redirecionam a sites maliciosos:

Além de ter a possibilidade de administrar as aplicações, Facebook oferece em sua Configuração de segurança a opção de atribuir um código de segurança para quando se acessa a conta do Facebook desde dispositivos não habituais, o qual pode ser apropriado para previnir a fuga de informação no caso de que alguém obtenha acesso ilegal ao perfil. Também conta com uma opção de atribuir um código de segurança diferente da senha de acesso a rede social para aquelas aplicações que acessem ao perfil.

A opção de receber notificações por e-mail de quando iniciou-se uma sessão da conta desde dispositivos desconhecidos, pode ser muito útil que um usuário detecte se alguém tem acessado seu perfil sem permissão. É importante destacar que o email que o usuário recebe  não lhe pede sua chave de acesso ou outra informação sensível que permitiria o uso inadequado do perfil de usuário:

Para este tipo de situação, é recomendável ter instalada uma ferramenta de segurança como o ESET Smart Security 6, já que conta com um módulo conhecido como ESET Social Media Scanner, que é uma ferramenta destinada para detectar links e conteúdos que poderiam representar algum risco para a segurança.

H. Camilo Gutiérrez Amaya

Especialista de Awareness & Research

Categories: Alertas, Engenharia Social, Fuga de informação, Vulnerabilidades
No Comments »

Os infames pacotes de exploração Blackhole e Nuclear Pack agora tem um novo exploit que explora a vulnerabilidade Java CVE-2013-0422. A última versão do Java 7 Update 10 é afetada.

O malware que se propaga através de downloads costuma utilizar pacotes de exploração, que são capazes de servir variantes de malware sem a interação do usuário, ao contrário de outras técnicas que se baseiam na engenharia social.

Os usuários de produtos de segurança ESET estão protegidos desta ameaça (detectamos sob o nome Java/Exploit.CVE-2013-0422), mas não custa repassar o conselho dado por Brian Krebs, para desativar o Java caso sua utilização não seja necessária, para minimizar os vetores de ataque em potencial utilizados pelo malware.

Robert Lipovsky
Pesquisador de Malware – ESET USA

Categories: Alertas, Malware
No Comments »

Ao longo deste ano, temos compartilhado com você uma grande quantidade de análises e situações em  que um código malicioso para dispositivos móveis afetou aos usuários de Android, não somente a nível mundial como também na América Latina. Por outro lado, temos comentado sobre os resultados das investigações que realizamos no Laboratório da ESET Latinoamérica, não tínhamos compartilhado com vocês sobre as metodologias de análises, as técnicas ou ferramentas que podem-se utilizar para este assunto.

Na primeira instancia, uma vez que definimos os objeticos das análises deveríamos falar sobre as ferramentas que podemos utilizar, onde encontrá-las e como preparar um correto ambiente para a análise de malware em Android. Para simplificar um pouco esta tarefa, vamos nos centrar em uma distribuição de Linux:  Santoku. Esta distribuição vem especialmente armada para poder analisar códigos maliciosos, buscar vulnerabilidades ou outra grande quantidade de tarefas em relação as plataformas móveis portanto conta com muitas ferramentas úteis e efetivas para analisar malware, atualmente a versão disponível é a 0.3 Alpha.

Ferramentas como apktool, dex2jar, Droidbox, Androguard, são de grande utilidade no momento de analisar um malware para Android. Cada uma delas tem distintas funcionalidades e somodas a um pouco de trabalho o resultado é ótimo.  Uma aplicação de Android é na realidade um arquivo com extensão “.apk” o qual da mesma forma, se alguém tentar abrir um arquivo compactado que se parece com a seguinte estrutura:

O diretório META-INF encontram-se os certificados da aplicação e outra  informação sobre sua estrutura. A pasta res contém os recursos da aplicação como por exemplo os ícones, imagens e outros dados mas que não se encontram compilados. Logo temos 3 arquivos no diretório raiz, o arquivo resources.arsc contém todos os recursos compilados para a aplicação, classes.dex que contém o código da aplicação compilado em um formato que interpreta a máquina virtual de Dalvik e o arquivo AndroidManifest.xml é onde se encontra informação sobre a aplicação como por exemplo, permissões, serviços, recebimentos e a versão de Android com a qual é mais compatível.

Sem extrairmos o AndroidManifest.xml e tentarmos ler seu conteúdo é possível observar que não se encontra legível, o mesmo ocorre com o arquivo classes.dex, para evitar um trabalho complicado de compreender estes formatos, veremos de que maneira levá-los a uma linguagem mais legível e fácil de entender. Acompanharemos a aprendizagem das análises de malware para Android com um caso real, pelo tanto vamos a analisar o arquivo como MD5: b1ae0d9a2792193bff8c129c80180ab0.

Vamos utilizar apktool para decodificar o arquivo e poder ler seu conteúdo e desta maneira analisar as permissões que solicita a aplicação para sua instalação e execução. É muito importante ler com atenção a informação fornecida pelo AndroidManifest.xml já que se podem identificar características importantes da aplicação ou sessões de seu código das quais vamos prestar atenção a medida que avançamos com as análises:

Ao ler o conteúdo do arquivo, pode-se identificar sua estrutura e suas sessões. Dentro da informação que provê este arquivo pode-se identificar a versão  da aplicação (android: versionCode e android:VersionName) em que versão de Android funciona  (android:minSDKVersion) como assim também as permissões que requer para sua execução. No caso de ameaça analisada, pode-se observar que solicita uma grande quantidade de permissões, os quais devemos analisar em detalhe e com o tempo aprender a identificar quais são mais perigosas que outras.

Uma vez que identifiquemos as principais seções da aplicação e os pontos mais importantes chega o momento de analisar o código e ver em detalhe quais são as ações tomadas em caso de que sucedam os eventos que nos importam. Neste momento, é importante entender que é o que devemos buscar e como encontrá-lo. Por exemplo, se se tenta analisar que código que se executa quando chega um mensagem de texto, tem que se buscar dentro da pasta  smali o arquivo SecurityReceiver.smali, ao abri-lo podemos ver o bytecode da aplicação e analisar seu funcionamento:

Recapitulemos, ao iniciar as análises de um código malicioso para Android uma das primeiras coisas que se deve fazer é entender sua estrutura, buscar as permissões e para logo investigar em detalhe o que se faz na aplicação e tentar acessar seu código. Até agora vimos como descompilar o malware com apktool e acessar os recursos como no AndroidManifest.xml e encontrar o bytecode da aplicação e os métodos e classes que queremos analisar, ainda que fique muito por fazer. Na próxima parte veremos a estrutura dos componentes mais importantes de uma aplicação e como obter o código de uma maneira mais legível, para continuar com as análises, se querem conhecer mais informações sobre o código malicioso que estamos analisando, podem acessar ao Trojan em Android: Violando sistemas dedupla autenticação  e Android Botnets: o roubo de mensagens de texto.

Mantenham-se atentos porque continuaremos as análises de malware em Android nas próximas semanas!

Pablo Ramos

Security Researcher

Categories: Análise de malware
No Comments »

Durante o fim de semana, surgiu uma nova vulnerabilidade para o sistema operacional Android que permite o acesso a toda memória física e que afeta pontualmente os dispositivos da reconhecida marca coreana. Já durante 2012 foram identificadas brechas de segurança nos dispositivos que utilizam Android, algumas utilizadas para SMiShing ou a vulnerabilidade para a qual ESET desenvolveu uma ferramenta gratuita associada aos comandos USSD.

No caso da vulnerabilidade citada foi apontada pelo blog da comunidade de programados XDA Developers, além de permitir o acesso  à leitura de  memória, também pode-se outorgar privilégios do administrador sobre seu dispositivo. Esta vulnerabilidade afeta os dispositivos móveis que utilizam processadores Exynos (4210 e 4412) que podem ser encontrados em smartphones como o Galaxy Note e o Galaxy SII e Galaxy SIII, estes dois últimos dispositivos possuem grande presença no mercado mundial.

Apesar de ainda não ser detectado código malicioso para explorar a vulnerabilidade, na mesma comunidade onde a vulnerabilidade foi introduzida havia um arquivo APK que usa o exploit original para obter privilégios da raiz e instalar aplicações em qualquer dispositivo que usa o processador Exynos .

Este tipo de vulnerabilidade deixa aberta a possibilidade para que cibercriminosos possam utilizar e desenvolver códigos maliciosos que permitem tomar o controle de dispositivos que possuam Android. Como se antecipou o Laboratório de Investigação da ESET Latinoamérica, em nosso informe de Tendências em matéria de códigos maliciosos o crescimento que tem ocorrido do sistema operacional móvel Android, tem sido acompanhado igualmente de um aumento de malware desenvolvido para este tipo de dispositivo, e ao ser este sistema operacional de maior crescimento, o mesmo se reflete no interesse dos ciberdeliquentes para buscar as falhas e poder ober algum tipo de retorno econômico.

Lembramos a nossos usuários que nossa solução de segurança para dispositivos Android, ESET Mobile Security, detecta esta ameaça sob a assinatura Android/Exploit. Lotoor. Além disso, para conhecer boas práticas para gerenciar de forma segura a informação que se usa nos dispositivos móveis, podem acessar de forma gratuita a nosso Guia para usuários de dispositivos móveis em que se analisam as principais ameaças que afetam os dispositivos móveis e as medidas que um usuário pode adotar para diminuir o impacto deste tipo de ataques e perigos para que se possa fazer um uso seguro e consciente e consciente destes dispositivos móveis.

H. Camilo Gutiérrez Amaya

Especialista de Awareness & Research

Categories: Alertas, Malware, Vulnerabilidades
No Comments »