martes, octubre 06, 2015

Jugando con la publicidad (ad-ware)

Hoy me han traído al talle un ordenador con Windows 7 que al trabajar con él salía mucha publicidad. El cliente me ha comentado que no había bajado nada raro ni sospechaba cual era el problema, pero que había intentado bajar el CCleaner y que desde entonces el PC ya no había funcionado bien. En vez de eliminar de primeras todas las amenazas posibles he decidido "juguetear" un poco con internet para ver el comportamiento de los navegadores:


Figura 1: vamos a jugar un poquito con fuego

Ya que el cliente sospechaba que había algo en la página de CCleaner, vamos a ir a la página oficial a ver que sale:
Figura 2: web oficial de CCleaner
Umm, aparentemente normal. Ni siquiera hay publicidad. Procedamos con la descarga del fichero:
Figura 3: pop-up al clickar sobre el enlace de Piriform
Se nos abre una bonita ventana nueva fuera de nuestro navegador. Podemos ver que es un pop-up que no tiene barra de búsqueda, ni botones de navegación, ni barra de menús, ... La información contenida en él puede resultar hasta interesante para un usuario normal, ya que recordemos que estábamos buscando solucionar algunos problemas de nuestro PC instalando CCleaner, por lo que para el ojo inexperto al que le han recomendado descargar un programa llamado CCleaner que limpia el ordenador, llegar hasta una ventana en la que nos ofrecen una aplicación que se llama "Windows 7 Reparación de PC" no resulta para nada extraño. (Lo curioso es que esté avalada por Norton y McAfee, ummm, sospechoso?)

Cerramos el pop-up y volvemos a la ventana anterior:

Figura 4: versión distinta de la web de CCleaner
Ahora, al segundo intento de clickar sobre el enlace de Piriform, nos redirecciona a esta nueva web, en la que la descarga comienza pero nos han puesto una banner lateral con ofertas. Si repito este paso desde otro pc en el que yo controle que no haya ad-ware, ninguno de estos comportamientos sucede, por lo que claramente se deduce que este navegador ha sido capturado por alguna extensión fraudulenta que modifica los resultados mostrados por pantalla para que la navegación parezca normal pero los sucesos sean distintos y totalmente manipulados al hacer click en los enlaces o en la propia información que se muestra por pantalla. Vemos que la publicidad está totalmente integrada con el resto de información de las webs visitadas.

Jugando un poquito con estos comportamientos, he probado a ver que otros pop-ups o información sale al seguir trabajando con esta web:
Figura 4: la web de McAfee también es enlazada desde los enlaces manipulados
Uisss, que curioso, en una de las pruebas se nos enlaza directamente a la store de McAfee. Casualidad?? Lo dudo. A mi parecer es un intento de vender un producto a partir de un problema "generado" intencionadamente.

Vamos a intentarlo una vez más, a ver si puedo descargar el CCleaner que es lo que quiero. Ahora sale una ventana con el logo del CCleaner y si que parece ser la descarga oficial. Pero?! la dirección  de la descarga es cc.dls-host.com y un subdominio impronunciable. No tiene pintas de ser muy oficial de Piriform que digamos.

Figura 5: intento de copia de la web oficial de Piriform

Cerré esa pestaña del navegador y probé una vez más. Vuelve a salir un programa no deseado. Que yo quiero CCleaner !!! Bueno, ya llegados hasta aquí, descarguemos la aplicación milagrosa tan buena que nos ofrecen con tanta insistencia y que repara en una hora Windows, lo limpia, lo acelera, lo parchea y hasta te crea una granja de pollos en Minecraft si le dejas:


Figura 6: página de descarga a la que llegamos en vez de la oficial de CCleaner
Los comentarios son curiosos. No hay ningún nombre español pero el idioma es perfectísimo. ¿Estará preparado y será esto un montaje? No, abajo podemos ver que los mensajes dejados por los usuarios son totalmente reales y que no han percibido dinero por hacerlos. 

Bien, ¿y si el usuario inexperto ha sido engañado todas estas veces y consigue llegar hasta la descarga del fichero no solicitado? ¿habría algún riesgo? Vamos a descargalo y lo analizamos en VirusTotal.com:
Figura 7: descarga de Reimage Repair
Para que no haya ninguna posibilidad de error, nos explican los pasos a seguir: descargar el fichero, ejecutar y si pide Windows confirmación para hacer cambios en el equipo, hay que decir que si. Ummm, no sea que no sepamos instalarnos este virus. Una vez descargado lo analizamos:
Figura 8: web de Virustotal desde un navegador "capturado"
Al entrar en la web de VirusTotal, vemos que el banner de publicidad de la derecha ha cambiado. Antes salía oferta de ropa y de deporte. Ahora que entramos a una web de análisis de virus, claro, nos sacan ofertas de antivirus, pero, ¿en dólares? (otra pista más para sospechar de estos comportamientos).
Figura 9: análisis del fichero en VirusTotal
Al hacer el análisis, solo 1 motor de 55 lo encuentra sospechoso. La descripción que nos ofrece es que es un Program.Unwanted.493. O sea, no es que sea muy malo, pero es un software intrusivo que "no buscamos", que no es deseado por el usuario y "nos lo meten a la fuerza" con todos los intentos de engaño que hemos visto anteriormente. 

Buscando un poquito por la web de VirusTotal, he visto que este fichero (ReimageRepair.exe) fue analizado por primera vez el 2015-06-10 a las 14:08:16 UTC. Hace ya 3 meses de esto, pero solo 1 de 55 motores de búsqueda de virus lo detectan como malicioso. Así tenemos la batalla perdida seguro.

Como siempre, para terminar, os paso unos enlaces a varios vídeos en los que se aborda el tema del malware:
Vídeo 1: Mundo Hacker: BYOD - Malware en iPhone y Android (publicado el 11 de agosto de 2015)


Vídeo 2: Conferencia impartida en RootedCON 2015 por Chema Alonso sobre el uso de Tacyt y Sinfonier para el descubrimiento de apps maliciosas en Android y Google Play (16 de junio de 2015)

Vídeo 3: UPM TASSI 2008 Conferencia 4: Evolución del Malware: Malware 2.0; Antiphising y Antitroyanos. Flujo Malware. Ponente: Sergio de los Santos, Hispasec. (4 de agosto de 2011)

Saludos!

sábado, octubre 03, 2015

¿Mi móvil me espía?

Hoy me han traído un smartphone a mi taller. El cliente me comentó que tenía sospechas de que podían estar controlando las llamadas, los mensajes, la ubicación, los whatsapps, ...
Figura 1: ¿me controlan con mi teléfono?
Me ha preguntado si eso se podía hacer, y le he dicho que legalmente no pero que técnicamente si, por lo que hemos decidido analizar el móvil para ver que encontramos, ya que podría tener instalado algún R.A.T. (mas información en estos enlaces):
Figura 2: Comprando un RAT para espiar a empleados, hijos, pareja, ...


Figura 3: Controlando nuestro móvil para "hacer el mal"

Para asegurarnos de la existencia de la posible troyanización, he descargado del PLAY STORE la app de VirusTotal para analizar todas las apps instaladas y los servicios que tenía el móvil. Este ha sido el resultado:
Figura 4: En el análisis ha salido solo una app sospechosa

  •  En el análisis ha salido solo una app sospechosa
Figura 5: un motor de búsqueda de virus de 56  ha detectado algo
  • El análisis que ha hecho la app de VirusTotal ha sido en 56 motores de búsqueda distintos y uno de ellos ha dado positivo

Figura 6: detalle de la posible infección encontrada
  • Aparentemente es una puerta trasera (backdoor) la que trae instalada este juego de tetris
Analizando un poco más la configuración del terminal, me ha llamado la atención que la cuenta asociada al mismo de GMAIL tenía este aspecto:

Figura 7: detalle del nombre de cuenta asociado al dispositivo
El nombre de la cuenta de GMAIL configurada en el móvil (que es la usada para hacer descargas en la PLAY STORE, poder hacer localización del mismo mediante la aplicación genérica de "Localización del dipositivo", poder bloquearlo remotamente, ...) tenía el nombre de 13 caracteres aparentemente aleatorios. Mi cliente no sabía de quien era esa cuenta, pues su dirección de correo de GMAIL es otra distinta. A partir de aquí hemos empezado a sospechar:

Figura 8: do you not find this highly suspicious?
El cliente me asegura que nadie ha tocado su teléfono a parte de él, que no ha descargado nada, ... Pero para asegurarnos he seguido el siguiente proceso:

  1. informar de lo encontrado al cliente y recomendación de que haga una visita a la Guardia Civil
  2. tras hablar con el responsable de delitos telémáticos, restauración del móvil a valores de fábrica
  3. instalación del firmware que el fabricante ofrece en su web oficial
  4. creación de nueva cuenta de GMAIL
  5. desactivación del GPS
  6. desactivación de la zona WIFI
  7. instalación de antivirus
  8. limpieza de datos de la SD
  9. charla de "recomendaciones" y concienciación al cliente

Esperemos que todo esté resuelto.

Saludos!

miércoles, septiembre 30, 2015

Análisis de un Phishing (v.2)

Hace unos días recibí un correo electrónico que entró a la bandeja de entrada como uno más. El asunto resultaba sospechoso, ya que estaba en ingles y decía que había recibido un nuevo fax:

  • New 2 page(s) eFax from (334) 306-5677

Vamos a analizar un poco más su contenido:
Figura 1: Analizamos un ejemplo real de phising
Enumerando las cosas extrañas que vi:

  • El idioma es inglés
  • ¿Se supone que alguien quiere mandarme un fax? ¿aún queda de eso?
  • Tiene un fichero adjunto
  • No conozco al remitente
  • El teléfono de origen del fax no es español -> (334) 306-5677


Figura 2: captura de pantalla de mi bandeja de entrada
Me resultó extraño también que los filtros de gmail lo pasasen como bueno y no lo metiesen en la bandeja de SPAM, por lo que decidí dejarlo unos días más para ver como trata GMAIL el asunto.

Al cabo de unos días el mensaje fue movido a la carpeta de basura y varias alertas se podían ver al acceder al mail:
Figura 3: captura de pantalla de la carpeta de SPAM
El documento adjunto tenía extensión de WORD, pero pudiera ser un EXE camuflado o un WORD con macros, dos técnicas muy extendidas para difundir troyanos. Lo sorprendente es que toda la información de la empresa que al parecer tiene el fax que he de descargar y que ha hecho de intermediaria entre el usuario ficticio que quiere mandarme un fax y yo, es totalmente real, con datos reales de contacto, teléfono, mail, ... O sea, la empresa eFax es legítima y su identidad ha sido suplantada para hacer creer a quien recibe el mail que realmente hay un fax para él, es decir, un PHISING en toda regla. La calidad de la copia no es que sea buena, si no que es la misma que la de la empresa legítima: buena calidad en la imágenes, mismas imágenes corporativas que la empresa eFax, logos idénticos, no hay faltas de ortografía ni link a páginas extrañas. Simplemente un word adjunto con un troyano. ASOMBROSO !!!

Recomendaciones para evitar ser troyanizados en este caso: 
  • no abrir correos de desconocidos 
  • no abrir correos de idiomas de los que nos se esperan recibir mail
  • nunca abrir los adjuntos directamente en internet, siempre descargarlo, analizarlo con el antivirus y luego si está limpio, abrir
  • tener nuestro sistema actualizado
  • tener un buen programa antivirus


Para terminar, un par de vídeos con unas demos de Chema haciendo un phising en directo:


Vídeo 1: Entrevista de Pablo Motos a Chema Alonso en El Hormiguero. En la entrevista se hace una demo de phishing para robar cuentas de Apple iCloud
El contenido de la demo está ampliada en esta dirección:

Figura 4: web elladodelmal con entrada de información
Y otro vídeo con un breve resumen sobre phising:

Vídeo 2: el phising en 2 minutos


Saludos!

martes, agosto 04, 2015

Seguridad informática en vacaciones

Ya estamos en agosto. El ordenador que usamos en el trabajo, oficina o en nuestra casa, ahora lo vamos a destinar más bien al ocio. Ya no vamos a hacer facturas ni a tratar con clientes y proveedores. Ahora vamos a mirar viajes, destinos, rutas, facebook, fotos, hobbyes, ... En las vacaciones de verano son una época del año en la que puede decirse que se baja la guardia. Ya haremos no se qué después de fiestas, cuando empiece el colegio, trabajo, …

Queremos lanzar unas alertas sobre unos hábitos recomendados que debemos tener por el bien de nuestros datos:
  • El turista es un ser vulnerable. Lejos de la seguridad de su casa, aquel que viaja es presa ideal para todo tipo de criminales, por el desconocimiento del entorno, lugares "seguros" e "inseguros", barrios con mejor o peor reputación, mochilas desprotegidas abandonadas en la playa o piscina mientras nos bañamos, ...
  • El portátil, smartphone y táblet de un viajero también son vulnerables, y esto los cibercriminales lo saben muy bien. Su malware, apostado en las esquinas de las redes informáticas más usadas por los turistas, aprovecha cualquier ocasión para infectar y robar datos. En mi casa tengo mi adsl pero de vacaciones uso las wifis abiertas de cafeterías, restaurantes, centros comerciales, hoteles, estaciones y aeropuertos, ... ¿quién las supervisa y administra? ¿de quién son?


Las situaciones más peligrosas al viajar pueden ser debidas a que donde es más probable que un turista se conecte, más posibilidades hay de que haya virus y ciberdelincuentes al acecho. El tipo de amenaza varía según el lugar en el que acontece la agresión informática.
  • Cibercafés: Los Internet Cafés son los sitios más habituales de contagio. La escasa supervisión de los equipos y la ausencia de medidas de seguridad básicas hace que muchos cibercafés sean auténticos nidos de virus. Conectar el pendrive en un cibercafé equivale a llenarlo al instante de malware que más tarde se propagará al portátil.
  • Bibliotecas: Las redes académicas y bibliotecarias son supuestamente más seguras, pero solo en teoría. La gran cantidad de equipos y la falta de control hace que las infecciones sean casi tan frecuentes como en los cibercafés, especialmente cuando los PC son de libre acceso. Muchas infecciones entran por memorias USB.
  • Redes WiFi públicas: Hay dos tipos de redes WiFi públicas: las legales y las falsas. Para las primeras los peligros son reducidos, pero las segundas, difíciles de distinguir de las legítimas, son trampas mortales. Si una WiFi no solicita primero una confirmación de acceso, desconecta a toda velocidad.

  • Hoteles: Los hoteles, con sus redes cerradas y aisladas, parecían estar a salvo, pero el FBI informó recientemente de casos en los que las redes inalámbricas de los hoteles habían sido usadas para sustraer datos confidenciales. Como cualquier otra red compartida, la de un hotel también puede ser un blanco idóneo para ciberataques.
  • Tiendas de informática: Llevar el portátil a reparar, en algunos países, expone el PC a multitud de peligros, especialmente cuando se instalan programas pirateados y "enriquecidos" con troyanos (queriendo o sin querer). A menos que tengas un motivo importante para tener el portátil funcionando lejos de casa, evita llevarlo a repararlo para no tener sorpresas de última hora. 
Otras situaciones especiales pueden ser:
  • Hay que tener en cuenta también que haremos pagos con tarjeta de crédito en lugares nuevos. Aseguraos que antes de salir del país, tenéis puesto el pin en la tarjeta o una seguridad en dos pasos.

  • Podemos ser vulnerables a robo del smartphone. Tenedlo configurado con bloqueo remoto, posibilidad de poder localizarlo por GPS bajo clave y con pin o patrón de bloqueo y sin SIRI, o nos los crackearán sin esfuerzo.

  • El niño o niña nos molesta en nuestras merecidas vacaciones y le damos el móvil o táblet para que nos deje echarnos la siesta. Luego el móvil está lleno de RATS que nos roban datos. Hay dos soluciones: echar la siesta a la vez que los peques o supervisar el uso que estos hacen del terminal.

Y NADA DE PONER EN FACEBOOK A DONDE NOS VAMOS, CON FECHAS Y TODO. LOS LADRONES LO TENDRÁN MUY FÁCIL !!!!!!!!!!!!!
Saludos!


*Imágenes propiedad de Kaspersky

lunes, agosto 03, 2015

La familia maligna crece

Poco a poco la consciencia social por la seguridad informática nos está llegando cada vez más. Estamos muy lejos todavía de poder decir que la seguridad informática es algo que preocupa a la gente o que preocupa a los usuarios, pero desde dentro del sector parece que si nos va interesando cada día más. 

Hoy, añadimos a nuestro listado de lugares interesantes el blog de INSEGURO Y NAVEGANDO, quienes han desarrollado un Feed para Android sobre Chema Alonso. Su blog lo tenéis en esta dirección:



y la entrada con la información sobre este Feed en esta otra:

Figura 1: captura de pantalla de INSEGURO Y NAVEGANDO

Os animamos a visitar el blog y a hacer uso del feed para estar informados.

Nos alegra que nuestra pequeña familia maligna vaya creciendo en torno a Chema. Mucha suerte y ánimo, ya que los trabajos no remunerados siempre son dignos de admiración.

Saludos!

lunes, junio 15, 2015

Trolls, spam y fakes en redes sociales. Ejemplo con elrubius

Hoy, aprovechando la fama que tiene ElRubius, el youtuber más famoso de España, me he dado cuenta de la cantidad de información falsa que circula por internet.
Figura 1: ¿Sabrías diferenciar lo fake de lo real?
Por ejemplo, en twitter, intentemos investigar sobre este famoso. Su cuenta real es esta @Rubiu5
Figura 2: cuenta real de @Rubiu5
Vemos que Rubén Doblas tiene una imagen de perfil y una imagen de cabecera de la cuenta. El propio twitter marca esa cuenta como verificada  :
  • ¿Qué es una cuenta verificada?
    • Todas las cuentas que tienen una insignia azul en el perfil de Twitter son cuentas verificadas.

  • ¿Por qué Twitter verifica las cuentas?
    • Actualmente, la verificación se usa para establecer la autenticidad de la identidad de individuos y marcas clave en Twitter.
  • Cómo identificar una cuenta oficial verificada:
    • La insignia de verificación aparecerá junto al nombre de un usuario en su página de perfil. También aparecerá junto a los nombres de usuario en las búsquedas de personas en Twitter.
    • Si la insignia de verificación aparece en cualquier otra parte de la página de perfil del usuario (por ejemplo, en el avatar o en la imagen de fondo), no es una cuenta verificada.
    • La insignia de verificación no puede usarse a menos que la otorgue Twitter. Las cuentas que utilicen dichas insignias como parte de las imágenes de perfil, imágenes de fondo o que impliquen de cualquier manera una verificación falsa se suspenderán de forma permanente.
    • La insignia de verificación tendrá siempre el mismo color, incluso si los usuarios personalizan los colores de tema de su página de perfil.
¿Y si intentamos mandarle un mensaje directo?. Vamos al apartado de mensajes y buscamos su cuenta. Vemos que sale una cuenta "parecida", con su misma imagen de perfil y con un nombre similar, en vez de ser @Rubiu5 es @Rubiv5, han cambiado la "u" por una "v":
Figura 3: cuenta similar a la de ElRubius al mandar un mensaje directo
Figura 4: mensaje directo a una cuenta fake intentando suplantar a ElRubius
Investigamos un poco esta cuenta al perecer fake, y esta es la cuenta de twitter:
Figura 5: cuenta fake de twitter
Este "amigo de lo ajeno", ha copiado la imagen de perfil, la imagen de cabecera, la descripción de la cuenta, y el nombre, ......,  porque no ha podido, que si no, ...,  al tener que ser única en el mundo cada una de ellas. Tiene un enlace a un canal de youtube, pero esto es lo que youtube ha visto en él:
Figura 6: cuenta cerrada en youtube por intento de fake
Como vemos, intenet está lleno de fakes y trolls que se aprovechan de la fama de otras personas o simplemente del ingenio de otros para tener su minutico de gloria. Otras veces, se puede suplantar una cuenta de un famoso para trollear infomación y hacer vídeos virales polémicos:
Figura 7: videos fakes o de trolls que llegan a ser virales
Hay quien ya llega más lejos y hace fakes con supuestas grabaciones de skype entre él y elrubius, con polémicas declaraciones.
Figura 8: vídeo troll en contra de elrubius

La verdad es que tiene más 88.000 unlikes, pero la otra parte, son 45.000 likes. ¿Estos likes serán reales de gente que se lo cree?, o ¿son haters que se suben al carro de la crítica fácil?. Sea una cosa u otra, este vídeo ya ha tenido mas de 2.000.000 de visitas que habrán reportado suculentos ingresos al propietario.

Si por un casual, esto te sucediera a ti, como usuario normal de youtube o de las redes sociales (RS), lo mejor es:
  • intentar hablar con el propietario del vídeo o de la cuenta fake para intentar que entre en razón y elimine ese contenido
  • nunca entrar en conflicto directo, no le des coba
  • guarda la información del caso: registro de llamadas, mensajes, capturas de pantalla, ...
  • si ves que se te va de la mano, denuncia en la guardia civil
Y otro mensaje:
Señores trolls y demás infrausers: pónganse en el lugar de los demás, no sabemos la situación personal que están pasando esas personas a las que trolleais o si los ponéis en situaciones desagradables o incluso la repercusión familiar o emocional a la que las exponéis. Si os gusta la informática, haced vídeos virales de caídas vuestras o powerpoints de gatitos, que eso siempre funciona.

Saludos!

domingo, junio 14, 2015

¿Te acuerdas del efecto 2000?

Haciendo un recuento del tipo de información que nos ofrecen en la TV sobre la seguridad informática actual y el nivel de sensacionalismo que trae, he intentado recordar como se vivió el famoso efecto 2000. 
Figura 1: ¿Te acuerdas del efecto 2000?
Por aquel entonces yo ya me dedicaba a la informática y lo viví muy de cerca. Recuerdo hacer pruebas en diciembre de 1999 y cambiar la fecha de mi windows 95 al día de nochevieja a las 23:59 horas. Dejabas corres el tiempo un minuto, cruzabas los dedos, y, ..., todo seguía igual. Pero si leías el periódico o veías la TV esto era lo que había:
Figura 2: portada de EL PAIS del 31 de diciembre de 1999: 35000 personas de enfrentan al efecto 2000 esta noche
Figura 3: artículo sobre el efecto 2000 publicado en prensa
Figura 4: publicación del 31 de diciembre de 1999 en The New York Times: "Con mucho en juego, IBM y Microsoft esperan al año 2000)
Figura 5: "Seguridad, los ordenadores preparados para la prueba real", el 31 de diciembre de 1999 en The Washington Post

Pero, ¿que fue el efecto 2000?: este posible error se pensaba que sería causado por la costumbre que habían adoptado los programadores de omitir la centuria en el año para el almacenamiento de fechas (generalmente para economizar memoria), asumiendo que el software solo funcionaría durante los años cuyos nombres comenzaran con 19. Lo anterior tendría como consecuencia que después del 31 de diciembre de 1999, sería el 1 de enero de 1900 en vez del 1 de enero de 2000.

Los potenciales efectos que este bug causaría en el caso práctico de los programas eran principalmente dos:

  • Los programas que cuentan el número de años a través de la sustracción de las fechas, obtendrían una cantidad de años negativa. Por ejemplo, si una persona nació en 1977, la edad de esta persona en 2000 sería: 00-77 = -77 años.
  • El problema del año 1900, común en programas que cuentan el año utilizando los dos últimos dígitos y muestran los dos primeros dígitos del año como 19. Al intentar mostrar el año después del 1999, el programa muestra 19 y luego el número que sigue al 99, es decir, mostraría: 19100.

Al acercarse el año 2000, surgieron muchos rumores de casos y catástrofes económicas en el mundo entero, un pavor generalizado a un eventual colapso de los sistemas basados en computadoras por causa de este problema. La corrección del problema costó miles de millones de dólares en el mundo entero, sin contar otros costes relacionados.

Existen otros problemas similares, relacionados con la representación de fechas:

  • En UNIX, la fecha es representada por un número entero de 32 bits con signo, que puede contar de -2³¹ a 2³¹-1, o sea, desde -2147483648 a 2147483648. Si lo usamos para contar segundos, unos 68 años y pico. Este número es la cantidad de segundos desde 1 de enero de 1970. Así, el año 2038 será el último año representable por este sistema. 
  • En sistemas más anticuados, como por ejemplo Windows en sus versiones 1.x, 2.x y 3.x, el problema radicaba en la omisión de dichos dígitos. En este caso, el problema era un poco más complejo, ya que al cumplirse el primer segundo del año 2000, sería el 1/4/1980 (es decir, el año en que se creó el MS-DOS, sistema operativo de estos entornos).
  • Por su parte, Apple, Inc., en 1998, había afirmado por medio de sus portavoces que sus unidades existentes, desde la clásica Apple I hasta la vigente por aquel entonces, iMac, no representaban ningún peligro, ya que sus sistemas operativos (Mac OS 9 ) representaban como último año el 2029, aunque existía la posibilidad de configurarlo.
¿Y en Android? android está basado en sistemas UNIX, por lo que sufrirá el siguiente efecto, el efecto 2038 conocido también como y2k38.
Figura 5: Android sufrirá el efecto 2k38
Si tienes un smartphone o táblet con android, puedes hacer la prueba de cambiar la fecha y avanzar en el tiempo, pero verás que no pasa del año 2036. Es a modo de seguridad, para no pillarse los dedos con bugs si se tiene la fecha mal. Ójala los móviles duraran tanto como para preocuparnos de lo que pasará con ellos en el año 2038.

Bueno, retomando el tema del efecto 2000 y la repercusión que tuvo en los medios, os pongo unos ejemplos de la prensa del 2 de enero de 2000 en España (el día 1 de enero no hay periódicos en nuestro país), y otros del día 1 de enero de 2000 de otros países:
Figura 7: el 2 de enero de 2000 en EL PAÍS: "la nochevieja sin desastres informáticos"

Figura 8: "2000 y todo está bien" (publicado el 1 de enero de 2000 en Kenosha, Wisconsin, USA)
Figura 9: "2000 y contando" del 1 de enero de 2000 en el USA TODAY
Figura 10: "1/1/00", publicado el 1 de enero de 2000 en The New York Times, resumiendo con esos números que todo siguió contando bien
Resumiendo: fue más mediático el problema que real, ya que no se detuvo casi nada, excepto algún parkímetro que calculó mal la tarifa, alguna gasolinera y alguna central nuclear (según pone en wikipedia) 8-O

Saludos!

jueves, junio 04, 2015

Virus de la policía en Android, análisis de un caso real

Hoy nos han traído a nuestro taller un táblet infectado con el virus de la policía. En lugar de eliminarlo he decidido cochinear un poco con él, para aprender un poquillo más sobre este tipo de amenazas.
Figura 1: virus de la policía en Android
El sistema infectado era un Android 4.1.1 Jelly Bean. Nada más encender el táblet la famosa ventana ocupaba toda la pantalla y no dejaba actuar en ninguna opción de ajustes, ni configuraciones, solo dejaba hacer scroll arriba y abajo para poder ver toda la información que nos daba el propio virus.
Figura 2: pantalla de información que ofrece el virus
En la zona inferior, he visto los iconos de notificación de unas descargas efectuadas. Al sacar la ventana emergente de dichas notificaciones he visto esto:
Figura 3: descargas efectuadas los últimos días en el táblet
La lista de últimas descargas muestran unos ficheros de tipo .apk, o sea, aplicaciones de android, las famosas apps. Sin llegar a borrarlas, he guardado una copia en la SD y he desactivado la carga de aplicaciones al inicio de android. Tras reiniciar, ya me dejaba trabajar y he abierto el navegador de internet. Lás últimas páginas visitadas estaban cacheadas y se han cargado automáticamente nada más hacerlo. Estas eran las páginas en las que se había navegado:
Figura 4: pestañas con varias páginas, posibles orígenes de la infección
Tras permanecer en esas páginas unos instantes, un pop-up hacía su aparición ofreciendo sus servicios. Que majo. ¿Aceptas ver vídeos en HD con una resolución inmejorable? ¿Aceptar o Cancelar? (lo que oculto tras la máscara roja es contenido pornográfico explíxito)
Figura 5: Pop-up para lanzar la descarga de la aplicación maliciosa
Al darle a ACEPTAR, se lanzaba la descarga de la aplicación .APK:
Figura 6: APK ya descargada
Al seleccionarla, se lanzaba la instalación de la propia app y ya el sistema quedaba infectado. En los ajustes del sistema no estaba marcada la opción de instalar apps de tercero ni la de depuración de desarrollador, pero como la versión es 4.1.1 tal vez sea alguna vulnerabilidad.

Me guardé una copia de la APK en la SD y la analicé en virustotal.com. Este fue el resultado:

Figura 7: resultado del análisis en virustotal.com
(no está muy alineadas las columnas por que lo he montado de 3 capturas de pantalla distintas para poder mostrar toda la extensión del análisis)

Resumiendo:
  • Fallos que se han podido cometer:
    • Trabajar con un android tan desactualizado (4.1.1), pero, ¿si el fabricante no saca ningún nuevo update?
    • Visitar webs porno, pero, ¿y si esa misma app está en cualquier otra web de contenido distinto y le damos a instalar, como por ejemplo una web infantil y el mensaje fuese el mismo, quieres ver este vídeo de dibujos animados en HD?
    • No tener instalado ningún antivirus en el tablet. Este apartado no tiene ningún pero.
  • Otras recomendaciones:
    • Tener copia de seguridad de los datos por si hay que hacer un hard reset
    • Revisar los controles de seguridad de instalaciones de apps
Saludos!