Mostrando entradas con la etiqueta gmail. Mostrar todas las entradas
Mostrando entradas con la etiqueta gmail. Mostrar todas las entradas

sábado, 3 de octubre de 2015

¿Mi móvil me espía?

Hoy me han traído un smartphone a mi taller. El cliente me comentó que tenía sospechas de que podían estar controlando las llamadas, los mensajes, la ubicación, los whatsapps, ...
Figura 1: ¿me controlan con mi teléfono?
Me ha preguntado si eso se podía hacer, y le he dicho que legalmente no pero que técnicamente si, por lo que hemos decidido analizar el móvil para ver que encontramos, ya que podría tener instalado algún R.A.T. (mas información en estos enlaces):
Figura 2: Comprando un RAT para espiar a empleados, hijos, pareja, ...


Figura 3: Controlando nuestro móvil para "hacer el mal"

Para asegurarnos de la existencia de la posible troyanización, he descargado del PLAY STORE la app de VirusTotal para analizar todas las apps instaladas y los servicios que tenía el móvil. Este ha sido el resultado:
Figura 4: En el análisis ha salido solo una app sospechosa

  •  En el análisis ha salido solo una app sospechosa
Figura 5: un motor de búsqueda de virus de 56  ha detectado algo
  • El análisis que ha hecho la app de VirusTotal ha sido en 56 motores de búsqueda distintos y uno de ellos ha dado positivo

Figura 6: detalle de la posible infección encontrada
  • Aparentemente es una puerta trasera (backdoor) la que trae instalada este juego de tetris
Analizando un poco más la configuración del terminal, me ha llamado la atención que la cuenta asociada al mismo de GMAIL tenía este aspecto:

Figura 7: detalle del nombre de cuenta asociado al dispositivo
El nombre de la cuenta de GMAIL configurada en el móvil (que es la usada para hacer descargas en la PLAY STORE, poder hacer localización del mismo mediante la aplicación genérica de "Localización del dipositivo", poder bloquearlo remotamente, ...) tenía el nombre de 13 caracteres aparentemente aleatorios. Mi cliente no sabía de quien era esa cuenta, pues su dirección de correo de GMAIL es otra distinta. A partir de aquí hemos empezado a sospechar:

Figura 8: do you not find this highly suspicious?
El cliente me asegura que nadie ha tocado su teléfono a parte de él, que no ha descargado nada, ... Pero para asegurarnos he seguido el siguiente proceso:

  1. informar de lo encontrado al cliente y recomendación de que haga una visita a la Guardia Civil
  2. tras hablar con el responsable de delitos telémáticos, restauración del móvil a valores de fábrica
  3. instalación del firmware que el fabricante ofrece en su web oficial
  4. creación de nueva cuenta de GMAIL
  5. desactivación del GPS
  6. desactivación de la zona WIFI
  7. instalación de antivirus
  8. limpieza de datos de la SD
  9. charla de "recomendaciones" y concienciación al cliente

Esperemos que todo esté resuelto.

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

miércoles, 30 de septiembre de 2015

Análisis de un Phishing (v.2)

Hace unos días recibí un correo electrónico que entró a la bandeja de entrada como uno más. El asunto resultaba sospechoso, ya que estaba en ingles y decía que había recibido un nuevo fax:

  • New 2 page(s) eFax from (334) 306-5677

Vamos a analizar un poco más su contenido:
Figura 1: Analizamos un ejemplo real de phising
Enumerando las cosas extrañas que vi:

  • El idioma es inglés
  • ¿Se supone que alguien quiere mandarme un fax? ¿aún queda de eso?
  • Tiene un fichero adjunto
  • No conozco al remitente
  • El teléfono de origen del fax no es español -> (334) 306-5677


Figura 2: captura de pantalla de mi bandeja de entrada
Me resultó extraño también que los filtros de gmail lo pasasen como bueno y no lo metiesen en la bandeja de SPAM, por lo que decidí dejarlo unos días más para ver como trata GMAIL el asunto.

Al cabo de unos días el mensaje fue movido a la carpeta de basura y varias alertas se podían ver al acceder al mail:
Figura 3: captura de pantalla de la carpeta de SPAM
El documento adjunto tenía extensión de WORD, pero pudiera ser un EXE camuflado o un WORD con macros, dos técnicas muy extendidas para difundir troyanos. Lo sorprendente es que toda la información de la empresa que al parecer tiene el fax que he de descargar y que ha hecho de intermediaria entre el usuario ficticio que quiere mandarme un fax y yo, es totalmente real, con datos reales de contacto, teléfono, mail, ... O sea, la empresa eFax es legítima y su identidad ha sido suplantada para hacer creer a quien recibe el mail que realmente hay un fax para él, es decir, un PHISING en toda regla. La calidad de la copia no es que sea buena, si no que es la misma que la de la empresa legítima: buena calidad en la imágenes, mismas imágenes corporativas que la empresa eFax, logos idénticos, no hay faltas de ortografía ni link a páginas extrañas. Simplemente un word adjunto con un troyano. ASOMBROSO !!!

Recomendaciones para evitar ser troyanizados en este caso: 
  • no abrir correos de desconocidos 
  • no abrir correos de idiomas de los que nos se esperan recibir mail
  • nunca abrir los adjuntos directamente en internet, siempre descargarlo, analizarlo con el antivirus y luego si está limpio, abrir
  • tener nuestro sistema actualizado
  • tener un buen programa antivirus


Para terminar, un par de vídeos con unas demos de Chema haciendo un phising en directo:


Vídeo 1: Entrevista de Pablo Motos a Chema Alonso en El Hormiguero. En la entrevista se hace una demo de phishing para robar cuentas de Apple iCloud
El contenido de la demo está ampliada en esta dirección:

Figura 4: web elladodelmal con entrada de información
Y otro vídeo con un breve resumen sobre phising:

Vídeo 2: el phising en 2 minutos


Saludos!

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)