Detectadas aplicaciones en Google Play Store que contienen malware… para Windows

Las aplicaciones se encontraban en el repositorio oficial desde octubre del año pasado. Aunque inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows pueden infectar el equipo con un keylogger.

Imagen obtenida de Palo Alto.

La retirada de aplicaciones de Google Play Store debido a su contenido malicioso no es nada nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque maliciosas, las aplicaciones no presentan riesgos para usuarios de Android. 

Han sido investigadores de Palo Alto los que han detectado un total de hasta 142 aplicaciones disponibles en Google Play Store que contienen al menos un ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los usuarios móviles, sin embargo su desempaquetado y posterior ejecución en entornos Windows lleva a la infección del equipo con un keylogger.

La teoría más plausible es que sean los propios desarrolladores de las aplicaciones los infectados por malware (posiblemente de varias familias) y durante el proceso de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están limpias, lo que apunta a que han sido confeccionadas en otro entorno.

Las APKs involucradas que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.

Se filtran 11.000 mensajes privados de WikiLeaks

Una activista ha filtrado miles de mensajes privados de la famosa organización conocida por publicar secretos de interés público.

La periodista Emma Best ha publicado más de 11.000 mensajes directos de un grupo de Twitter utilizado por WikiLeaks.

“En varios momentos del chat, hay ejemplos de homofobia, transfobia, sexismo, racismo, antisemitismo y otros contenidos y lenguajes objetables”, explica Best.

Los mensajes filtrados muestran el fuerte favoritismo republicano de la organización, ya que en algunos, escritos seguramente por el fundados de WikiLeaks Julian Assange, llamaban a la candidata Hillary Clinton “sádica” y “sociópata” entre otros. Además, especificaban que sería mucho mejor para el partido Republicano ganar.

También se ven mensajes relacionados con el ex presidente de los Estados Unidos, Barack Obama.

“Obama es solo un centralizador. Es malo porque representacionalmente no se ve ni actúa como lo que él representa. Hillary tiene una confusión de representación similar, pero conducirá activamente la máquina a un lugar oscuro”.

En respuesta a la publicación, WikiLeaks afirma que “Se han manipulado algunos registros pero son útiles de otras maneras”.

El fundador de WikiLeaks, Assange, permanece en la embajada ecuatoriana en Londres, pero los últimos informes indican que Ecuador quiere retirar su asilo político y entregarlo a las autoridades británicas.

Más información:
 
Post de Emma Best:

Incidente de seguridad en Reddit

Reddit, el popular sitio de agregación de noticias y marcadores sociales habría sido hackeado en junio de este año. Registros de eventos, copias de bases de datos y el código fuente (ahora privativo) de Reddit, podría haber sido extraído por el atacante.

Si tienes una cuenta en Reddit, es posible que hayas recibido un correo electrónico como este:

Según un responsable de Reddit, durante el intervalo de tiempo entre el 14 y el 18 de junio, varios servidores de la infraestructura de Reddit habrían sido atacados, con el resultado de la extracción de datos de usuarios, en concreto, direcciones de correo electrónico actuales y una copia de las credenciales de acceso que data del año 2007.

Respecto a las contraseñas, se trataría del grueso correspondiente al año 2007. Una copia de seguridad de los inicios del sitio. Además, y sorprende por la época, las credenciales no estaban guardadas en texto plano (hash + sal). Dado el transcurso de tiempo, es bastante improbable que las contraseñas que puedan extraerse de ahí sean útiles hoy día, aunque no es sorprendente ver cuentas cuyas contraseñas no han sido cambiadas en lustros.

Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos electrónicos, nada de credenciales, en principio.

Eso respecto a los datos de usuario, pero llama la atención en el post que hace el responsable de Reddit, una anotación que puede pasar desapercibida:

As the attacker had read access to our storage systems, other data was accessed such as Reddit source code, internal logs, configuration files and other employee workspace files, but these two areas are the most significant categories of user data.

Es decir, que la filtración de datos de usuario, que no es precisamente un botín rebosante de maravedies, solo es una pizca de lo acontecido; aunque sí es lo que determina las posibles sanciones administrativas. El código fuente del Reddit actual, privativo, podría estar durmiendo en el disco duro de su asaltante.

Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.

Respecto del ataca en si, llama la atención un aspecto importante:

we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.

Aunque las cuentas de empleados que habrían sido hackeadas poseían doble factor de autenticación, este era un mensaje SMS y habría sido interceptado. Ojo, no estamos frente a un ataque oportunista contra servidores y mala configuración. Nos está desvelando una parte importante de como se desarrolló el plan del atacante: fue a por los empleados, y es más que probable que echara mano de ingeniería social o algo más complejo para hacerse con el código de los mensajes SMS enviados a los empleados.

En un comentario aparte, el mismo responsable, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.

Como podemos ver, no solo se trata de construir una infraestructura segura. Un ataque centrado en las personas suele ser más fructífero que uno enfocado en la complejidad técnica. En este caso, ni tan siquiera un segundo factor de autenticación ha parado al atacante, quien de una forma u otra se hizo con los mensajes SMS. Es desde luego un ataque muy personalizado, del que sabemos poco pero podemos inferir mucho.

Más información: