Etiqueta: Koodous

Detectadas aplicaciones en Google Play Store que contienen malware… para Windows

Las aplicaciones se encontraban en el repositorio oficial desde octubre del año pasado. Aunque inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows pueden infectar el equipo con un keylogger.

Imagen obtenida de Palo Alto.

La retirada de aplicaciones de Google Play Store debido a su contenido malicioso no es nada nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque maliciosas, las aplicaciones no presentan riesgos para usuarios de Android. 

Han sido investigadores de Palo Alto los que han detectado un total de hasta 142 aplicaciones disponibles en Google Play Store que contienen al menos un ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los usuarios móviles, sin embargo su desempaquetado y posterior ejecución en entornos Windows lleva a la infección del equipo con un keylogger.

La teoría más plausible es que sean los propios desarrolladores de las aplicaciones los infectados por malware (posiblemente de varias familias) y durante el proceso de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están limpias, lo que apunta a que han sido confeccionadas en otro entorno.

Las APKs involucradas que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.

Koodous vuelve a Las Vegas de la mano de YaYaGen

Desde Hispasec nos alegra enormemente anunciar que la charla “Looking for the perfect signature: an automatic YARA rules generation algorithm in the AI-era” de nuestro compañero Andrea Marcelli ha sido seleccionada para la BSides Las Vegas y DEF CON 26.

Con una asistencia estimada de 22.000 personas, DEF CON y BSIDESLV son dos de las mayores convenciones de hackers del mundo, celebrándose anualmente desde 1993 y 2009, respectivamente, en Las Vegas (Nevada). Cada año, cientos de charlas de investigadores de gran renombre son elegidas para presentar los últimos avances y “hacks” en seguridad de la información.

Andrea Marcelli es un investigador de seguridad y parte de nuestro equipo desde noviembre de 2016, trabajando en el proyecto Koodous y desarrollando nuevas herramientas para automatizar la detección de malware en Android. Además es un estudiante de doctorado del Politécnico de Turin (Italia), donde investiga sobre Machine-Learning, modelado semisupervisado y métodos avanzados de optimización, todos aplicados principalmente a los problemas abiertos en seguridad de la información.

En el último año, Andrea ha enfocado su investigación en el desarrollo de nuevos algoritmos de Inteligencia Artificial para la generación automática de firmas de malware, una tarea crítica tanto para la industria de antivirus como para la comunidad de investigadores. Sus esfuerzos se han materializado en la familia de herramientas YaYaGen (Yet Another YARA rule Generator), desarrollada para facilitar el difícil y costoso proceso de escribir firmas de malware: Dada una familia especifica, los algoritmos automáticamente extraen de cada muestra las características más significativas y las combinan para garantizar la mayor cobertura de detección mientras evitan falsos positivos. Finalmente, las firmas generadas automáticamente por YaYaGen se traducen a reglas YARA que pueden ser añadidas directamente a Koodous para detectar variantes de malware con facilidad.

Durante su charla en ambos eventos, Andrea presentará la familia de herramientas YaYaGen y las ideas detrás de los algoritmos desarrollados. ¡Si estás por Las Vegas asegúrate de no perdértela! BSides Las Vegas se celebrará entre el 7 y 8 de agosto en The Tuscanymientras que DEF CON 26 tendrá lugar entre el 9 y 12 de agosto en los hoteles Caesars Palace y Flamingo. La charla en DEF CON esta programada a las 13:00 del sábado 11 de agosto, y para BSides está aún por confirmar.

Resumen

Dado el alto ritmo al que se crean nuevas variantes de malware, los sistemas antivirus deben esforzarse para tener sus firmas actualizadas y sufren una cantidad considerable de falsos negativos. La generación de firmas efectivas contra nuevas variantes, y que además eviten falsos positivos, es una tarea necesaria aunque supone un desafío, requiriendo normalmente una alta implicación de un experto. Para resolver el problema de generación de firmas para malware se pueden usar técnicas de Inteligencia Artificial.

El fin último es la creación de un algoritmo capaz de crear automáticamente una firma generalizada de una familia, finalmente reduciendo la exposición a las amenazas y aumentando la calidad de las detecciones. La técnica propuesta genera automáticamente una firma óptima que identifica a una familia de malware con una alta precisión y buena exhaustividad, usando para ello heurística y algoritmos tanto evolutivos como lineales.

En esta charla presentaremos YaYaGen (Yet Another YARA Rule Generator), una herramienta para generar automáticamente firmas de malware para Android. Las mejoras han sido evaluadas en el conjunto de datos masivo de millones de aplicaciones disponible a través del proyecto Koodous, mostrando que el algoritmo es capaz de generar reglas precisas capaces de detectar malware desconocido de forma más eficiente que aquellas reglas generadas por humanos.

Más información:

MysteryBot, el nuevo troyano “todo en uno” para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones: El malware guarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEye yAnubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

RansomwareEste comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zip con contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición: La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la claseAccessibilityService y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención eshacerse pasar por la aplicación Adobe Flash Player.

Desde Hispasec recomendamos siempre instalar en Android aplicaciones desde repositorios oficiales, pero además que se realicen unas comprobaciones mínimas como verificar al desarrollador de la aplicación o que sea enlazada desde la página oficial de la compañía.

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8:

El 18% de los móviles Android con aplicaciones bancarias instaladas tienen algún tipo de malware.

Un reciente estudio interno basado en los datos de Koodous llevado a cabo por nosotros mismos (Hispasec), revela un dato ciertamente preocupante: un 18% de los móviles analizados tienen instalado algún tipo de malware. El estudio cruza los datos de usuarios con aplicaciones de banca en línea con el malware detectado por Koodous.

¿Qué es Koodous?

Aunque a día de hoy pensamos que la mayoría de nuestros lectores lo conocen lo recordaremos para los más despistados: Koodous es un antivirus colaborativo para Android que pone a disposición de los analistas de malware todo el potencial de los sistemas de análisis; para que mediante la creación de firmas Yara puedan categorizar las muestras que van siendo recogidas por el sistema. Por lo cual son los analistas los que mediante la creación de firmas categorizan las aplicaciones.

El número de usuarios y aplicaciones maliciosas sigue creciendo.

Según los datos que manejamos desde 2014, y una estimación de los datos recogidos en 2018 podemos calcular la siguiente gráfica que muestra una clara tendencia alcista de aplicaciones fraudulentas.

Según datos de la agencia Gartner, el número de terminales móviles con sistema operativo Android no para de crecer, aunque si bien es cierto que iOS mantiene un crecimiento superior al de Android, la cuota de mercado de Android cercana al 86% dan una ventaja que explica entre otras cosas el interés de los atacantes en esta plataforma para la creación de amenazas. Si bien es cierto que existen otros factores determinantes como lo abierto del sistema operativo o que históricamente iTunes ha implementado controles más severos para controlar la subida de aplicaciones.

Por todo esto, desde Hispasec, ponemos a disposición de las empresas preocupadas por la proliferación de malware en los sistemas Android de sus clientes, un servicio que les permita mantener una visual de las aplicaciones fraudulentas presentes en los terminales. Este servicio unido a nuestro departamento Antifraude acota drásticamente las aplicaciones a analizar en busca de amenazas diseñadas para el robo o uso fraudulento de la marca de nuestros clientes.

¿Cómo funciona?

MAIA usa la base de datos de Koodous para que de forma inmediata se pueda tener una visual de la seguridad de los usuarios de su aplicación. Para que el muestreo no sea vinculante a los usuarios que tienen la aplicación de Koodous instalada, MAIA ofrece un SDK que se puede integrar junto a su aplicación para poder tener no sólo el muestreo total de sus usuarios sino poder identificar al usuario concreto que está afectado por malware.

Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

 

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva.

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Estas son las principales novedades:

Nueva interfaz

Los cambios en la interfaz permiten tener una visual más inmediata de la seguridad de nuestros dispositivos. Además se simplifica el funcionamiento: automáticamente Koodous Mobile comprobará contra su base de datos las nuevas instalaciones y actualizaciones instaladas en el dispositivo, de forma transparente al usuario. En caso de detectar alguna aplicación maliciosa se notificará al usuario y se proporcionará un acceso directo a la solución.

También se ha cuidado su estética, haciéndola visualmente más atractiva en móviles y tablets.

Instalador

Se introduce como novedad un “instalador” que comprueba la aplicación antes de que se instale en el sistema. De esta manera es posible parar el malware antes de que pueda afectar a nuestro dispositivo.

Koodous previene instalar una aplicación potencialmente maliciosa

Información extendida

Una nueva vista muestra información detallada sobre las aplicaciones instaladas en el dispositivo. De este modo se pueden revisar los permisos o realizar un análisis más exhaustivo de la aplicación a través la plataforma web.



Si aún no lo has probado os animamos a instalar esta nueva versión y proteger vuestros dispositivos con Koodous.