Etiqueta: malware

ZNIU: un malware para Android basado en Dirty COW

ZNIU es un malware que afecta a dispositivos Android basado en el famoso CVE-2016-5195, también conocido como “Dirty COW”.

Ya hablamos en su momento de Dirty COW, una condición de carrera en el subsistema de memoria del kernel que permitiría elevar privilegios a ‘root’ en sistemas Linux.

A pesar de que ya existen familias que explotan esta vulnerabilidad, es la primera vez que se han encontrado muestras de una que afecta a la plataforma Android. Los investigadores de Trend Micro, sus descubridores, la han bautizado como ZNIU.

Cómo infecta ZNIU

Para lograr la infección, ZNIU se camufla como una aplicación pornográfica o como un videojuego que la víctima descarga desde una página web maliciosa.

Una vez instalada la aplicación, ZNIU se comunica con el panel de control, desde donde descarga e implanta la última versión disponible del virus. Mientras tanto, el malware intenta escalar privilegios en el sistema a través de‘Dirty COW’, con el objetivo de instalar una puerta trasera en el dispositivo para futuros ataques remotos.

Proceso de infección. Extraída de http://blog.trendmicro.com

Cuando ZNIU está instalado en nuestro sistema, el atacante se identifica como el propietario de nuestro móvil y nuestra línea de teléfono aprovechando toda la información recolectada de nuestro dispositivo. El objetivo será interceptar los servicios de “pago móvil y transferir dinero a cuentas controladas por el atacante.

Petición de una transacción enviada por el malware. Extraída de http://blog.trendmicro.com

Hasta el momento, las muestras analizadas por Trend Micro parecen afectar sólo a operadoras de telefonía Chinas. Aunque todos los dispositivos infectados (más de 5.000 a lo largo de más de 40 países) disponen de una puerta trasera que podría ser utilizada para actualizar el virus y apuntar a operadoras de otros países.

Algunas muestras de ZNIU


Más información:
 

FacexWorm: el malware que se extiende a través de Facebook

Descubierto por Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.

Esquema de funcionamiento de Facexworm. Obtenida de Hacker News.

La técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades a principios de este mes.

Estas novedades incluyen el robo de credenciales de sitios web, redirigir a las víctimas a estafas de criptomonedas y/o al enlace de referencia del atacante en programas relacionados con criptomonedas e inyectar mineros en las webs.

A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.

Instalación de la extensión fraudulenta. Obtenida de Hacker News.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.
Cómo funciona
Si el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.
Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
“FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador”, explican los investigadores.
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyenBitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar atentos al hacer clic en enlaces y archivos proporcionados a través de la plataforma del sitio.