Joker: malware que roba datos y dinero

Seguramente habrás escuchado de la nueva película de Joker, personaje interpretado por Joaquin Phoenix. Joker es la antítesis del superhéroe Batman, y se caracteriza por su personalidad retorcida y aterradora. Pues bien, investigadores de seguridad han detectado una pieza de malware, igual de compleja, retorcida y aterradora, la cual está enfocada en atacar dispositivos Android. Este malware se ha descargado casi medio millón de ocasiones desde la tienda Google Play. Fue descubierto por Aleksejs Kuprins, investigador de seguridad.

Cuando un dispositivo Android se infecta con Joker, se comienzan a ejecutar varios procesos en segundo plano, posteriormente el malware simula silenciosamente la interacción con sitios web de publicidad, roba los mensajes SMS de la víctima asó como su lista de contactos e información del dispositivo.

Esta actividad sigilosa incluye la simulación de clics con un módulo de recopilación de SMS para agregar la capacidad de ingresar códigos de autorización para servicios de suscripción premium. Esto quiere decir que sin que la víctima se percate, los registra de manera secreta y paga por dichos servicios sin su autorización.

Google afirma haber eliminado varias de las aplicaciones, sin embargo, esto no fue suficiente ya que las mismas contaban con cerca de 472,000 descargas. Se ha identificado que Joker se ha instalado a través de 24 aplicaciones infectadas, entre ellas se encuentran: Age Face, Altar Message, Antivirus Security – Security Scan, Beach Camera, Board picture editing, Certain Wallpaper, Climate SMS, Collate Face Scanner, Cute Camera, Dazzle Wallpaper, Declare Message, Display Camera, Great VPN, Humour Camera, Ignite Clean, Leaf Face Scanner, Mini Camera, Print Plant scan, Rapid Face Scanner, Reward Clean, Ruddy SMS, Soby Camera y Spark Wallpap.

De acuerdo con el investigador, Joker está programado para atacar países seleccionados, ya que en el código incrustado en las apps afectadas contienen códigos móviles de países específicos, sin embargo se recomienda tomar precauciones en caso de haber instalado alguna de las aplicaciones infectadas.

FinSpy: Malware que espía servicios de mensajería

Investigadores de la empresa de ciberseguridad Kaspersky han descubierto una nueva versión de un malware conocido en antaño como FinFisher, el cual es utilizado por ciberdelincuentes para espiar a sus víctimas.

La última versión de este spyware, ahora mejor conocido como FinSpy, está diseñada para rastrear casi todas las interacciones en un dispositivo móvil, y es altamente probable que se estén creando nuevas versiones fuera de los auspicios de sus desarrolladores originales.

Las nuevas versiones, que están dirigidas a teléfonos con Android e iOS, han estado en uso desde 2018, y las muestras de FinFisher más recientes se descubrieron activas hasta el mes pasado, en Myanmar, un país en medio de múltiples escándalos de abuso de derechos humanos, sin embargo se han detectado smartphones infectados en más de 20 países.

Las versiones actualizadas de FinFisher (FinSpy) ahora pueden recopilar y filtrar una gran variedad de datos personales de smartphones infectados, como contactos, mensajes SMS / MMS, correos electrónicos, calendarios, ubicación de GPS, fotos y datos de la memoria RAM del teléfono, así como datos de los servicios de mensajería más populares como son WhatsApp, Facebook Messenger o Viber.

Además, las muestras también pueden grabar llamadas telefónicas y descargar imágenes y mensajes de clientes populares de mensajería instantánea.

FinFisher siempre ha tenido versiones para sistemas operativos de escritorio y móviles, pero estas nuevas versiones dirigidas a smartphones los ponen a la par con las versiones de escritorio más avanzadas.

¿Cómo me protejo?

Kaspersky recomienda no dejar desprotegidos los smartphones o dispositivos móviles, bloquearlos cuando no estén en uso y asegurarse de que nadie pueda ver su contraseña.

Por otro lado, aconseja que solo se instalen aplicaciones móviles desde tiendas oficiales, como Google Play, no acceder a enlaces sospechosos que le envían desde números desconocidos (phishing) y nunca almacenar  archivos o aplicaciones desconocidos en su dispositivo, ya que podrían perjudicar su privacidad.

En la configuración de su dispositivo, bloquee la instalación de programas de fuentes desconocidas y evite revelar la contraseña o el código de acceso a su dispositivo móvil, incluso con alguien de confianza.

Cuidado con la ciberestafa de la aplicación «Updates for Samsung»

«Updates for Samsung» es una aplicación que aprovechaba el desconocimiento de los usuarios y lo frustrante que es esperar actualizaciones, y con base en ello los engañaba persuadiéndolos para que pagaran por actualizaciones de software que, en realidad, Samsung ofrece de forma gratuita.

La aplicación se ofreció a proporcionar actualizaciones de Android a nivel de sistema operativo, de hecho, redistribuyó el software de Samsung, aunque fue esencialmente una estafa para que los usuarios pagaran por dichas actualizaciones.

La app tenía un funcionamiento sencillo, después de descargarla en un equipo Samsung indicaba la versión de firmware y si existía una actualización pendiente permitía descargarla en formato «.zip» a la memoria interna del dispositivo. Existían dos esquemas de descarga: uno gratuito a una tasa de transferencia que lo volvía imposible, y uno de paga, con una velocidad de descarga mucho mayor, empujando al usuario a pagar por éste.

En una declaración, Google señaló que «Brindar una experiencia segura es una prioridad máxima y nuestras políticas para desarrolladores de Google Play prohíben estrictamente las aplicaciones engañosas, malintencionadas o destinadas a abusar o hacer mal uso de cualquier red, dispositivo o datos personales. Cuando se encuentran violaciones, tomamos medidas «, por lo cual suspendió la aplicación.

La aplicación había acumulado más de 10 millones de descargas, según el contador de Google Play. 

Cuidado con este malware «disfrazado» de juego

El juego “Scary Granny ZOMBYE Mod: The Horror Game 2019” para Android está robando datos de Google y Facebook de sus usuarios. La aplicación maliciosa intenta desviar datos y dinero de las víctimas hacia ciberdelincuentes. Se recomienda eliminar esta aplicación inmediatamente de tus dispositivos.

Este juego pasó desapercibido para el equipo de revisión de Google Play. Google utiliza un sistema de detección de malware para verificar nuevas aplicaciones que se cargarán a su Play Store, sin embargo esta aplicación evadió la verificación ya que simulaba ser un juego totalmente funcional, sin embargo después de un período de dos días de instalarse, el malware es activado.

La aplicación, aparentemente basada en otro exitoso juego para Android llamado Granny, lanza un ataque de phishing contra el dispositivo de destino, mostrando una notificación que solicita al usuario que actualice sus servicios de seguridad de Google. Cuando el usuario está de acuerdo, presenta una página de inicio de sesión falsa para robar sus credenciales.

Falsa notificación y phishing (Fuente: https://www.bleepingcomputer.com/)

El código de phishing utiliza un navegador integrado en la aplicación para acceder a la cuenta del usuario y descargar sus correos electrónicos y números de teléfono de recuperación, además de códigos de verificación, cookies y tokens (que podrían brindar a los atacantes acceso a aplicaciones de terceros).

¡Cuidado con el uso de estos pines de celular!

Hace unas semanas, Tarah Wheeler, experta en ciberseguridad y directora senior de la empresa Splunk, compartió una lista de los códigos PIN más comunes que las personas usan para proteger sus smartphones.

Aquí la lista:

  • 1234
  • 1111
  • 0000
  • 1212
  • 7777
  • 1004
  • 2000
  • 4444
  • 2222
  • 6969
  • 9999
  • 3333
  • 5555
  • 6666
  • 1122
  • 1313
  • 8888
  • 4321
  • 2001
  • 1010

El 26% de todos los teléfonos han sido vulnerados al usar estos códigos PIN.

La recomendación es cambiar tu configuración a un passphrase (frase de contraseña corta): Configuración> Código de acceso (iOS) / Seguridad (Android)

¡Manténte seguro!