viernes, 31 de marzo de 2017

Evoluciona Mazain, ahora ataca a usuarios de entidades españolas y latinoamericanas

Lo dijimos, había que prestar atención al troyano bancario Mazain, un malware de origen ruso diseñado para dispositivos Android del que ya describimos todas sus entrañas en un par de entregas de una-al-día.

¡Los troyanos evolucionan
como los Pokemon!
Este troyano parecía encontrarse en una fase temprana y estaba dirigido a usuarios de entidades del Este de Europa (Rusia, Ucrania...). No es la primera vez que vemos como un troyano evoluciona y cambia su objetivo, en esta ocasión le ha bastado una semana para poner su foco mayoritario en entidades españolas y latinoamericanas.

En el análisis que realizamos, y describimos, anteriormente en Hispasec, la característica principal era que la detección de aplicaciones bancarias estaba incrustada ("hardcodeada") en el propio malware. De esta manera, no se podía aumentar el margen de aplicaciones a atacar, y su extracción era sencilla. En esta nueva variante, las entidades afectadas se obtienen de manera remota después de pasar una serie de comprobaciones, lo que dificulta su obtención.

Una vez instalamos la aplicación, espera unos segundos antes de actuar para evitar levantar las sospechas del usuario. Nos solicita que le demos acceso a determinados permisos, como pueden ser el envío de SMS, la lectura de contactos y el acceso a la localización del dispositivo.


El malware es insistente, e intenta obtener estos permisos para poder realizar sus fechorías. Una vez los consigue, trata de solicitar los permisos de administrador de dispositivo. La explicación que da al usuario, es una copia de la licencia GNU.


Descargadas las inyecciones en local, el malware se encarga de tratarlas para obtener de manera entendible las aplicaciones que debe monitorizar.

























Por supuesto, no podían faltar el envío de datos al servidor remoto. En este caso, realiza peticiones al servidor remoto donde entrega el ID del dispositivo para mantenerlo controlado. Además, al igual que la versión anterior, guarda el número de placa, de marca, la CPU que gastamos, qué dispositivo tenemos, nuestra versión de Android... En definitiva, toda la información correspondiente a cada dispositivo infectado.


Aprovecha que la recepción de SMSs para interceptarlos y enviarlos al servidor remoto.


El malware está siempre monitorizando las aplicaciones que abrimos de forma que detecta que el usuario se va a autenticar en la aplicación bancaria y aprovecha para robar los datos introducidos. Para, como no podía ser de otra forma, enviarlos después a un servidor remoto...


Las comunicaciones se hacen utilizando un código que se interpreta en el lado del servidor, pero podemos hacernos a la idea de los datos enviados a través de las inyecciones obtenidas y su análisis.

Hay que señalar que esta nueva versión ha aumentado significativamente el número de entidades afectadas. Si la muestra que analizamos originalmente solo atacaba a 23 entidades, ésta eleva su alcance a aproximadamente 200 entidades, en su mayoría españolas y latinoamericanas. De igual manera, observamos que no solo afecta a las aplicaciones regulares para móvil que un usuario puede encontrar en la Play Store, sino que en esta ocasión los usuarios que utilicen tabletas Android también pueden verse afectados al atacar también las versiones para estos dispositivos.

Mostramos a continuación algunos de los paquetes de aplicaciones afectados, que incluyen entidades como BBVA, Unicaja, Banco de la Provincia de Buenos Aires, Citi Argentina, BBVA Bancomer, Banco Popular, Banco Santander, Kutxabank, Banco Mare Nostrum, Caja Murcia, Caixa de Balears, Caja Granada, Banco Galicia o NBO Argentina:

  • com.bbva.bbvacontigo
  • com.bbva.nxt_tablet
  • com.bbva.bbvawalletmx
  • com.bbva.netcashar
  • com.bbva.netcash
  • es.univia.unicajamovil
  • ar.bapro.tablet
  • ar.bapro
  • com.citi.regional.argentina,ar
  • com.bancomer.mbanking
  • app.kutxa.pro
  • com.kutxabank.appatxas
  • com.kutxabank.android
  • rsi.ruralviatablet
  • es.bancopopular.nbmpopulartablet
  • es.bancopopular.nbmpopular,
  • es.bancosantander.empresas
  • es.bancosantander.apps
  • es.bmn.cajamurciaapp2
  • es.bmn.bmnapp2
  • es.bmn.sanostraapp2,
  • es.bmn.cajagranadaapp2
  • com.mosync.app_Banco_Galicia
  • com.nbo.ar
Esto es lo que podemos encontrarnos a nivel técnico, pero... ¿quieres saber cómo puede afectarte? Pues te dejamos un vídeo en el que se puede ver como al entrar en algunas de las aplicaciones afectadas aprovecha para robar las credenciales. Al finalizar el vídeo, se muestra la aplicación maliciosa en Koodous y como es posible desinstalarla o ver detalles de la aplicación como los permisos que requiere.


Una vez más, recordamos extremar la precaución, especialmente en nuestros dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. Recuerda que tu móvil o tu tablet es igual que un ordenador, aplica las mismas prácticas de seguridad. El sentido común siempre es nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y por si falla nuestra intuición disponer de algún software de seguridad. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.

Añadir que si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.

MAIA

Por último, desde Hispasec contamos con un servicio de alerta de infecciones en dispositivos móviles orientado a entidades bancarias llamado MAIA.

MAIA pretende ofrecer información valiosa sobre la seguridad de los dispositivos de nuestros clientes, esta información puede ser una importante fuente de información para los departamentos de riesgo de empresas relacionadas con el sector bancario que vean en MAIA una métrica que permita discernir la confianza en un usuario respecto a la gestión de la seguridad de sus dispositivos.

Si quieres más información sobre este servicio o sobre cualquier otro que ofrecemos en Hispasec, no dudes en escribirnos a comercial@hispasec.com

Más información:

una-al-dia (23/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (I)

una-al-dia (24/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (y II)

una-al-dia (15/03/2017) El malware bancario Ursnif pone el ojo en España



Fernando Díaz

jueves, 30 de marzo de 2017

VMware corrige las vulnerabilidades del Pwn2Own

VMware ha publicado una actualización de seguridad para corregir cuatro vulnerabilidades en VMware ESXi, Workstation y Fusión que fueron anunciadas en el concurso Pwn2Own y que podrían llegar a permitir ejecutar código arbitrario en el sistema anfitrión desde un sistema invitado.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

En esta ocasión todos los problemas corregidos fueron anunciados y presentados durante el concurso Pwn2Own, del que ya efectuamos una extensa crónica en una-al-día.


Las dos primeras vulnerabilidades, consideradas críticas, residen en un desbordamiento de búfer y un uso de memoria sin inicializar en SVGA y podrían permitir a un sistema invitado ejecutar código en el anfitrión. Se han asignado los identificadores CVE-2017-4902 y CVE-2017-4903. Afectan a VMware ESXi, Workstation, Fusion, si bien ESXi 6.0 no se ve afectado por el CVE-2017-4902.

Un tercer problema, también critico, reside en un uso de memoria sin inicializar en el controlador XHCI de VMware ESXi, Workstation y Fusion. Igualmente podría permitir la ejecución de código en el sistema anfitrión desde el invitado. En sistemas ESXi 5.5 solo se produce una denegación de servicio del sistema invitado. Se ha asignado el CVE-2017-4904.

Estas vulnerabilidades está consideradas críticas, pues son de las más graves que pueden darse en entornos virtuales: escapar del entorno virtual y lograr ejecutar código en el sistema anfitrión.

Por último, un problema de gravedad moderada (con CVE-2017-4905) por uso de memoria sin inicializar en VMware ESXi, Workstation y Fusion que podría dar lugar a una fuga de información.

VMware ha publicado actualizaciones para evitar estos problemas disponibles desde:
VMware ESXi 6.5
Parche ESXi650-201703410-SG

VMware ESXi 6.0 U3
Parche ESXi600-201703401-SG

VMware ESXi 6.0 U2
KB 2149673

VMware ESXi 6.0 U1
KB 2149672

ESXi 5.5
Parche ESXi550-201703401-SG

VMware Workstation Pro 12.5.5

VMware Workstation Player 12.5.5

VMware Fusion Pro / Fusion 8.5.6

Más información:

VMSA-2017-0006
VMware ESXi, Workstation and Fusion updates address critical and moderate security issues

VMware Workstation target at Pwn2Own 2017

The Security Landscape: Pwn2Own 2017

una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativos


Antonio Ropero
Twitter: @aropero


miércoles, 29 de marzo de 2017

Vulnerabilidad en Samba permite acceder a archivos no compartidos

Se ha confirmado una vulnerabilidad en Samba (versiones anteriores a 4.6.1, 4.5.7, 4.4.12), que podría permitir a un atacante acceder a archivos no compartidos.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El problema (con CVE-2017-2619) puede permitir a un cliente malicioso acceder a áreas no exportadas del servidor de archivos mediante una ruta de enlace simbólico.

Se han publicado parches para solucionar esta vulnerabilidad en
Adicionalmente, se han publicado las versiones Samba 4.6.1, 4.5.7 y 4.4.12 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir el parámetro
"unix extensions = no"
En la sección [global] de smb.conf y reiniciar smbd.
Esto impide a los clientes SMB1 la creación de enlaces simbólicos en el sistema de archivos exportado empleando SMB1.

Más información:

Symlink race allows access outside share definition




Antonio Ropero

Twitter: @aropero

martes, 28 de marzo de 2017

Apple publica actualizaciones para múltiples productos

Apple ha anunciado la actualización de productos sus productos más destacados, incluyendo la publicación de macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite, iOS 10.3, Safari 10.1, watchOS 3.2, macos Server 5.3, tvOS 10.2, así como Pages, Numbers y Keynote para Mac e iOS. Estas nuevas versiones solucionan un total de 210 vulnerabilidades algunas de ellas en múltiples productos.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado macOS (anteriormente OS X) macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite, destinada a corregir 127 nuevas vulnerabilidades en macOS Sierra. Las vulnerabilidades corregidas afectan a múltiples componentes que incluyen entre otros Apache, apache_mod_php, Bluetooth, curl, EFI, ImageIO, Kernel, Keyboards, libarchive, LibreSSL, OpenSSH, OpenSSL, python, QuickTime, Security, sudo, tcpdump, tiffutil y WebKit. Algunos componentes se han actualizado a versiones más recientes como LibreSSL 2.4.25, PHP 5.6.30, OpenSSH 7.4, tcpdump 4.9.0 y LibTIFF 4.0.7.

iOS 10.3 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que está destinada a solucionar 84 nuevas vulnerabilidades. Los problemas corregidos están relacionados con diferentes componentes, como Accounts, Audio, CoreGraphics, CoreText, HTTPProtocol, ImageIO, Kernel, libarchive, Phone, Safari, Security, Siri o WebKit entre otros. Múltiples problemas podrían permitir la ejecución remota de código arbitrario.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10.1 para OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 y macOS Sierra 10.12.4. Se solucionan 38 vulnerabilidades, la mayoría de ellas relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Muchas podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario al visitar una página web específicamente creada.

El contenido de seguridad de Safari 10.1 se encuentra incluido en macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite.

También se ha publicado macOS Server 5.3 destinado a corregir tres vulnerabilidades en Profile Manager, Web Server y Wiki Server.

De forma similar, Apple publica WatchOS 3.2, destinada a todos los modelos de su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan 34 vulnerabilidades. También ha publicado tvOS 10.2, el sistema operativo para Apple TV (de cuarta generación), que soluciona 56 vulnerabilidades.

Por último, se ha publicado Pages 6.1, Numbers 4.1 y Keynote 7.1 para Mac y Pages 3.1, Numbers 3.1 y Keynote 3.1 para iOS para solucionar una vulnerabilidad por la que se podría obtener el contenido de los PDFs protegidos con contraseña.

Más información:

About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemite

About the security content of iOS 10.3

About the security content of Safari 10.1

About the security content of watchOS 3.2

About the security content of tvOS 10.2

About the security content of macOS Server 5.3

About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOS



Antonio Ropero

Twitter: @aropero

lunes, 27 de marzo de 2017

Actualización de seguridad para Apple iTunes para Windows y Mac

Apple ha publicado nuevas versiones de iTunes para Windows y Mac, destinadas a corregir 17 vulnerabilidades con diferentes efectos.

iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.

Los problemas corregidos están relacionados con siete vulnerabilidades en SQLite y 10 fallos en expat. Estos problemas se han solucionado actualizando a las versiones 3.15.2 de SQLite y 2.2.0 de expat.

Hay que señalar la antigüedad de algunos de los problemas, que se remontan incluso al 2009. Los CVE asignados son: CVE-2013-7443, CVE-2015-3414 al CVE-2015-3717, CVE-2015-6607, CVE-2016-6153, CVE-2009-3270, CVE-2009-3560, CVE-2009-3720, CVE-2012-1147, CVE-2012-1148, CVE-2012-6702, CVE-2015-1283, CVE-2016-0718, CVE-2016-4472 y CVE-2016-5300.

Apple ha publicado la versión 12.6de iTunes para Windows 7 (y posteriores) y para OS X Mavericks 10.9.5 (y posteriores) que corrigen estos problemas, disponibles desde:

Más información:

Acerca del contenido de seguridad de iTunes 12.6

Acerca del contenido de seguridad de iTunes 12.6 para Windows



Antonio Ropero
Twitter: @aropero


domingo, 26 de marzo de 2017

Múltiples vulnerabilidades en NTP

La Network Time Foundation ha publicado una nueva versión de ntpd destinada a corregir 15 vulnerabilidades, que podrían permitir provocar condiciones de denegación de servicio y desbordamientos de búfer.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

Los problemas corregidos incluyen seis de importancia media, cinco de riesgo bajo y cuatro de nivel informativo. También se corrigen otros 15 fallos no relacionados con la seguridad y otras mejoras.

Los problemas considerados más graves consisten en una denegación de servicio en servidores NTP a través de directivas de configuración específicamente construidas (CVE-2017-6464), una denegación de servicio en servidores NTP si un atacante remoto autenticado envía una configuración no válida a través de la directiva :config (CVE-2017-6463), desbordamientos de búfer en funciones ctl_put() (CVE-2017-6458), un desbordamiento de búfer en ntpq cuando solicita la lista de restricciones de un servidor ntpd malicioso (CVE-2017-6460) y por último una denegación de servicio en la funcionalidad de comprobación de marcas de tiempo de origen (CVE-2016-9042).

Se recomienda actualizar a la versión 4.2.8p10 disponible desde:

Más información:

March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement



Antonio Ropero
Twitter: @aropero

sábado, 25 de marzo de 2017

Corregidas dos vulnerabilidades en OpenSSH

Se ha publicado una nueva versión de OpenSSH destinada a corregir dos vulnerabilidades que podrían permitir descifrar mensajes o crear o modificar archivos en los sistemas afectados.

OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.

El primer problema corregido reside en la corrección de una variante de u ataque corregido en la versión 7.3 por una debilidad que puede permitir la medición de tiempo en las contramedidas contra ataques de Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los cifrados CBC están desactivados por defecto en los clientes OpenSSH y solo se incluyen por compatibilidad. En sshd se ofrecen como opción de preferencia más baja y se eliminarán por defecto completamente en la próxima versión.

Por otra parte un nuevo problema reportado por los investigadores de Project Zero de Google. Solamente afecta a la versión OpenSSH portable y podría permitir a un servidor remoto autenticado aprovechar una escalada de directorios (o directorio transversal) en sftp-client en Cygwin para crear o modificar archivos fuera del directorio destino.

OpenSSH ha publicado la versión OpenSSH 7.5 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.

Más información:

OpenSSH 7.5 has just been released

OpenSSH on Cygwin: directory traversal in SFTP client


Antonio Ropero

Twitter: @aropero

viernes, 24 de marzo de 2017

Mazain, un nuevo troyano bancario y su botnet asociada (y II)

En la una-al-día de ayer describimos el comportamiento de Mazain, una nueva muestra de malware para Android que hemos encontrado en nuestro Departamento Antifraude. Tal y como adelantamos, en la noticia de hoy vamos a analizar el C&C, las campañas, las diferentes muestras, las entidades afectadas y el panel de control.

Seguimos nuestra investigación con la misma muestra que tratamos ayer, buscamos el panel de control del troyano y vimos que solo afecta a usuarios en Rusia:

Los atacantes saben todo de los dispositivos infectados

En este panel aparece información como el IMEI, si tiene ROM modificada, la versión de Android, versión del APK, país del afectado, aplicaciones de bancos que tiene en el dispositivo, modelo del dispositivo, si tiene acceso root, si tiene la pantalla encendida, si tiene el dispositivo encendido, fecha de infección y unos botones para ver la información recolectada del dispositivo, incluidas las credenciales robadas del banco.

Pues sí. Así de fácil consiguen las credenciales

A través de una búsqueda rápida en Koodous descubrimos que hay casi 90 apks con el mismo nombre de paquete en el momento de escribir esta entrada:

89 APKs con el mismo nombre de paquete

Y la primera muestra de la que tenemos constancia en Koodous es de finales del año 2016:

Esta es la primera

Hemos analizado todas las aplicaciones y hemos extraído tantos los bancos afectados como los puntos de control, finalmente muchas de las apps comparten el mismo punto de control:

¿Para qué tener muchos C&C?

El dominio mcdir.ru pertenece a una compañía de hosting rusa llamada MCHost. Nos ha llamado la atención este porque es el que mayor número de C&C presenta.

La lista de nombres de paquetes monitorizados es la siguiente:
  • ru.sberbankmobile
  • ru.sberbank_sbbol
  • ru.alfabank.mobile.android
  • ru.alfabank.oavdo.amc
  • ru.mw
  • ru.raiffeisennews
  • com.idamob.tinkoff.android
  • com.paypal.android.p2pmobile
  • com.webmoney.my
  • ru.rosbank.android
  • ru.vtb24.mobilebanking.android
  • ru.simpls.mbrd.ui
  • ru.yandex.money
  • ua.com.cs.ifobs.mobile.android.sbrf
  • ua.privatbank.ap24
  • ru.simpls.brs2.mobbank
  • com.ubanksu
  • com.alseda.ideabank
  • pl.pkobp.iko
  • com.bank.sms
  • ua.com.cs.ifobs.mobile.android.otp
  • ua.vtb.client.android
  • ua.oschadbank.online
  • com.trinetix.platinum
  • hr.asseco.android.jimba.mUCI.ua
  • ua.pentegy.avalbank.production
  • com.ukrgazbank.UGBCardM
  • com.coformatique.starmobile.android

De la que se pueden extraer todas las entidades afectadas, principalmente todas de Rusia, aunque también hay entidades de Ucrania, Polonia y Croacia: 
  • Sberbank 
  • Alfa-Bank
  • VISA QIWI
  • Raiffeisen Bank
  • Tinkoff Bank
  • PayPal 
  • Webmoney Keeper
  • Rosbank
  • VTB Bank
  • MTS Bank
  • Yandex Money
  • PrivatBank
  • Russian Standard Bank
  • ubank
  • IdeaBank
  • PKO Bank Polski
  • Banco SMS (HandWallet)
  • OTP Bank
  • VTB Bank
  • Oschadbank
  • Platinum Bank
  • Ukrsotsbank
  • UkrSibbank

Para terminar, hemos generado una regla Yara en Koodous que iremos actualizando y que contempla que el malware contenga alguna de las URLs que ya se han visto anteriormente o el nombre de paquete.

Una sencilla regla Yara para detectarlo

Aunque este malware en este momento afecte principalmente a entidades rusas, no debemos dejar de prestarle atención. En cualquier momento a los atacantes puede resultarles muy sencillo enfocar su ataque a otro punto, como ya hemos visto en otras ocasiones. Además las medidas y recomendaciones son básicamente las mismas independientemente del malware que tratemos.

De nuevo recordamos extremar la precaución, especialmente en nuestros dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. Recuerda que tu móvil es igual que un ordenador, aplica las mismas prácticas de seguridad. El sentido común siempre es nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.

Por otra parte si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com

Más información:

Mazain Yara

Hosting principal

una-al-dia (23/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (I)



Antonio Sánchez

jueves, 23 de marzo de 2017

Mazain, un nuevo troyano bancario y su botnet asociada (I)

El malware para Android crece más cada día, además se vuelve más peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado un nuevo troyano bancario para Android del que además hemos podido acceder al panel de la botnet que lo controla.

Nos hemos encontrado en Koodous con una nueva muestra que parecía tener un comportamiento sospechoso, así que el Departamento Antifraude de Hispasec ha procedido a realizar un análisis más detallado.

¿A qué va a ser malware?

Tras el análisis dinámico y estático hemos comprobado que se trata de un troyano de evidente origen ruso que monitoriza otras aplicaciones bancarias, de pago online y similares instaladas en el dispositivo, con el objeto de capturar las credenciales introducidas. Hemos llamado "Mazain" a este troyano por la referencia a su autor ("by Maza-in") en el panel de la botnet.

Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas tanto las "Actividades" como los "Servicios" que la aplicación tiene declarados en su manifiesto:

¿injectionActivity?¿goRoot? Con nombres así da para sospechar

¿injectionService? Más de lo mismo

Con estos indicios y con ya muchas sospechas de encontrarnos ante un nuevo malware, el siguiente paso es ejecutar la muestra en un dispositivo móvil. Y lo primero que encontramos es que pide permisos de administración. Otra evidencia.

¿Permisos de Administrador?
¡Es el momento de cancelar la instalación!

Y por si fuera poco, el icono desaparece de las aplicaciones disponibles y al mismo tiempo realiza un par de peticiones al C&C (Command and Control, la infraestructura mando y control):



Con todas las evidencias reunidas, solo queda pasar a realizar un análisis estático que nos ofrezca más información sobre este malware. Tras un primer examen del código vemos que contiene diferentes funcionalidades.

En primer lugar descubrimos información de la configuración del troyano, como es su punto de control, la clave con la que va a comunicarse con el servidor y el nombre de la campaña. No se puede decir que el desarrollador haya sido muy cuidadoso, ya que posteriormente hemos encontrado estos mismos datos incluidos directamente en otras partes del código ("hardcodeados").

Así siempre, por favor

También comprobamos los diferentes nombres de paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace evidente.



Las intenciones son claras, inyectar su código malicioso cuando el usuario abra alguna de ellas:



Es el momento de volver al teléfono y probar el funcionamiento sobre una de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago online:



Tras introducir las credenciales en la pantalla que nos muestra, vemos el tráfico realizado, tanto solicitando la web que ha superpuesto como la información que hemos introducido:




Además de la función de captura de credenciales de banca online, también hemos encontrado funciones para recolectar los SMS enviados y recibidos. Sin duda con el propósito de acceder a los sistemas en los que haya un doble factor de autenticación:



En una próxima entrega analizaremos la botnet, el panel y más datos interesantes sobre este nuevo malware.

De nuevo, las medidas recomendadas son las habituales: sentido común como nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.


Antonio Sánchez

miércoles, 22 de marzo de 2017

Mozilla corrige la vulnerabilidad del Pwn2Own

Mozilla ha publicado un boletín de seguridad (del MFSA 2017-08) destinado a corregir la vulnerabilidad crítica que afecta a sus navegadores web Firefox y Firefox ESR anunciada en el concurso Pwn2Own.

Como ya describimos en nuestra crónica del concurso Pwn2Own el equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox (con CVE-2017-5428), concretamente en la función createImageBitmap(). En su aviso, Mozilla aclara que esta función se ejecuta en el contexto de la sandbox por lo que requiere una segunda vulnerabilidad para lograr el compromiso del equipo. Precisamente el equipo Chaitin en su demostración empleó un búfer sin inicializar en el kernel de Windows para elevar sus privilegios y conseguir el ataque exitoso. Lo que les permitió ganar 30.000 dólares.

Como ya anunciamos empezamos a ver como los fabricantes publican actualizaciones para corregir los fallos descubiertos. Mozilla no ha tardado en reaccionar y publica las versiones 52.0.1 de Firefox y Firefox ESR. Se encuentran disponibles para su descarga a través de los canales habituales.

Más información:

Mozilla Foundation Security Advisory 2017-08
integer overflow in createImageBitmap()

una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativos





Antonio Ropero
Twitter: @aropero


martes, 21 de marzo de 2017

El Pwn2Own 2017 causa estragos en navegadores y sistemas operativos

Durante los días 15 al 17 de marzo se ha celebrado la décima edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores y plugins en diferentes sistemas operativos se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Mozilla Firefox, Adobe Flash, Reader, Windows, macOS y hasta Ubuntu y VMware.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares, diferentes sistemas operativos, así como en los plugins más atacados. Pwn2Own 2017 se ha celebrado en la ciudad canadiense de Vancouver, organizado por Zero Day Initiative (ZDI) y Trend Micro.

Día 1

El primer día se realizaron 10 intentos de ataque, cinco exitosos, uno de forma parcial, dos fallidos y otras dos retiradas. En total 20 nuevas vulnerabilidades y 233.000 dólares en premios.

Empezó con el equipo 360 Security usando un desbordamiento basado en heap en jpeg2000, una fuga de información en el kernel de Windows y un búfer sin inicializar en el kernel de Windows para conseguir una ejecución remota de código a través de Adobe Reader. Por ello ganaron 50.000 dólares y 6 puntos para el premio de Master of Pwn.

Tras esto, Samuel Groß y Niklas Baumstark consiguieron puntos de estilo por dejar un mensaje especial en la Touch Bar de un Mac. Para ello utilizaron un uso de memoria después de liberarla en Safari combinado con tres errores de lógica y una desreferencia de puntero nulo para conseguir elevar sus privilegios a root en macos. Como el problema de uso de memoria después de liberar ya había sido corregido en una versión beta del navegador el ataque se consideró un éxito parcial, a pesar de lo cual consiguieron 28.000 dólares y 9 puntos para el concurso de Master of Pwn.


El siguiente concursante fue Tencent Security– Team Ether que consiguió un ataque exitoso contra Microsoft Edge a través de una escritura arbitraria en Chakra y mediante otro error consiguieron escapar de la sandbox. Esto les permitió ganar 80.000 dólares y 10 puntos para el Master of Pwn.

Por primera vez en la competición un equipo intentaba un ataque contra Ubuntu Linux. El equipo Chaitin Security Research Lab realizó un acceso fuera de límites en el kernel de Linux para ganar 15.000 dólares y 3 puntos para Master of Pwn.


Las retiradas vinieron por parte de Tencent Security – Team Ether que intentaban atacar Windows, y Ralf-Philipp Weinmann en su intento sobre el navegador Microsoft Edge. Posiblemente las recientes actualizaciones de Microsoft debían haber afectado a sus exploits.

Otro fallo vino de la mano de Tencent Security – Team Sniper al atacar Google Chrome con una elevación de privilegios.

Pero este equipo sí logró un ataque exitoso contra Adobe Reader, empleando una fuga de información seguida de un uso de memoria después de liberarla para conseguir la ejecución de código. Mediante otro uso de memoria después de liberarla en el kernel consiguieron privilegios del sistema. Ganaron 25.000 dólares y 6 puntos para el premio de Master of Pwn.

El equipo Chaitin Security Research Lab consiguió otro éxito a través de Apple Safari consiguieron acceso root en macOS mediante una cadena de seis vulnerabilidades que incluían una obtención de información en Safari, cuatro de confusión de tipos en el navegador y un uso de memoria después de liberar en WindowServer. La crónica de Trend Micro califica esta demostración como espectacular lo que facilitó otros 35.000 dólares y 11 puntos para el Master of Pwn.

Para finalizar el primer día, Richard Zhu intentó conseguir una elevación a privilegios a root en macos a través de Apple Safari. Sin embargo, finalizado el tiempo permitido no consiguió un ataque exitoso.

Vídeo resumen del primen día

Día 2

El segundo día de competición fue mucho más productivo, con hasta 17 intentos en un único día. El número de participantes este año ha marcado todo un récord, que obligó a los organizadores a dividir a los participantes de esta jornada en dos grupos diferentes. Por un lado los enfocados en productos Microsoft y adobe y otra parte enfocada en productos Mozilla y Apple. Finalmente se lograron 11 ataques exitosos, uno fallido, tres retiradas y dos descalificaciones, para conseguir un total de 340.000 dólares en premios.

En la pista A _al puro estilo deportivo_ el día comenzó con el equipo 360 Security (@mj0011sec) con un intento de ataque exitoso sobre Adobe Flash por una cadena de vulnerabilidades de un uso de memoria después de liberarla, dos fugas de información del kernel de Windows y un búfer sin inicializar en el kernel de Windows para elevar los permisos desde Flash hasta conseguir privilegios del sistema. Por ello ganaron otros 40.000 dólares y 12 puntos más para el premio de Master of Pwn.

Continuó con otro ataque exitoso a Adobe Flash por parte del equipo Tencent Security – Team Sniper mediante un uso de memoria después de liberar y otro en el kernel de Windows para elevar privilegios a nivel de sistema. Lo que les valió para ganar 40.000 dólares y 12 puntos para Master of Pwn.

El equipo Tencent Security – Sword Team consiguió un ataque exitoso contra Microsoft Edge que valiéndose de otras dos vulnerabilidades de uso de memoria después de liberar consiguieron privilegios del sistema. Con esto ganaron 55.000 dólares y 14 puntos más.

A pesar de los éxitos anteriores, Tencent Security - Team Lance y Tencent Security - Team Shield retiraron sus ataques dirigidos a Microsoft Windows y Microsoft Edge. Sin embargo esto no le importó al equipo Tencent Security – Team Sniper para completar un exploit exitoso contra Microsoft Edge mediante un uso de memoria después de liberar en Chakra y otro en el kernel de Windows para elevar privilegios a nivel de sistema. Con esto sumaron otros 55.000 dólares y 14 puntos más.

Una vez más el equipo de 360 Security explotó con éxito Microsoft Windows con un acceso fuera de límites en el kernel de Windows, que les permitió ganar 15.000 dólares y 4 puntos de Master of Pwn. Para finalizar el día en el grupo A, Tencent Security - Team Sniper consiguió elevar sus privilegios en Microsoft Windows a través de un desbordamiento de entero en el kernel, lo que les valió 15.000 dólares y 4 puntos más para el título de Master de Pwn.

En el grupo B, el equipo de 360 Security demostró una elevación de privilegios en Apple macOS. Mediante una fuga de información y una condición de carrera en el kernel. Obtuvieron 10.000$ y 3 puntos más para Master of Pwn. Sin tiempo de levantarse de la silla, el mismo equipo aprovechó un desbordamiento de entero en Apple Safari y un uso de memoria después de liberar en el kernel para conseguir permisos de roor en un macOS. De esta forma ganaron otros 35.000 dólares y 11 puntos más.

El equipo Chaitin Security Research Lab (@ChaitinTech) consiguió una elevación de privilegios en macOS mediante una fuga de información y un acceso fuera de límites en el kernel. Esto les valió 10.000 dólares y 3 puntos para el Master of Pwn.

El equipo de Tencent Security – Sword Team sufrió una descalificación al realizar un ataque sobre Apple macOS con vulnerabilidades ya reportadas y conocidas por Apple. A continuación Moritz Jodeit de Blue Frost Security (@moritzj) intentaba atacar Mozilla Firefox pero no consiguió que sus exploits funcionaran exitosamente dentro del tiempo previsto.

El equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox y elevó sus privilegios a través de un búfer sin inicializar en el kernel de Windows. Esto les permitió ganar otros 30.000 dólares y 9 puntos de Master of Pwn.

Para finalizar el día en el grupo B, Tencent Security – Team Sniper aprovecharon un desbordamiento de entero en Apple Safari y consiguieron privilegios de root mediante acceso fuera de límites y uso después de liberar en WindowServer. Lo que les valió otros 35.000 dólares y 11 puntos para el premio de Master of Pwn.



Vídeo resumen del segundo día:

Día 3

Esta ha sido la primera edición del Pwn2Own que ha requerido tres días dado el elevado número de participantes e intentos de ataque, pero el décimo aniversario del concurso y la bosa de premios merecía un reconocimiento en todos los niveles. El tercer día, mucho más reducido, tenía como punto central dos ataques a VMware. Los tres participantes de este tercer día se repartieron 260.000 dólares.

El viernes comenzó con una actuación espectacular del equipo 360 Security que utilizó un desbordamiento del heap en Microsoft Edge, un error de confusión de tipos en el kernel de Windows y un búfer sin inicializar en VMware para lograr escapar por completo de la máquina virtual. Esto les permitió conseguir 105.000 dólares y 27 puntos para el Master of Pwn. 

Por su parte, Richard Zhu (fluorescence) empleó dos vulnerabilidades de uso de memoria después de liberarla diferentes en Microsoft Edge para posteriormente elevar los privilegios a nivel del sistema mediante un desbordamiento de búfer en el kernel de Windows. Esto le facilitó 55.000 dólares y 14 puntos.

Finalmente el ganador del concurso de "Master of Pwn" fue el equipo 360 Security con 63 puntos.

Los resultados finales de este Pwn2Own han sido más espectaculares que nunca, con tres días de concurso y un total de 51 nuevas vulnerabilidades reportadas y 833.000 dólares repartidos en premios. 

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.

Vídeo resumen del tercer día


Más información:

The Results – Pwn2Own 2017 Day One

The Results – Pwn2Own 2017 Day Two

The Results – Pwn2Own Day Three




Antonio Ropero
Twitter: @aropero