sábado, 23 de junio de 2018

Aplicación fraudulenta en Google Play activa, 24 horas después de ser reportada

Investigadores de seguridad de la empresa RiskIQ descubrieron un malware “ad-clicker” en Google Play en el día de ayer que aún hoy no ha sido retirado.




El malware con más de 50.000 instalaciones combina su función legítima de optimizador de batería con funciones agresivas de adware. En el estudio publicado por la empresa RiskIQ se puede observar como ante los avisos de publicidad que nos muestra la aplicación pulsemos donde pulsemos nos redirige al mismo sitio.


El malware también roba información confidencial del usuario tales como: (hora, android_id, producto, modelo, marca, país y versión).


En una búsqueda en Koodous aparecen 4 variantes del mismo, correspondientes a 4 versiones distintas de la aplicación. Es especialmente llamativo como la última de ellas integra el permiso de android.permission.RECEIVE_SMS, que puede ser utilizado para la recepción de mensajes premiums.


Desde Koodous hemos creado una regla basada en los IOCs adjuntos al informe para detectar futuras variantes de la aplicación.


Este caso de malware en Google Play no es un caso aislado, llama la atención sobre todo como este tipo de adware parece tener más fácil sortear los controles de seguridad impuestos por el market de aplicaciones de Google; estaremos atentos a que sea finalmente retirado de Google Play.

4a43192a10d878211f3fb62e0d70d07aed2388b834884ca9887d118edabc71e6 Jun 22, 2018 9:35:48 AM
6d58c9512f8233bd3cd67535006f399bf44b752bb99b83f1714b4904ae495de9 May 22, 2018 8:41:15 PM
d44a6a8b9b697f4b2c782dfd3258eaeeae1d577d86507262dc808dd207cec2e6 Mar 26, 2018 1:05:47 PM

f83ee84e6e202bf1896535104c00a4cabae87b434c85c85aba0b626622f17332 Feb 20, 2018 2:24:25 AM

Actualización:
22 de Junio de 2018 22:13 - Ya se ha borrado la aplicación de Google Play.



Fernando Ramírez
@fdrg21
Más información:

Scammy App That Infects Phones for Ad-clicking and Info-Stealing Controls Over 60,000 Devices:
https://www.riskiq.com/blog/interesting-crawls/battery-saving-mobile-scam-app

Google Play Advanced Battery Saver:
https://play.google.com/store/apps/details?id=com.advancedbatr.batsaver

viernes, 22 de junio de 2018

Casi 400 modelos de cámaras Axis expuestos a ataques remotos

Se han descubierto 7 vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca, que permitirían acceder sin credenciales, escalar privilegios y ejecutar comandos arbitrarios




Las vulnerabilidades han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno enfocado a la seguridad de cámaras IP. Éstas son:
  • CVE-2018-10658: bloqueo del proceso '/bin/ssid'.
  • CVE-2018-10659: bloqueo del proceso '/bin/ssid'.
  • CVE-2018-10660: inyección de comandos shell.
  • CVE-2018-10661: salto del proceso de autenticación
  • CVE-2018-10662: elevación de permisos usando funcionalidad '.srv' de dbus.
  • CVE-2018-10663: lectura fuera del buffer en proceso '/bin/ssid'.
  • CVE-2018-10664: bloqueo del proceso httpd.

De estas vulnerabilidades, las catalogadas con los identificadores CVE-2018-10661, CVE-2018-10662 y CVE-2018-10660 permiten en su conjunto tomar el control total de las cámaras por el atacante sin la necesidad de autenticación. La empresa de seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:
  • Acceder a la transmisión de vídeo.
  • Bloquear la transmisión de vídeo.
  • Tomar el control de la cámara para activarla/desactivarla o rotarla.
  • Añadir la cámara a una botnet.
  • Alterar o cambiar el firmware de la cámara.
  • Utilizar la cámara para infiltrarse en la red.
  • Inutilizar la cámara.
  • Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
Las otras vulnerabilidades descritas, con los identificadores CVE-2018-10658, CVE-2018-10659 y CVE-2018-10664, permitirían afectar al funcionamiento de la cámara, sin que se requiera autenticación para ninguna de ellas. Finalmente, la vulnerabilidad CVE-2018-10663 permite la revelación de información sin autenticación.

La empresa que ha descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido explotación, recomendando a todos los usuarios afectados actualizar de inmediato. Axis ha liberado un listado de los modelos afectados.

Las vulnerabilidades en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad de preocuparse por la seguridad de estos dispositivos y mantenerlos actualizados. No sólo es importante por la posible pérdida de privacidad (como en este caso acceder al streaming de vídeo) sino también porque permiten acceder al resto de la red para vulnerar otros dispositivos.



Juan José Oyague
joyague@hispasec.com


Más información: