Resumen de amenazas de febrero

imessage-623x427

Durante este pasado mes de febrero los smartphones y demás dispositivos conectados pertenecientes al tan manido Internet de las cosas han tenido un protagonismo especial, y no solo por la celebración en Barcelona del Mobile World Congress.

En estas últimas semanas hemos visto nuevas amenazas y fallos de seguridad que afectaban precisamente a estos dispositivos, algo que, a estas alturas de la película, ya no debería extrañar a nadie.

Smartphones como un objetivo favorito

En febrero detectamos las primeras muestras de Mazarbot, un malware para Android que se hace pasar por una aplicación para enviar MMS. Esta aplicación, sin embargo es en realidad un troyano mediante el cual los delincuentes pueden tomar el control del mismo.

Este troyano no es una excepción y eso lo demostramos en la investigación realizada durante los últimos meses en Google Play que ha demostrado que los troyanos del tipo “clicker” siguen campando a sus anchas en la tienda oficial de aplicaciones de Google. Este tipo de troyano se caracteriza por abrir enlaces de webs con contenido pornográfico de forma invisible al usuario en los que se aplica un patrón aleatorio de clics. De esta forma los delincuentes consiguen los beneficios aprovechándose de los móviles y el consumo de datos de los usuarios infectados.

Además hemos visto como volvía a aparecer una estafa bastante extendida durante la segunda mitad del año pasado. Estamos hablando de las falsas encuestas que se envían por WhatsApp suplantando a empresas de confianza y que nos piden rellenarlas para obtener un premio en forma de cupón. Una vez rellenada la encuesta, también se observaron otras acciones que van desde la descarga de aplicaciones a la suscripción a números de tarificación especial, pasando por anuncios varios.

Como peculiaridad, si el enlace se abría en un navegador que no fuese el de un Smartphone, se redirigía al usuario a Facebook para que procediera a compartir una nueva estafa entre todos sus contactos. De esta forma, los delincuentes tratan de maximizar el esfuerzo y afectar al mayor número de usuarios posibles.

Coches, juguetes y relojes vulnerables

Entre otros dispositivos que se han visto afectados por vulnerabilidades reportadas durante el mes pasado hemos visto juguetes y relojes destinados a los más pequeños de la casa y uno de los coches eléctricos más vendidos actualmente.

El peluche de juguete Smart Toy de la empresa Fisher Price es un compañero “inteligente” que acompaña a los más pequeños en varias actividades de su día a día y que incorpora cierto grado de personalización conforme van aprendiendo los gustos del niño. Los padres pueden utilizar una aplicación móvil para configurar varios parámetros pero investigadores de Rapid 7 descubrieron una vulnerabilidad en esta app que podría aprovecharse para acceder a detalles almacenados en el peluche.

De esta forma, un atacante podría llegar a conocer el perfil del menor asociado con el peluche y averiguar su nombre, fecha de nacimiento, género, idioma utilizado y juguetes favoritos. Además, también se podría acceder a las compras realizadas desde la aplicación y los paquetes de juegos adquiridos a las puntuaciones obtenidas por el menor en esos juegos.

Otro caso similar afectó al reloj hereO, dispositivo que viene equipado con Wi-Fi, una tarjeta SIM y un conector USB permitiendo a los padres obtener la ubicación de sus hijos en un Smartphone. La vulnerabilidad descubierta permitiría a un atacante introducirse en el grupo familiar y, por ende, acceder a la ubicación de cada uno de los miembros de la familia y poniendo así en peligro la privacidad de sus miembros.

Por último, el modelo de coche eléctrico Nissan Leaf fue uno de los protagonistas destacados en materia de seguridad al descubrirse una vulnerabilidad que permitía conectarse a cualquiera de estos vehículos en cualquier lugar del mundo tan solo sabiendo el número de bastidor. Una vez conectado, el atacante podría activar o desactivar el sistema de aire acondicionado o conocer más sobre la vida privada del conductor al poder extraer los datos del GPS.

“Las vulnerabilidades y fallos de seguridad siguen suponiendo uno de los principales desafíos a los que se enfrenta el Internet de las cosas” comenta Josep Albors, director del laboratorio de ESET España. “Resulta vital por el bien de todos los usuarios que la seguridad se trate al mismo nivel que la usabilidad o funcionalidad de estos dispositivos. En caso contrario nos veremos abocados a un futuro con dispositivos conectados de todo tipo que abrirán nuevas puertas para los ciberdelincuentes” concluye Albors.

El ransomware no cesa su actividad

Hace tiempo que el ransomware se ganó su propia sección en estos resúmenes mensuales. Durante los últimos meses hemos visto como las variantes de este malware que cifra los archivos del usuario y pide un rescate por ellos no solo han ido en aumento sino que no parece que, a corto plazo, la situación vaya a mejorar.

Una de las variantes analizadas durante el mes pasado fue 7ev3n, ransomware que deja inservible el sistema infectado además de cifrar archivos como documentos, imágenes, vídeos y otros. Por si fuera poco, este ransomware solicita la nada despreciable cantidad de 13 bitcoins como rescate, que al cambio actual son varios miles de euros y suponen un desembolso muy importante para tratar de recuperar sus archivos.

Otra variante propagada durante las últimas semanas fue Locky. Mediante una campaña de envío masivo de correos electrónicos se propagaba un documento de Word con macros maliciosas que descargaba el código malicioso. A continuación se cifran los archivos del usuario y se pide un rescate, tal y como es habitual.

Sin embargo, hay algo que caracteriza a Locky, pues se propaga utilizando técnicas y vectores de ataque similares al troyano bancario Dridex, como por ejemplo la utilización del kit de exploits Neutrino e incluso la misma cartera para ingresar los bitcoins de los rescates, algo que indicaría que ambas amenazas comparten la misma infraestructura.

Pero, en febrero también se publicaron herramientas gratuitas para poder descifrar las variantes de ransomware conocidas como HydraCrypt y UmbreCrypt. Esto permitió a los usuarios afectados recuperar sus archivos sin tener que ceder al chantaje de los delincuentes.

Vulnerabilidades en todos los sistemas

La época en que Microsoft copaba la gran mayoría de vulnerabilidades ha pasado a la historia y ahora es frecuente ver cómo se descubren agujeros de seguridad en otros sistemas operativos y aplicaciones. Un ejemplo de esto lo tenemos en la vulnerabilidad en Linux descubierta a mediados de febrero y que afectaba a la librería glibc. La vulnerabilidad fue descubierta por casualidad por un ingeniero de Google y se demostró que podía ser explotada para ejecutar código malicioso remotamente en un dispositivo o aplicación. No obstante fue rápidamente solucionada y la mayoría de usuarios pudieron parchear sus sistemas sin mayores problemas.

Pero no fue el único ejemplo de amenazas en sistemas Linux durante febrero. La imagen de instalación de la conocida distribución Linux Mint resultó comprometida durante un breve espacio de tiempo. De esta forma, los usuarios que descargaron la imagen del sistema operativo el pasado 20 de febrero estaban en riesgo de tener una versión troyanizada que permitiría a un atacante usar su sistema para realizar ataques DDoS o robar ficheros del sistema.

El equipo de investigación de Google siguió dando sus frutos y publicó varias vulnerabilidades para sistemas Mac OS e iOS. De ser aprovechadas por un atacante en un equipo vulnerable, estas vulnerabilidades le permitirían conseguir ejecutar código en el sistema, escalar privilegios y llegar a tomar el control del mismo remotamente. Sin embargo, Apple reaccionó de forma rápida y publicó actualizaciones para sus sistemas que solucionan estos agujeros de seguridad.

Por su parte, Microsoft cumplió con su ciclo mensual de actualizaciones y publicó 13 boletines de seguridad que corregían un total de 67 vulnerabilidades. Entre estas vulnerabilidades se encuentra una que afecta a todas las versiones soportadas de Windows y que permitiría a un atacante la ejecución remota de código si el usuario abre un fichero del tipo Journal modificado.

Asimismo, Oracle anunció una actualización de seguridad para Java que soluciona una vulnerabilidad que, de ser aprovechada, permitiría obtener el control de la máquina vulnerable, siempre que el usuario fuese engañado para descargar ciertos archivos maliciosos en su sistema desde una web preparada por los atacantes.

Oracle también fue la encargada de anunciar una buena noticia a todos los que nos preocupamos de la inseguridad de Java. A partir de marzo de 2017 abandonará definitivamente el complemento Java para navegadores, cerrando así una de las principales puertas de entrada del malware mediante el uso de kits de exploits.

Josep Albors

Variantes de los ransomware Locky y Teslacrypt se propagan de forma masiva