TECH4GEEKS-LOGO-HEADER
Oxary Magazine
$10 – $15 / Week

Esta aplicación de Vultur lleva a los maliciosos al siguiente nivel

Una firma de investigación de seguridad holandesa descubrió una nueva aplicación Android Dropper, denominada Vultur, que ofrece una funcionalidad legítima y luego cambia silenciosamente al modo malicioso cuando detecta actividad bancaria y financiera.

Vultur, encontrado por ThreatFabric, es un registrador de teclas que captura las credenciales de la institución financiera en función de la sesión bancaria actual y roba fondos inmediatamente, de manera invisible. Y en caso de que la víctima se dé cuenta de lo que está pasando, bloquea la pantalla.

(Nota: siempre tenga a mano el número de teléfono de su banco para que una llamada directa a una sucursal local pueda ahorrarle dinero, y mantenga el número en papel. Si está en su teléfono y está bloqueado, no tendrá suerte).

«Vultur puede monitorear las aplicaciones que se inician e iniciar la grabación de pantalla/registro de teclas una vez que se inicia la aplicación de destino», según Threat Fabric. «Además de esto, la grabación de pantalla se inicia cada vez que se desbloquea el dispositivo para capturar el PIN/contraseña gráfica utilizada para desbloquear el dispositivo. Los analistas probaron las capacidades de Vultur en un dispositivo y pueden confirmar que Vultur graba con éxito un video de ingreso del PIN/ gráfico de contraseña al desbloquear el dispositivo e ingresar las credenciales en la aplicación bancaria específica».

Según el informe de ThreatFabric, «Vultur utiliza cuentagotas que se hacen pasar por herramientas adicionales, como los autenticadores MFA, ubicados en la tienda oficial de Google Play como principal medio de distribución, por lo que es difícil para los usuarios finales distinguir entre aplicaciones maliciosas. Una vez instaladas , Vultur ocultará su icono y solicitará privilegios del Servicio de Accesibilidad para realizar su actividad maliciosa. Al otorgarle estos privilegios, Vultur también activa un mecanismo de autodefensa que dificulta la desinstalación: si la víctima intenta desinstalar el troyano o deshabilita los privilegios del Servicio de Accesibilidad , Vultur cerrará el menú de configuración de Android para evitar esto».

  Cómo Windows 10 se parece mucho a Windows 7

Vale la pena señalar que el uso de datos biométricos para iniciar sesión en una aplicación financiera, común en estos días en Android e iOS, es un gran movimiento. En esta situación, sin embargo, no ayudará aquí porque la aplicación se superpone a la sesión en vivo. La información biométrica es menos útil para la aplicación la próxima vez (con suerte) y no lo ayudará a defenderse del ataque actual.

ThreatFabric ofreció tres sugerencias para salir del control de Vultur. «Primero, inicie el teléfono en modo seguro, evitando que se ejecute el malware», luego intente desinstalar la aplicación. «En segundo lugar, use ADB (Android Debug Bridge) para conectarse al dispositivo a través de USB y ejecute el comando {code}adb uninstall {codificado}. O haz un restablecimiento de fábrica».

Más allá de que estos pasos requieren mucha limpieza para devolver el teléfono al estado de uso anterior, también requiere que la víctima conozca el nombre de la aplicación maliciosa. Esto puede no ser fácil de determinar, a menos que la víctima descargue muy pocas aplicaciones poco conocidas.

Como sugerí en una columna reciente, la mejor defensa es asegurarse de que todos los usuarios finales solo instalen aplicaciones que TI haya aprobado previamente. Y si un usuario encuentra una nueva aplicación que desea, envíela a TI y espere la aprobación. (Está bien, puede dejar de reírse ahora). Independientemente de la política, la mayoría de los usuarios instalarán lo que quieran, cuando lo deseen. Esto es cierto tanto para un dispositivo propiedad de la empresa como para un dispositivo BYOD propiedad del trabajador.

Para complicar aún más este lío, los usuarios tienden a confiar implícitamente en las aplicaciones que se ofrecen oficialmente a través de Google y Apple. Si bien es absolutamente cierto que ambas compañías de sistemas operativos móviles deben y pueden hacer mucho más para evaluar las aplicaciones, tal vez la triste verdad es que el volumen actual de nuevas aplicaciones puede hacer que estos esfuerzos sean ineficaces o incluso inútiles.

  Raspberry Pi Mini PC supera el aburrimiento de los viajes diarios

Ellos [Google and Apple] han elegido ser una plataforma abierta y estas son las consecuencias.

Considere a Vultur. Incluso el CEO de ThreatFabric, Cengiz Han Sahin, dijo que duda que Apple o Google hayan podido bloquear Vultur, sin importar cuántos analistas de seguridad y herramientas de aprendizaje automático hayan implementado.

«Creo que ellos (Google y Apple) están haciendo todo lo posible. Es demasiado difícil de detectar, incluso con todo el [machine learning] y todos los juguetes nuevos que tienen para detectar estas amenazas”, dijo Sahin en una entrevista. “Eligieron ser una plataforma abierta y esas son las consecuencias”.

Una parte clave del problema de detección es que los delincuentes detrás de estos cuentagotas realmente ofrecen una funcionalidad adecuada, antes de que la aplicación se vuelva deshonesta. Por lo tanto, alguien que pruebe la aplicación probablemente descubra que hace lo que promete. Para encontrar los aspectos nefastos, un sistema o una persona debe examinar cuidadosamente todo el código. “El malware solo se convierte realmente en malware cuando el actor decide hacer algo malicioso”, dijo Sahin.

También ayudaría si las instituciones financieras hicieran un poco más para ayudar. Las tarjetas de pago (débito y crédito) hacen un trabajo impresionante al marcar y suspender cualquier transacción que parezca desviarse de la norma. ¿Por qué estas mismas instituciones financieras no pueden realizar controles similares para todas las transferencias de dinero en línea?

Esto nos lleva de vuelta a la informática. Debe haber consecuencias para los usuarios que no cumplan con la política de TI. Confiar en las sugerencias citadas para eliminar Vultur también significa una posibilidad definitiva de pérdida de datos. ¿Qué sucede si se pierden los datos corporativos? ¿Qué pasa si esta pérdida de datos obliga al equipo a rehacer horas de trabajo? ¿Qué pasa si retrasa la entrega de algo que se le debe a un cliente? ¿Es justo que el presupuesto de la línea de negocio sufra cuando fue causado por un empleado o contratista que violó la política?

  Llega Windows 11: mis primeras impresiones

Fuente

Etiquetas

Comparte en:

Ultimos Post

Categorias

Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore