{"id":225,"date":"2016-05-03T15:59:11","date_gmt":"2016-05-03T15:59:11","guid":{"rendered":"http:\/\/blog.alvarconsultores.com.uy\/?p=225"},"modified":"2016-05-03T15:59:11","modified_gmt":"2016-05-03T15:59:11","slug":"ataques-de-malvertising-infectan-con-ransomware-viejos-dispositivos-con-android","status":"publish","type":"post","link":"https:\/\/blog.alvarconsultores.com.uy\/?p=225","title":{"rendered":"Ataques de malvertising infectan con ransomware viejos dispositivos con Android."},"content":{"rendered":"

\"Sin<\/a><\/p>\n

Los investigadores de Blue Coat Systems han detectado una campa\u00f1a de un grupo de cibercriminales que est\u00e1n utilizando dos conocidas vulnerabilidades de viejas versiones de Android para instalar ransomware en los dispositivos que a\u00fan operen con el sistema operativo. Lo que buscan es instalar un sistema de b\u00fasquedas creado por los cibercriminales, para que cuando el usuario realice una consulta, sea llevado a sitios web con anuncios maliciosos.<\/p>\n

El sistema de infecci\u00f3n es mediante ataques basados en web, estos hacen uso de las vulnerabilidades de un buscador o de los complementos (plug-in) para instalar el malware, caso muy utilizado en los equipos con Windows, pero hasta ahora no se hab\u00eda presentado algo similar en Android. Gracias a la seguridad del modelo de aplicaci\u00f3n, dichas vulnerabilidades est\u00e1n salvo en los nuevos terminales.<\/p>\n

Luego de largas pruebas, los investigadores de Blue Coat Systems pudieron detectar un ataque drive-by contra uno de los dispositivos de prueba que estaban utilizando, una tablet Samsung que operaba bajo Cyanogenmod 10.1 con Android 4.2.2. La versi\u00f3n en cuesti\u00f3n todav\u00eda es utilizada por la gran mayor\u00eda de dispositivos de gama media\/baja, por lo que afecta a gran parte de la poblaci\u00f3n mundial.<\/p>\n

\u201cEsta es la primera vez, que yo sepa, que un exploit kit ha podido instalar con \u00e9xito aplicaciones maliciosas en un dispositivo m\u00f3vil sin interacci\u00f3n alguna con la v\u00edctima, es decir, el usuario\u201d, comentaba Andrew Brandt, director de investigaci\u00f3n de amenazas en Blue Coat. Tambi\u00e9n explicaba que en el momento del ataque el dispositivo no le pregunt\u00f3 sobre los permisos que tendr\u00eda, algo normal cuando instalamos una nueva aplicaci\u00f3n en nuestro dispositivo Android.<\/p>\n

Yendo m\u00e1s a fondo con la investigaci\u00f3n, con la ayuda de otra firma llamada Zimperium, los investigadores de seguridad pudieron saber que el anuncio malicioso conten\u00eda c\u00f3digo JavaScript, que se aprovechaba de una vulnerabilidad en libxslt. El mismo agujero de seguridad alojado en la librer\u00eda libxslt es uno de los archivos que se filtraron el pasado a\u00f1o desde uno de los software de vigilancia del fabricante italiano Hacking Team.<\/p>\n

Una vez que logra penetrar el dispositivo, el agujero de seguridad permite ejecutar un ELF llamado module.so, el cual tambi\u00e9n se aprovecha de otra vulnerabilidad para que se le otorgue acceso de administrador y as\u00ed moverse libremente. La vulnerabilidad a la que hacemos menci\u00f3n se la conoce como Towelroot y apareci\u00f3 p\u00fablicamente all\u00e1 por el a\u00f1o 2014. Con Towelroot alojado en el dispositivo, se comenzar\u00e1 a descargar e instalar un archivo APK que no es nada bueno, se trata de un ransomware de nombre Dogspectus o Cyber.Police. Pero tranquilos, que a diferencia de otros ransomware este no va a encriptar los archivos del dispositivo o borrarlos, todo lo contrario, muestra una amenaza falsa para intimidar a la v\u00edctima donde dice que las agencias federales detectaron actividad ilegal en el dispositivo y se deber\u00e1 pagar una multa.<\/p>\n

En caso de que no se pague la suma de dinero exigida, la aplicaci\u00f3n maliciosa instalada har\u00e1 que el dispositivo quede bloqueado para que no se pueda hacer nada con \u00e9l. La \u00fanica opci\u00f3n es pagar la multa o volverlo a un estado de f\u00e1brica mediante la recuperaci\u00f3n del mismo, pero mucho cuidado, que este m\u00e9todo borra todos los datos que no hayan sido respaldados, as\u00ed que lo m\u00e1s recomendable es conectarlo a una computadora y respaldar todos los archivos importantes antes de hacer nada.<\/p>\n

\u00bfCu\u00e1l es el problema ahora mismo? Hay muchos dispositivos antiguos que todav\u00eda no cuentan con la \u00faltima versi\u00f3n de Android y son vulnerables a sufrir estos ataques. Muchos de ellos no se actualizan porque su hardware no es compatible con las nuevas versiones del popular sistema de Google y quedan estancados en Android 4.2.2. Otros simplemente no se actualizan porque sus fabricantes dejan de dar soporte a sus viejos modelos, para que de alguna manera las personas se compren nuevas versiones.<\/p>\n

Por defecto las actualizaciones del sistema operativo deber\u00edan venir activadas por defecto, pero si posees un dispositivo m\u00f3vil de gama media\/alta, lo m\u00e1s seguro es que ya no tengas el sistema operativo que es afectado por la vulnerabilidad. De todas maneras, deber\u00edas comprobar las actualizaciones ingresando en Ajustes > Actualizaciones del sistema, o simplemente conect\u00e1ndolo a tu computadora y utilizando el software que te provee tu fabricante para administrar el m\u00f3vil.<\/p>\n

Recuerda que los principales fabricantes ya est\u00e1n comenzando a distribuir la nueva versi\u00f3n de Android Marshmallow 6.0 para los dispositivos de gama media\/alta, as\u00ed que comprueba si tu dispositivo soporta dicha actualizaci\u00f3n para poder recibirla cuanto antes.<\/p>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de Blue Coat Systems han detectado una campa\u00f1a de un grupo de cibercriminales que est\u00e1n utilizando dos conocidas vulnerabilidades de viejas versiones de Android para instalar ransomware en los dispositivos que a\u00fan operen con el sistema operativo. Lo que buscan es instalar un sistema de b\u00fasquedas creado por los cibercriminales, para que cuando […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-225","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=225"}],"version-history":[{"count":1,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/225\/revisions"}],"predecessor-version":[{"id":227,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/225\/revisions\/227"}],"wp:attachment":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}