Warning: Variante del Spyware Exodus afecta a dispositivos iOS

Investigadores de seguridad de Lookout han descubierto una versión del Spyware ‘Exodus’ en iOS. Recordemos que el mes pasado Spyware se encontró en la tienda oficial de Android, “Google Play”. Desde el equipo comentan que esta variedad del malware es menos sofisticada y menos intrusiva que la versión de Android. Además, no existen indicios de que aplicaciones de la tienda oficial de Apple se hayan visto afectadas.

Se trata de un Spyware desarrollado por Connexxa, compañía italiana, famosa por ser proveedora de herramientas de vigilancia a las autoridades italianas. Salió a la luz el mes pasado, cuando un equipo de investigadores de seguridad, “Security Without Borders”, encontraron el malware escondido en una aplicación en la Google Play Store, dirigido a clientes de un un proveedor de servicios italiano. 

Figura 1: Apple Store

Los investigadores comentaron que el spyware tenía un conjunto avanzado de funciones de espionaje que proporcionaban a los atacantes el control total de los dispositivos infectados y que durante los 2 últimos años se han detectado cerca de 25 aplicaciones infectadas en la tienda de Google.

En la conferencia Kaspersky Security Analyst Summit, que está teniendo en lugar en Singapore, el equipo de Lookout ha sacado a la luz esta variante dirigida a iOS y que, según Adam Bauer, investigador del equipo, han detectado gracias al análisis de muestras de Android.

Además, Bauer añadió que la versión iOS se distribuía a través de sitios de phishing que imitaban a los operadores móviles italianos y turcos. Las aplicaciones infectadas por Exodus fueron firmadas con certificados emitidos por Apple, lo que permitió a las víctimas instalar las aplicaciones maliciosas, incluso desde fuera de la App Store. Cabe destacar que Apple ya ha revocado dichos certificados.

Al contrario que en Android, que tenía todo el control del dispositivo, la variante de iOS sólo podía recopilar y robar contactos, fotos, vídeos, grabaciones de audio, información GPS y localización de dispositivos. Según la investigación la versión de iOS y Android tienen vínculos, ya que usan la misma infraestructura y hacían uso de un protocolo similar.

Creadores de malware están encontrando nuevos métodos para espiar iPhone

Gracias a la combinación de fuertes controles e innovadoras medidas de seguridad Apple ha convertido su iPhone en uno de los productos más seguros para los consumidores de todo el mundo. Por desgracia, nada es imposible de hackear y el malware en iOS es más común de lo que la gente cree. A principios de este año, la firma de ciberseguridad Kaspersky Lab encontró la prueba de que un desarrollador de spyware para el gobierno llamado Negg había desarrollado un malware personalizado para iOS que permitía el rastreo GPS y que tenía acceso a la actividad de audio. A pesar del descubrimiento Kaspersky Lab no lo hizo público al tratarse de un malware todavía en proceso de desarrollo.

El malware en iOS siempre ha sido poco común gracias al incremento de la dificultad de los Jailbreak en los iPhone y el empeño de Apple por bloquear sus dispositivos. Este esfuerzo por parte de la compañía ha provocado que se ponga precio a los bugs y exploits que se descubran en sus sistemas operativos. A día de hoy hay compañías que ofrecen hasta 3 millones de dólares por softwares que sean capaces de llevar a cabo un jailbreak o sean capaces de hackear dispositivos, haciendo que muchos desarrolladores se muestren reacios a reportar los bugs que encuentran por el simple hecho de que hay compañías que les pagarán mejor. Pero las compañías no son las únicas en ofrecer dinero por este tipo de herramientas, hace tiempo se descubrió que el gobierno de Arabia Saudí pagó alrededor de 55 millones de dólares por un malware para iPhone desarrollado por la firma NSO Group.

Figura 1: iPhone con perfil MDM instalado

A comienzos de este año mientras investigaba un sofisticado spyware para Android desarrollado por Negg, Kaspersky Lab descubrió un servidor preparado para la realización de ataques MDM (Mobile Device Management) en dispositivos Apple. La función MDM de iOS permite a las compañías que utilizan iPhone monitorear la actividad de los dispositivos de sus empleados a través de la instalación de un perfil MDM. Durante la investigación se descubrió que Negg es una pequeña empresa desarrolladora italiana. Todavía no se sabe cómo este malware fue distribuido por los hackers del gobierno, sin embargo los expertos de Kaspersky Lab han especulado acerca de la ingeniería social ya que por el momento no se ha descubierto la forma de instalar un perfil MDM sin tener acceso físico a los dispositivos.

Fue noticia en Seguridad Apple: del 11 al 23 de septiembre

Comienza el otoño y desde Seguridad Apple nos disponemos a traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 11 hablandoos del comienzo de una nueva serie de Talks llamada Code Talks for Devs. En ellas se hablarán de muchos temas interesantes como la programación, las intergaciones técnicas o APIS. Podreis seguir la serie en nuestro canal de YouTube y consultar vuestras dudas en la Comunity.

El martes día 12 os contamos como la filtración y el ataque a Equifax podría afectar a algunos de los posibles compradores del iPhone 8 a la hora de realizar la compra a través de un crédito, una práctica muy común en EEUU.

El miércoles 13 os hablamos de la quinta edición del security Innovation Day, la cual se celebrará el próximo 5 de octubre. El lema de este año es Security Rocks y contaremos con la presencia de Mikko Hypponen, CRO de F-Secure.

El jueves 14 os presentamos XNSPY, un nuevo Spyware para iOS que funciona tanto en dispositivos con jailbreak como en dispositivos sin el. Gracias a este Spyware podrás monitorear cuentas de Whatsapp, Instagram, Facebook y de muchas otras redes sociales además de poder activar el microfono de tu victima.

El viernes 15 os hablamos del impacto que podría causar el lanzamiento del nuevo Apple Homepod, en su segunda versión podría ofrecer unas prestaciones superiores a las de su competencia en el mercado.

El sábado 16 os informamos de que se esta llevando a cabo una nueva oleada de estafas con os usuarios de Apple como objetivo y os daremos una serie de útiles consejos para evitar caer en la trampa.

El domingo finalizamos la semana hablándoos de las ofertas de trabajo de Apple que se encuentran ocultas en la red y os contamos como un joven estadounidense logró encontrar una de estas ofertas.

El lunes 18 os avisamos de la posible llegada de un nuevo jailbreak para iOS 10.3.2 de la mano del equipo XigTeam además de recordaros el riesgo de hacer jailbreak antes de comprobar que esa versión es estable.

El martes 19 os informamos de que Apple publicará un informe detallado sobre el funcionamiento del nuevo Face ID antes de que el nuevo iPhone X salga a la venta.

El miércoles 20 os avisamos de la llegada de iOS 11 y hacemos un pequeño repaso sobre cuales han sido las actualizaciones de seguridad.

El jueves 21 os hablamos de como Apple ha publicado actualizaciones y boletines para 6 de sus productos y de la problemática real que suponían algunos de los fallos de seguridad ya arreglados.

El viernes 22 os contamos que Apple está eliminando algunas aplicaciones de la App Store por ofrecer algunos servicios que luego no realizan, como es el caso de algunas aplicaciones de análisis de antivirus.

Finalmente, el sábado hablamos del Face ID y su incidente en la presentación en el evento de Apple. Se ha hablado mucho sobre las teorías del fallo, pero tendremos que esperar a tenerlo en las manos para poder ver qué es lo que realmente ocurrió.

Aplicaciones oscuras eliminadas de la AppStore

Apple está eliminando un gran número de aplicaciones de la AppStore que no tienen declaradas todas las funcionalidades que ofrecen o que no son todo lo transparente que las políticas de la empresa requieren. Muchas aplicaciones que se encuentran en el store pueden ser potencialmente un spyware u otro tipo de software nefasto. Apple está eliminando aplicaciones que podrían ser oscuras o cuyas funcionalidades no son las que se venden. Apple ha actualizado recientemente las pautas para los desarrolladores con el objetivo de incluir que las aplicaciones no puedan estar en la App Store si son engañosas.

Este hecho incluye la prohibición de aplicaciones que afirman que están ejecutando un análisis de antivirus o que realizan otras acciones contra el malware. Este tipo de malas aplicaciones de malware han gestionado y conseguido millones de descargas entre ellos.  Apple prohibe este tipo de aplicaciones que ofrecen lo que en realidad no ofrecer, es decir, servicios de antivirus y escaneos. Las aplicaciones de escaneo de malware están siendo apuntadas por Apple. ¿Son importantes estas aplicaciones? ¿Afectan a los usuarios? La verdad es que sí. El mayor problema es que engañan a los usuarios y pueden darles una falsa sensación de seguridad o, incluso, obtener beneficios o ejecutar cierto código no ético.

Figura 1: Aplicaciones Shady

No es la primera vez que Apple ha eliminado algunas aplicaciones que son algún tipo de malware de la App Store. En el año 2015, Apple eliminó a VirusBarrier. La prohibición era algo de lo que Apple no hablaba, pero era una prohibición implícita. Ahora, Apple ha hecho pública la prohibición sobre este tipo de aplicaciones. Sin duda, interesante reflexión y ejecución por parte de Apple para intentar lograr tener más limpia la AppStore.

MacSpy: Malware as a Service para OS X

MacSpy se anuncia como el spyware más sofisticado jamás creado para Mac y con el precio de gratis. La idea de un malware como un servicio o MaaS no es algo nuevo, pero se puede decir que es el primer paso que da esta idea en entornos OS X. Los autores de la plataforma afirman que crearon este malware debido a que los productos de Apple ganaron mucha popularidad en los últimos años. Además, indican que notaron falta de malware sofisticado, lo cual encaja con lo que Patrick Wardle comentó en su día. ¿Qué cosas tiene MacSpy que la hace especial? 

Las funciones de MacSpy según los autores, para la versión gratuita, son las típicas que podemos encontrar en otro tipo de RAT. Destaca, quizá, la sincronización con iCloud, las grabaciones de voz, la captura de pulsaciones de teclado, así como la captura cada 30 segundos del fondo de pantalla. En la imagen se puede visualizar las funciones ofertadas para la versión de demo. 

Figura 1: Características de la versión gratuita de MacSpy

Si observamos las funciones avanzadas de MacSpy, es decir, en la versión de pago, tenemos la posibilidad de ajustar el tiempo para las capturas de grabaciones y de pantalla que realice el software, cifrar un directorio en pocos segundos, quizá sea una funcionalidad optativa para un ataque ransom. Acceso a los emails y cuentas de redes sociales, capturar todos los archivos generados durante ese día y robarlos, etcétera.

Los comapñeros de AlienVault han analizado MacSpy. Se han dado de alta en MacSpy para estudiar el funcionamiento. Recibieron un correo electrónico en el que se proporciona las instrucciones, así como un archivo comprimido. Una vez se descomprime el archivo se observa que hay cuatro archivos: un binario de 64 bits denominado updated, otro binario de 64 bits llamado webkitproxy, otro archivo que es una librería llamado libevent-2.0.5.dylib y un archivo de configuración.

Figura 2: Correo electrónico enviado por MacSpy

La librería y el fichero webkitproxy están firmados por Tor, por lo que están relacionados con la función de Tor Onion. Los contenidos del archivo de configuración son una serie de directivas que tienen que ver con la configuración que tendrá MacSpy en su ejecución. El binario updated fue pasado por Virus Total obteniendo un resultado de 0 detecciones. El binario no está firmado digitalmente.

MacSpy tiene varias contramedidas que dificultan los esfuerzos del análisis. Para evitar la depuración, llama a ptrace() con la opción PT_DENY_ATTACH. Se trata de una comprobación anti-depurador común, la cual evita que los depuradores se unan al proceso. Además, MacSpy tiene código adicional que comprueba si se está ejecutando en un depurador. Además, MacSpy contiene comprobaciones contra el entorno de ejecución que pueden dificultar su ejecución en una máquina virtual. MacSpy también tiene opciones de persistencia, y lo hace a través de la creación de una entrada en la ruta $HOME/Library/LaunchAgents/com.apple.webkit.plist. Esto garantiza que el malware se ejecutará al inicio con el objetivo de continuar recopilando información.

MacSpy es una pieza interesante y un modelo de MaaS que, probablemente, comencemos a ver más en los próximos meses o años. Siempre se ha pensado que los usuarios de Mac están libres de malware, pero como puede verse el malware sigue aumentando en estos equipos. Seguiremos atentos a posibles noticias relacionadas con malware en sistemas Mac.

HackerOne rechaza a FlexiSpy de su programa de Bug Bounty

Los programas de Bug Bounty permiten a los investigadores obtener un reconocimiento o, incluso, un beneficio por sus méritos a la hora de descubrir vulnerabilidades en ciertas plataformas o tecnologías. Es una forma de tener una auditoría continua y proactiva por parte de algunas compañía, lo cual mejorará, sin duda, la seguridad de los entornos. La gente de FlexiSpy planeó atraer a los investigadores de seguridad con el fin de revelar vulnerabilidades en su software. 

El mes pasado, la firma FlexiSpy reveló sus planes vía Twitter para llevar su programa de Bug Bounty a HackerOne. El programa de recompensas ofrecía entre 100 y 5000 dólares para divulgar de forma privada errores. FlexiSpy indicó que el movimiento se encontraba en la etapa de aprobación. FlexSpy ofrece software para espiar para cualquier persona, por lo que, para muchos, no será una empresa muy ética. La idea de este software es permitir el rastreo de personas como niños, cónyuges o socios. Una vez pagado e instalado, el software espía permite a los usuarios escuchar de forma remota las llamadas en vivo, mirar los mensajes de texto, enviar SMS falsos, interceptar y ver contenido multimedia, leer correos electrónicos y/o comprometer otras aplicaciones como WhatsApp, Facebook, Skype o Instagram.

Figura 1: Dashboard de FlexiSpy

El CEO y el CTO de HackerOne aclararon la posición de la plataforma de Bug Bounty. Comentaron que FlexiSpy no es cliente, ya que los principios de la empresa chocan con la filosofía del programa de Bug Bounty. Además, el mes pasado un grupo de hackers llamados Deceptions comprometieron, supuestamente, FlexiSpy y filtraron el código fuente del software de la empresa. Esto provocó, junto a al propósito de consumo de FlexiSpy, las dudas de la gente de HackerOne. 

La plataforma de Bug Bounty argumenta que en el supuesto caso de que FlexiSpy sea aceptada por HackerOne, la compañía deberá publicar una política de divulgación de vulnerabilidades y comprometerse a proteger a los hackers contra acciones legales, ninguna de las cuales está actualemten en uso. Interesante debate, sin duda, el cual no será el último asalto. Seguro que pronto, tenemos más noticias.

SpyNote RAT se hace pasar por Netflix para robarte

Cada día que pasa los dispositivos móviles se utilizan más y más. Los usuarios tienen un mayor apego y los utilizan con mayor frecuencia. La noticia de hoy nos habla de Netflix y un malware o RAT que se aprovecha de los usuarios para robarles información. La aplicación de Netflix tiene de millones de usuarios, por lo que ha captado la atención de los usuarios maliciosos, los cuales están explotando la popularidad de Netflix con el objetivo de propagar el malware. El equipo de investigación de ThreatLabZ encontró una falsa aplicación de Netflix, la cual resultó ser una variante de SpyNote RAT, un troyano que permite el acceso remoto.

SpyNote RAT permite realizar una variedad de funciones como, por ejemplo, activar el micrófono del dispositivo y escuchar las conversaciones en directo, ejecutar comandos en el dispositivo, copiar archivos desde el dispositivo y enviarlos a la ubicación de los atacantes, grabar capturas de pantalla, visualizar contactos, leer mensajes de SMS, etcétera. El Spyware se muestra como una aplicación de Netflix y una vez instalado muestra el icono encontrado en la aplicación de Netflix de Google Play. Tran pronto como el usuario hace clic en el icono de la app se ejecuta el malware. El icono desaparece de la pantalla y parece que no ocurre nada, pero sí ocurre. Es un truco entre los desarrolladores de malware, el usuario piensa que la aplicación puede haber sido eliminada.

Figura 1: Netflix fake

La app se pone en contacto con el C&C utilizando para ello servicios DNS gratuitos. La ejecución de comandos puede crear estragos en la víctima. La captura de pantalla y grabación de audio también es realizada de forma activa con este malware, por lo que el malware puede tomar capturas de pantalla de lo que ocurra en el terminal y utilizar el micrófono para grabar conversaciones o conversaciones cercanas al terminal. También, se produce un robo de SMS de dispositivos afectados, lo cual podría afectar a los TOTP. Por supuesto, la agenda es uno de los elementos que también se ven afectados. Hay que evitar la descarga y ejecución de aplicaciones de terceros o fuera de los market oficiales.

Richard Stallman afirma que Windows y OS X son malware

La declaración es impactante, sobretodo por la persona y por lo que representa. Richard Stallman ha indicado que Windows y OS X son malware, que Amazon es Orwelliano y que nadie debería confiar en Internet. Richard M. Stallman predica a las masas, sobretodo no técnicos, sobre los males del software propietario y de los proveedores de la tecnología, siempre con la teoría conspiratoria en mente. Cuando a Stallman se le preguntó por el tipo de programas que constituyen el malware, éste indicó que los sistemas operativos en primer lugar.

"Sistemas como los de Apple son malware, son fisgones y tienen grilletes para la sociedad. Además, incluyen puertas traseras con las que pueden controlar los hábitos de las personas".

Esta sentencia es impactante, aunque es algo común verle en sus conferencias enunciando cosas similares. Stallman también indicó que Android también contiene malware, ya que cualquier componente que no sea libre puede contener una puerta trasera que ayude a la instalación o desinstalación forzosa de aplicaciones.

Figura 1: Richard M. Stallman, creador del Software Libre

Stallman hace referencia al informe de Bloomberg al hablar de los sabotajes de Microsoft y en su comunicado no se para solo en Windows y OS X, también dice que las Smart TV, los coches, o incluso las muñecas Barbie, tienen la posibilidad de que los vendedores puedan introducir puertas traseras y escuchar conversaciones de personas. Una de las cosas que hay que destacar de la entrevista de Stallman es que habla de un parcheo irregular de muchos proveedores, y es que los proveedores en muchas ocasiones no centran su atención en las vulnerabilidades de seguridad. Por supuesto, hay grandes y pequeñas organizaciones que utilizan programas de recompensa, como son los bug bounties, que ayudan a endurecer el código.

Figura 2: Informe Bloomberg

Por supuesto, el código abierto, que defiende Stallman, no es inmune a las vulnerabilidades, pero existe cierta trasparencia inherente. La pregunta es, ¿Se mira el código fuente? Puede que a día de hoy sigan existiendo gran cantidad de funciones no seguras implementadas en gran cantidad de software. A esta conclusión llegó nuestro compañero Pablo González con el estudio de búsqueda de funciones inseguras en los repositorios de sistemas GNU/Linux.

Un ex-NSA detalla como saltarse Gatekeeper en OS X Yosemite y crear malware persistente

Un ex-empleado de la NSA que después se ha convertido en investigador de seguridad y ha reportado que los Mac de Apple están abiertos al malware. Patrick Wardle, dirige la investigación de la firma de inteligencia de seguridad SYNACK y encontró que la tecnología Gatekeeper de Apple se puede saltar ejecutando código que no esté firmado. Gatekeeper está presente en OS X desde Mountain Lion y es utilizado para verificar los binarios y su ejecución verificando si éste se encuentra firmado.

Se puede configurar la ejecución de sólo binarios firmados o que provengan desde la Mac App Store. Según Wardle, este mecanismo es trivialmente explotable y fácil de evadir. Wardle comentó que trabajó en estrecha colaboración con los equipos de seguridad interna de Apple describiéndolos como sensibles. Wardle comentó que la seguridad en iOS es más sólida que en OS X. Durante su investigación Wardle también encontró una manera de evadir la reciente actualización del bug de Rootpipe, la vulnerabilidad que permitía elevar privilegios en OS X. Wardle también ha programado su propio software malicioso para ver si el software de terceros antimalware pueden detectarle, dónde todos ellos fracasaron. La investigación de Wardle fue presentada en Miami y la  RSA Conference de San Francisco el mes pasado.

Figura 1: Según Wardle, saltarse OS X es de lo más sencillo de troyanizar

OS X también es vulnerable a los ataques de hijacking de biblioteca dinámica, a través del cargador dinámico de OS X. Esta nueva clase de ataques, similares a los ataques de hijacking de DLLs comunes en Windows, da a los investigadores otro medio para saber más sobre los Mac. La investigación de Wardle también cubrió el posible uso de cifrados en Mac, respecto a los binarios. Se puede ver en profundidad en el paper publicado por Wardle. No es la primera vez que vemos como saltarse GateKeeper y la Amplia Security ya publicó las técnicas para hacerlo.

Opinion Spy: Otra vez camina por los sistemas OS X

Casi 5 años después de que apareciera por primera vez este software espía, OpinionSpy vuelve a infectar ordenadores Mac. La gente de Intego lo ha anunciado la semana pasada. La vía de infección suele ser la instalación de aplicaciones y protectores de pantalla de aspecto inocente, descargados por ejemplo de sitios como MacUpdate o VersionTracker. Una vez comprometido el equipo, se podrían producir pérdidas de datos y abrir una backdoor para un nuevo abuso sobre el sistema. La nueva variante de OpinionSpy fue descubierta en un instalador de una aplicación que provenía desde el sitio Download.com de CNET.

Los investigadores de Intego han confirmado que los usuarios de Mac pueden ser infectados a través de una aplicación denominada Free Video Cutter Joiner, con la que podrían estar recibiendo más de lo que se esperan.  Mirando un poco más en profundidad, los expertos de Intego descubrieron que todas las descargas desde la propia web del desarrollador, el cual tiene dos enlaces oficiales de descarga. El código de OpinionSpy está siendo insertado, lo más probable, en el instalador. Durante la instalación el usuario necesitará instalar una aplicación llamada PremierOpinion, la cual se detectará como OS X / OpinionSpy por antivirus como el de Intego.

Figura 1: Instalación de aplicación con OpinionSpy

A diferencia de versiones anteriores de OpinionSpy, esta encarnación pide explícitamente a los usuarios el consentimiento para la instalación del código, aunque por supuesto el riesgo de que un usuario acepte y de consentimiento existe, lo cual acabaría en infección. OpinionSpy permite recopilar datos de mercado, monitorizar comportamiento de compras de los usuarios, etcétera. En líneas generales recopilar hábitos de navegación y poder ser explotados en un ámbito comercial.

Tras la instalación de OpinionSpy, la aplicación se ha instalado en /Aplicaciones/PremierOpinion y el usuario dispondrá de nuevas extensiones en Google Chrome y Mozilla Firefox. A partir de este momento, el equipo estará en constante contacto con los servidores de PremierOpinion, usando el mismo dominio que las variantes anteriores de OpinionSpy securestudies.com.

Figura 2: Premier Opinion

L
a detección de OpinionSpy no es difícil, por lo que podríamos rápidamente detectarlo y eliminarlo. La existencia del icono de PremierOpinion en la barra de herramientas debería hacernos sospechar, y casi es una evidencia de infección.

Pawn Storm Operation: XAgent & MadCap spyware en iOS

La gente de Trend Micro han investigado una campaña de malware conocida en la industria de la Seguridad como Operación Pawn Storm, la cual apunta a dispositivos iOS. La aplicación maliciosa o malware puede robar fotos, mensajes de texto, contactos y otros datos de iPhone sin necesidad de que estén jailbrekeados. Por lo que se sabe hasta el momento el target ha sido el sector gubernamental, de defensa y de los medios de comunicación.

Trend Micro lo ha denominado XAgent. Este software espía utiliza el sistema de aprovisionamiento, provisioning profile, de Apple como vector de infección. Esta funcionalidad está destinada a empresas y desarrolladores que deseen distribuir aplicaciones a un pequeño grupo de personas, y la cual permite a los desarrolladores evadir el proceso de la App Store.

Figura 1: WhitePaper de Trend Micro sobre Pwn Storm Operation

Es un proceso costoso, ya que presenta múltiples notificaciones al usuario que va a instalar la aplicación. La elección de este vector de infección hace pensar que la Operación Pawn Storm apunta a individuos específicos, usuarios cercanos a los que han comenzado la campaña de malware. 

Figura 2: Estructuras de código de XAgent aportadas por Trend Micro

Trend Micro ha comentado que, dentro de lo malo, lo bueno el malware no puede ejecutarse de forma automática, es decir, se deben seguir unos pasos que tienen que hacer el usuario para instalarlo. Una vez instalado en el dispositivo iOS 7, XAgent se ejecuta sin un icono de aplicación y es capaz de automáticamente rearrancar. Este no es el caso de iOS 8, ya que aquí los usuarios se verían obligados a abrir manualmente la aplicación en caso de que se cerrara o el dispositivo se reiniciese. Debido a este hecho, Trend Micro piensa que el malware fue diseñado antes de que iOS 8 fuera lanzado.

Como se ha mencionado anteriormente, XAgent está diseñado para recoger los mensajes de texto, lista de contactos, imágenes, datos de geolocalización, información sobre las apps instaladas y los procesos en ejecución y comprueba el estado de la WiFi. También se puede configurar para iniciar la grabación de audio usando el micrófono del dispositivo y transferir dichas grabaciones a un servidor remoto, de lo que se ocupa otra pieza de malware que se ha llamado MadCap.

Figura 3: Estructuras de código de MadCap aportadas por Trend Micro

Se deben tener en cuenta una serie de buenas prácticas en el uso de los dispositivos móviles, y sobretodo en las fuentes de instalación de software. Los usuarios pueden mitigar el riesgo no haciendo clic en enlaces sospechosos, aunque parezca que la fuente es fiable.

Malware iOS/CloudAtlas para dispositivos con Jailbreak

CloudAtlas parece ser la última muestra de malware usado por gobiernos para espiar a diplomáticos, políticos, militares y directivos, con un objetivo de interceptar  las comunicaciones y realizar grabaciones de llamadas telefónicas. Los usuarios que disponen de dispositivos iOS no están a salvo de esto ya que según informes publicados por Blue Coat y Kaspersky, existen víctimas en Rusia y otros países de alrededor siendo engañados para abrir documentos que haciendo clic en enlaces que hacen creer que verán información sobre un coche diplomático, o incluso haciéndoles creer que podrás descargar una versión mejorada de WhatsApp son infectados.

Figura 1: Enlace a un WhatsApp malicioso

Los dispositivos mas propensos a a ser infectados por este ataque, que explota vulnerabilidades en el formato de documento RTF, son las máquinas Windows pero este malware también puede infectar dispositivos iOS, como iPhone o iPad - si se ha realizado el Jailbreak -, por lo que se recomienda que se tomen muchas precauciones si el dispositivo se encuentra jailbrekeado.

Figura 2: e-mail con distribución de CloudAtlas vía exploit RTF

Los datos de posible procedencia de este malware aparecen diversificados dependiendo de la versión del sistema operativo que vaya a ser infectado. BlueCoat ha publicado los siguientes datos para poder ubicar la procedencia del mismo.

Figura 3: Posibles atribuciones del malware CloudAtlas

Una vez instalado en un dispositivo iOS jailbreak, el malware puede recoger una amplia variedad de información y transmitirla a una cuenta FTP bajo el control de los atacantes. Nada de esto, sin embargo, tendrá éxito si el iPhone o iPad está su estado de fábrica, y no se ha hecho un jailbreak para permitir aplicaciones de markets de terceros tengan vía libre por encima al dispositivo. No obstante, hay que tener presente que ya hay malware que hace directamente el jailbreak, así que hay que extremar las precauciones.

El CEO de StealthGenie multado con 500.000 dólares

En los Estados Unidos es un delito federal vender software espía. La compañía StealthGenie no ocultó a su público sus objetivos comerciales, y los usos que se podían hacer de la aplicación. El pasado martes se produjo una condena penal, por primera vez, en relación con la publicidad y la venta de una aplicación de software espía para dispositivos móviles en Estados Unidos. El Departamento de Justicia anunció que el creador de StealthGenie, el ciudadano Hammad Akbar, se había declarado culpable por la publicidad y la venta del software. Después de aceptar la declaración de culpabilidad, el tribunal condenó a Akbar a pagar una multa de 500.000 dólares.

Además, se le condenó a entregar el código fuente al gobierno de USA para su estudio y neutralización, suponemos.

Akbar ha sido acusado por el estado norteamericano de Virginia en Octubre por realizar escuchas telefónicas y crear y distribuir un sistema de interceptación conocido. StealthGenie ha sido utilizado para interceptar correos electrónicos, imágenes, video, llamadas telefónicas, textos y otras comunicaciones en dispositivos móviles. Akbar ha recaudado una gran cantidad de dinero, pero es curioso como se distribuyen las ventas. La mayoría de las ventas vienen de personas que sospechan de sus socios y que deciden espiarles. Acosadores y abusadores suelen utilizar este tipo de herramientas para el seguimiento de sus víctimas. StealthGenie se instalaba en un dispositivo iOS de haciendo jailbreak, una de las formas de meter un troyano en iPhone. El siguiente vídeo explica cómo funciona en iPhone.

Figura 1: Funcionamiento de StealthGenie en iPhone

El gobierno americano ha informado de que es cierto que los usuarios que compran esto y lo utilizan son los culpables de los espionajes, pero que el proveedor facilita esta invasión de la privacidad y son potencialmente responsables. No es fácil instalar este software, ya que se necesita acceso al terminal, generalmente, para llevar a cabo la instalación de la aplicación. Esto hace que su riesgo de propagación por Internet disminuya, pero es cierto que el tiempo necesario para instalar la aplicación es bastante bajo. ¿Cómo saber si está corriendo en mi dispostivo? Esto puede ser algo más complejo de lo que pensamos, ya que está bien oculto, y para un usuario no avanzado puede ser algo no trivial. Lo mejor es no dejar que nadie utilice el terminal sin tu supervisión.

Malware hace jailbreak silencioso e infecta terminales iOS

Para instalar un troyano en un terminal con iOS, ya sea iPhone, iPad o iPod Touch, se pueden utilizar diferentes técnicas como están descritas en este artículo de Instalar un troyano en iPhone y cómo se detallan en profundidad en el libro de Hacking iOS: iPhone & iPad. Dentro de las más evidentes se encuentran la de utilizar un provisioning profile con un troyano, técnica que vimos que utilizaba el spyware de FinFisher, o si el terminal tenía realizado el jailbreak, aprovecharse de ello para meter cualquier app maliciosa usando un repositorio no oficial.

Ahora, a través de nuestros amigos de Security By Default hemos visto que Kaspersky se ha tomado con muestras de software de Hacking Team, otra compañía dedicada a crear spyware para gobiernos, que realiza un jailbreak silencioso a los terminales iPhone cuando se conectan a su equipo OS X o Windows. 

Figura 1: Explicación en Kaspersky del funcionamiento del spyware de Hacking Team

Es decir, la víctima es infectada mediante un exploit con un malware para Windows que espera a que se conecte a iTunes un terminal iPhone o iPad objetivo, después, cuando este está disponible vía iTunes y con el passcode desbloqueado, el malware realiza un jailbreak de forma silenciosa e instala el troyano de Hacking Team, llamado Galileo, para controlar todo lo que se hace en el terminal. Vigila que tu dispositivo no tenga hecho el jailbreak, y cuida la seguridad de tu OS X o Windows, que puede afectar seriamente a la seguridad de tu iPhone o iPad si lo conectas a él.

Tor Browser for iOS un fork de Onion Browser que da tu IP

Hace ya tiempo que hablamos por aquí de Onion Browser, un cliente TOR no oficial que está disponible en la App Store para usar en iPhone o iPad. Esta herarmienta está desarrollada por Mike Tigas y de ella puedes ver el código fuente que está bajo licencia Open Source.

Figura 1: Onion Browser para iPhone

Sobre esta, un desarrollador llamado Ronen decidió utilizar el código de Onion Browser y crear un Tor Browser para iOS basado en él, pero metiendo publicidad en la app, lo que deja por completo invalidado el sistema de anonimato de la red TOR al exponer la dirección IP a los anunciantes.

Figura 2: Tor Browser, la fake app en la App Store

Esto hizo que tras su denuncia pública la herramienta fuera catalogada como fake app y se pidió a Apple en Diciembre que la retirara. Ahora ha acabado siendo retirada del App Store, tres meses después. Si te has instalado esta app en cualquier dispositivo, lo mejor es que te asegures de quitarla o si la uses tengas presente que no da ninguna de las protecciones que ofrece la red TOR.

"Apple nunca trabajó con la NSA para troyanizar iPhone"

En la pasada presentación de Jacob Applebaum en el 30th CCC se apuntó al trabajo de la NSA para crear un troyano que permitiera espiar remotamente a los usuarios de los terminales iPhone. Este proyecto aparecía en un documento del año 2008 calificado como Top Secret y liberado entre los documentos filtrados por Edward Snowden. En su presentación, Jacob Applebaum dijo que no tenía pruebas de que Apple hubiera colaborado con la NSA para construirlo, pero que difícilmente hubieran podido hacerlo sin la connivencia de Apple.

Figura 1: Proyecto DropOutJeep para troyanizar iPhone

Apple reacción rápidamente, y en AllthigsD se ha publicado una respuesta de Apple a las sospechas de que pudiera haber trabajado con la NSA para habilitar dicho proyecto. Esta es la nota que han publicado con la respuesta de la compañía:

"Apple has never worked with the NSA to create a backdoor in any of our products, including iPhone. Additionally, we have been unaware of this alleged NSA program targeting our products. We care deeply about our customers’ privacy and security. Our team is continuously working to make our products even more secure, and we make it easy for customers to keep their software up to date with the latest advancements. Whenever we hear about attempts to undermine Apple’s industry-leading security, we thoroughly investigate and take appropriate steps to protect our customers. We will continue to use our resources to stay ahead of malicious hackers and defend our customers from security attacks, regardless of who’s behind them."

"Apple nunca ha trabajado con al aNSA para crear una puerta trasera en ninguno de los productos, incluyendo iPhone. Adicionalmente, nosotros desconocíamos la existencia de este supuesto programa de la NSA que tiene como objetivo nuestros productos. Nosotros nos preocupamos profundamente por la privacidad y seguridad de nuestros clientes. Nuestro equipo está continuamente trabajando para hacer nuestros productos incluso más seguros, y hacemos que sea fácil para nuestros clientes mantener el software actualizado con los últimos avances. Cada ver que escuchamos intentos de debilitar la puntera seguridad seguridad de Apple, investigamos de forma completa y tomamos los pasos necesarios para proteger a nuestros clientes. Continuaremos utilizando todos nuestros recursos para estar un paso por delante de hackers maliciosos y defender a nuestros clientes contra los ataques de seguridad, sin importar quién esté detrás de ellos"

En el tono de la contestación se trasluce un tono de enfado ya con todas las informaciones acaecidas con las actividades de la NSA, algo que es común con el resto de las empresas tecnológicas Norte Americanas que firmaron una carta enviada al gobierno pidiendo cambios en las prácticas de la agencia de investigación.

Proteger e Infectar por Jacob Applebaum: NSA & iPhones

Jacob Applebaum

Durante los últimos días del año tiene lugar en Hamburgo el congreso de seguridad informática y hacking más importante de Europa, y uno de los más importantes del mundo. El Chaos Communications Congress recoge un conjunto de charlas que siempre son absolutamente rompedoras en cuanto a contenido y ponentes, y este año no está defraudando.

Entre ellas, queremos destacar la charla de Jacob Applebaum, conocido hacker con un historial más que destacable en el mundo del hacking y el hacktivismo, por sus trabajos con Julian Assange en Wikileaks, su empleo en GreenPeace y sus trabajos con herramientas de seguridad como vilefault - para descifrar FileVault de Apple - o su participación en la creación del proyecto TOR.

Este año, la charla de Jacob Applebaum ha estado centrada en las revelaciones de un documento de 2008 filtrado por Edward Snowden en las que se explica cómo la NSA tenía un software de espionaje creado para terminales iPhone llamado DROPOUTJEEP y que cuenta con capacidades para interceptar SMS, activar el micrófono, calcular la posición de las personas por triangulación de antenas GSM y tener controlada a la persona en todo momento.

Figura 1: Documento Top Secret de la NSA sobre DROPOUTJEEP

La charla de Jacob Applebaum esta disponible para ver online, y en ella se puede ver cómo explica que su creencia es que ese tipo de spyware no puede instalarse sin la complicidad de Apple, pero por supuesto afirma que no tiene pruebas de ello.

Figura 2: Charla de Jacob Applebaum sobre el spyware en iPhone de la NSA

Puedes ver ya todas las conferencias que se han impartido en el CCC de este año en la siguiente lista de Youtube, donde hay charlas sobre cómo funcionan los lásers en el espacio, nuevas técnicas de fraude online y el robo bancario, o un montón de nuevos pensamientos que seguro que estimulan tu cerebro. Selecciona alguna, y asiste virtualmente al congreso.

Malware para Mac OS X y exploits del CVE-2009-0563

En el blog Contagio, donde habitualmente hacen recopilaciones de muestras de malware, han recopilado 75 muestras de malware distintas para sistemas Mac OS X y 25 muestras de exploits para el CVE-2009-0563 que se ha utilizado en esquemas de ataque basados en documentos Office para Mac. El paquete está disponible para descarga desde el blog de Contagio. donde se puede acceder a todas las muestras que van recopilando de malware para OS X o a paquetes antiguos de malware para Mac OS.

Entre las piezas de malware que han recopilado están:

OSX_AoboKeylogger, OSX_BackTrack-A, OSX_Boonana, OSX_ChatZum, OSX_Clapzok, OSX_Crisis, OSX_Dockster_Backdoor, OSX_FkCodec, OSX_Flashback, OSX_Fucobha_IceFog , OSX_GetShell, OSX_Hacktool_Hoylecann, OSX_HellRaiser, OSX_HellRTS, OSX_Hovdy_Backdoor, OSX_Inqtana, OSX_Iservice, OSX_Jahlav, OSX_Kitmos, OSX_Lamadai, OSX_Leverage_A_Backdoor, OSX_LocalRoot, OSX_Macarena_A, OSX_MacDefender, OSX_MacKontrol, OSX_Macsweeper, OSX_Miner_DevilRobber, OSX_Olyx_Backdoor, OSX_OpinionSpy, OSX_PSides, OSX_Genieo, OSX_PUP_PerfectKeylog, OSX_Renepo, OSX_Revir, OSX_Safari, OSX_SniperSpy, OSX_Wirenet, OSX_Yontoo y OSXWeapoX

Como podéis ver, muchas de estas muestras de malware ya han pasado por las páginas de nuestro blog, y otras lo han hecho con otros nombres, que ya sabéis que cada empresa de antimalware utiliza su propia nomenclatura. En cualquier caso, si eres investigador es una buena fuente de estudio y si eres usuario de Mac OS X, ya sabes que sí, sí hay malware para Mac OS X - incluso si un iGenius te dice que no en una Apple Store -.

Nueva mutación del malware OSX/Crisis descubierta

Últimamente el mundo de la informática se mueve en un entorno conspiratorio en el que nadie se fía de nadie. Asuntos como el de la NSA y PRISM alertan al gran público sobre si Internet es un Big Brother de los gobiernos. La gente de Apple no se queda al margen de estas sospechas y un nuevo sistema de control remoto, Spyware Hacking Team, aterrizó en Virus Total con una tasa de detección de 0 de 47 escáneres, aunque ahora ya lo detecta alguno.

Figura 1: Actualmente esta nueva mutación es reconocida por un antimalware

Intego descubrió este malware que se instala de manera silenciosa y funciona sobre Mac OS X Snow Leopard 10.6.x y Mac OS X Lion 10.7 . En función de si el malware se instala en una cuenta con permisos de administrador realizará unas acciones u otras. Por ejemplo, si se instala como administrador, ejecutará un rootkit para ocultarse. En cualquier caso, se crean una serie de archivos, el cual especificamos más adelante, los cuales utilizarán para llevar a cabo sus tareas.

Figura 2: Estructura de infección multiplataforma del malware Crisis

Este malware fue bautizado anteriorementecomo OSX/Crisis, y fue utilizado algunos gobiernos en ataques dirigidos. El malware - totalmente multiplataforma - es capaz de recoger audio, imágenes, capturas de pantalla, pulsaciones de teclado y realizar un informe jugoso para el atacante el cual es enviado a un servidor remoto y se hizo popular por poder infectar máquinas virtuales y terminales móviles. Se sabe que se distribuye a través de kits de explotación en el mercado negro.

En el código de OS X/Crisis.A se encuentra una sección dedicada que que hace llamadas de bajo nivel (o al sistema) para desplegar el malware, una backdoor y su configuración cifrada.

Figura 3: Ingeniería Inversa del Malware

Para evitar la detección de antivirus el backdoor se encuentra ofuscado con un packer denominado MPress. Se puede utilizar un debugger como GDB o un framework como Volatility para volcar los binarios desempaquetados. Completar el análisis está siendo algo complejo, pero ya hay extractos en Internet del archivo de configuración descifrados.

Figura 4: Extracto de archivo de configuración descifrado

Como se puede visualizar en la imagen anterior, las máquinas infectadas tienen razones para comunicarse con la dirección IP 176.58.121.242. Si como usuario de OS X sospechas que puedes estar infectado por este tipo de malware, te recomendamos que vigiles la existencia de estos archivos en tu sistema:

• Library/LaunchAgents/com.apple.UIServerLogin.plist
• Library/Preferences/2Md1ctl2/0T4Nn2U0.tze
• Library/Preferences/2Md1ctl2/5KusPre5.vAl
• Library/Preferences/2Md1ctl2/Contents/Info.plist
• Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/Info.plist
• Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/MacOS/9uW_anE9.cIL
• Library/Preferences/2Md1ctl2/hFSGY5ih.rfU
• Library/Preferences/2Md1ctl2/q45tyh
• Library/Preferences/2Md1ctl2/WaAvsmZW.EMb
• Library/Scripting Additions/UIServerEvents/Contents/Info.plist
• Library/Scripting Additions/UIServerEvents/Contents/MacOS/0T4Nn2U0.tze
• Library/Scripting Additions/UIServerEvents/Contents/Resources/UIServerEvents.r

Recuerda que lo mejor para evitar es este tipo de amenazas es realizar un control preventivo del software de tu equipo Mac OS X, además de tomar hábitos seguros de utilización de tu sistema en Internet.