Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Tapjacking: superposiciones overlay y otros engaños en Android
Existen ataques que permiten esconder las actividades maliciosas para descargar amenazas o cambiar la configuración del sistema. Se conocen como Tapjacking. La superposición de actividades ha sido y es una de las técnicas más utilizadas por los ciberdelincuentes para el robo de credenciales en Android. Simplificándolo bastante, el overlay es una técnica que permite superponer pantallas preparadas por los delincuentes encima de la aplicación de banca online que tiene el usuario instalada
Overlay o superposición de pantallas
- Una de las técnicas favoritas de los troyanos bancarios para Android
La superposición de actividades ha sido y es una de las técnicas más utilizadas por los ciberdelincuentes para el robo de credenciales en Android. En este esquema, el malware monitorea constantemente el nombre del paquete de la actividad que actualmente está siendo desplegada al usuario, hasta que éste coincida con el nombre del paquete de la aplicación objetivo. Entonces, despliega un diálogo propio con la estética de la aplicación legítima, peticionando las credenciales al usuario.
Cómo funciona la técnica del overlay
Simplificándolo bastante, el overlay es una técnica que permite superponer pantallas preparadas por los delincuentes encima de la aplicación de banca online que tiene el usuario instalada. De esta forma, cada vez que una víctima intenta acceder a su aplicación de banca online, el malware que tiene instalado mostrará pantallas solicitando los datos de acceso y otra información relacionada con su cuenta para así robarla conforme la víctima la introduzca.
Detectar la existencia de códigos maliciosos sobre el sistema operativo Android resulta un proceso complicado gracias a una combinación de diferentes factores. Los componentes y permisos definidos en las interfaces del sistema pueden ser igualitariamente utilizados con fines legítimos o maliciosos. Es decir, nos es imposible tomar una larga lista de permisos a aceptar como referente inexorable de comportamiento malintencionado.
A través de algo tan sencillo como la superposición de componentes de desarrollo y algún que otro permiso, los cibercriminales pueden robar datos privados o ganar el control remoto del sistema. Aún más, existe una variante de tipo de ataques que permite al cibercriminal esconder sus actividades para así descargar otras amenazas o cambiar la configuración del sistema, lo que conocemos como tapjacking.
Las superposiciones no son algo nuevo en seguridad. En realidad, el "Cloak & Dagger" que se basa en estas técnicas todavía se considera como uno de los ataques más populares que afectaron al sistema operativo Android. Pero esto es solo la punta del iceberg, ya que las superposiciones son utilizadas por varios tipos de malware, incluidos troyanos bancarios, software espía, escalamiento de privilegios, fraudes publicitarios o incluso ransomware.
Si bien la experiencia hasta ahora mostró lo contrario, la capacidad de una aplicación para dibujar sobre otras, todavía no se considera peligrosa. Después de todo, las vulnerabilidades que "jugaban" con la interfaz de usuario siempre se consideraron como frutas fáciles de alcanzar. Para el usuario promedio, esta habilidad parece ser totalmente inofensiva, por lo que permitir que una aplicación pueda superponerse con solo un clic de distancia.
Secuestrando los "toques" del usuario
El tapjacking consiste en la captura de los toques que el usuario da sobre la pantalla al mostrar dos actividades superpuestas. De esta manera, el usuario cree que realiza toques sobre la actividad que está viendo, mientras éstos están siendo verdaderamente desviados a la actividad subyacente, que permanece oculta a su vista.
Las consecuencias de estos ataques pueden generar verdaderos estragos. A través de este mecanismo, un atacante puede distribuir oficialmente una aplicación popular que peticione pocos permisos, como puede ser un juego de moda, y forzar por detrás la instalación de otras aplicaciones que de otra manera terminarían despertando la desconfianza del usuario debido a la larga lista de permisos requeridos. Todo esto, bajo el desconocimiento de quien está utilizando el terminal.
Este tipo de debilidades en la interacción entre aplicaciones puede terminar con la realización de cambios en la configuración del sistema, de acciones en nombre del usuario en aplicaciones previamente instaladas, o con la descarga e instalación de otras amenazas informáticas desde diversas fuentes, ya sea desde internet o desde la misma Play Store.
Incluso, este tipo de actividades de alerta del sistema que se mantienen siempre sobre otras puede terminar siendo utilizadas para la producción de ransomware.
La superposición de actividades ha sido y es una de las técnicas más utilizadas por los ciberdelincuentes para el robo de credenciales en Android. En este esquema, el malware monitorea constantemente el nombre del paquete de la actividad que actualmente está siendo desplegada al usuario, hasta que éste coincida con el nombre del paquete de la aplicación objetivo. Entonces, despliega un diálogo propio con la estética de la aplicación legítima, peticionando las credenciales al usuario.
Al desencadenar el comportamiento malicioso sólo cuando el usuario ha voluntariamente iniciado la app genuina, el atacante logra reducir las sospechas, consiguiendo que el usuario brinde voluntariamente sus credenciales crediticias.
Malware Android camuflado de actualización del sistema
Aunque la aplicación «System Update» nunca se ha distribuido a través de la tienda oficial de Google Play, la investigación destaca una vez más cómo las tiendas de aplicaciones de terceros pueden albergar malware peligroso. La identidad de los autores de este malware y el objetivo o motivo final de la campaña aún no están claros.
El malware se disfraza de una notificación de actualización de sistema, y cuando pulses sobre ella se intentará instalar en tu móvil. Si cometes el error de picar en el cebo e instalarla, tomará el control de tu móvil y podrá acceder a una gran cantidad de datos y de cosas que haces con él.
Se te va a mostrar en las notificaciones un mensaje que te dice System Update (actualización de sistema, y te dice que se están buscando actualizaciones. Si pulsas sobre la notificación, se te llevará a una tienda de apps de terceros para que te descargues su archivo APK para instalar la app, prometiéndote que te ayudará a tener el móvil siempre actualizado.
Esta es la lista de todo lo que podrá hacer este malware una vez lo hayas instalado infectando tu dispositivo Android:
- Puede hacer grabaciones de audio.
- Puede grabar tus conversaciones telefónicas.
- Puede usar tu cámara frontal o trasera para sacar fotos periódicamente.
- Puede leer y robar tus mensajes de mensajería instantáneo.
- Puede robar tus mensajes SMS.
- Si tienes root, puede robar archivos de la base de datos de tus apps de mensajería instantánea.
- Puede robar las fotos y los vídeos que tienes en el móvil.
- Puede leer los marcadores de tu navegador por defecto y su historial de búsquedas. También los de Chrome, Firefox, o el navegador de Samsung.
- Puede buscar dentro de tu móvil archivos con extensiones específicas, como pdf, doc, docx, xls o xlsx, para poder acceder a ellos y su contenido.
- Puede inspeccionar lo que tienes en el portapapeles de tu móvil.
- Puede leer el contenido de tus notificaciones.
- Puede ver la lista de tus apps instaladas.
- Puede monitorizar tu ubicación GPS.
- Puede leer y robar tus contactos telefónicos.
- Puede leer y robar tu lista de llamadas.
- Puede extraer información sobre tu móvil, como su nombre, tus apps, o tus estadísticas de almacenamiento.
- Puede ocultar su presencia en el dispositivo, escondiendo su icono de menús y del cajón de aplicaciones.
Fuentes:
https://unaaldia.hispasec.com/2021/03/malware-android-disfrazado-de-actualizacion-del-sistema.html
https://blog.segu-info.com.ar/2021/03/tapjacking-y-otros-enganos-en-android.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.