Un nuevo malware está atacando al sistema operativo de Google, concretamente a aquellos terminales que corren versiones modificadas al gusto de sus usuarios. El gusano, apodado jSMSHider, se sirve de una clave disponible en el Android Open Source Project para instalar apps de carga de forma solapada.

Una vez en nuestro teléfono, el código infectado se comunica con un servidor externo al que puede enviar y recibir mensajes SMS libremente. No sólo eso, también instalar otras aplicaciones o cargar enlaces web sin notificación alguna de por medio.

Si bien la instalación irregular de aplicaciones no ha afectado a la totalidad de usuarios potencialmente infectables, el envío irregular de SMS y la excesiva independencia del navegador web parecen ser síntomas comunes.

Electronista.com no refiere a firmwares específicos en riesgo, aunque se sabe a ciencia cierta que las antiguas versiones de CyanogenMod lo están, algo que debería poder corregirse actualizando a CyanogenMod 7.

Todas las apps fraudulentas provienen de stores asiáticas que operan fuera del Android Market y por tanto del control de Google.

Ataques de este tipo ponen en duda la fiabilidad y seguridad de las ROM de usuario, si bien todos quienes las instalan son conscientes de que lo hacen a su propia cuenta y riesgo. El impacto de este malware sobre terminales no modificados, por tanto, es nulo.

Stuxnet, el gusano informático que tantos quebraderos de cabeza ha traído en Irán, ha sido anunciado por uno de los activista de Anonymous, asegurando que tienen el código. Como recuerdan, Stuxnet fue diseñado para hackear el programa nuclear iraní, un virus informático capaz de sabotear aquellas plantas donde se realizaba el procesamiento de uranio en la centrar que se encuentra en Bushehr, Irán. Bajo el nick de Topiary, uno de los activistas de Anonymous, declaró en Twitter el siguiente mensaje: “Anonymous se encuentra en posesión de Stuxnet, ¿algún problema?”

Afirman haber conseguido el código fuente durante la serie de ataques dirigidos a la firma de seguridad HBGary. Al cabo de un rato, otra cuenta en Twitter del grupo publicó lo que parecía ser una parte de descompilado de Stuxnet. La pregunta ahora es: ¿qué pueden hacer con el gusano? ¿podrían llevar a cabo algún ataque con el virus?

La magnitud de Stuxnet, tal y como se ha estado estudiando desde su aparición, es compleja y muy peligrosa. El gusano se transmitió en sus inicios a través de un programa de la multinacional alemana Siemens en el mes de septiembre, pasando a los ordenadores que hacían funcionar las centrifugadoras de uranio en la central de Irán, y aunque actualmente se trabaja en sistemas operativos para evitar un posible ataque con el gusano, sigue siendo a día de hoy un arma demasiado sofisticada para lanzarla a la ligera. Aún hoy, no se sabe con exactitud el origen de Stuxnet, aunque se apunta una posible alianza entre Israel y Estados Unidos.

Aunque Anonymous se encuentre en posesión de Stuxnet, es difícil pensar que puedan llegar a realizar un ataque con él. Algunos expertos en seguridad se muestran escépticos ante el mensaje de Anonymous, declarando que aunque posean el binario y su desmontaje, no tienen la fuente original para desarrollarlo. Otros como Orla Cox, analista de seguridad de Symantec, decían al respecto para The Guardian que: “Podría ser posible, aunque se necesitaría mucho trabajo, ciertamente no es algo trivial”. Y es que se habla de un arma que podría desencadenar un “nuevo Chernobyl” como apuntaba el embajador de la OTAN ruso. En cualquier caso, Irán podría encontrarse en estos momentos como uno de los posibles objetivos después de que el grupo de activistas señalara la semana pasada su intención de atacar webs del gobierno en apoyo de las manifestaciones previstas en Teherán.

En la conferencia para hackers ShmooCon el experto en materia de seguridad Jon Larimer del equipo X-Force de IBM demostró que Linux está lejos de ser inmune a ataques que provienen de dispositivos USB.

Durante su presentación el experto obtuvo acceso a un sistema Linux protegido haciendo uso de un dispositivo USB especialmente preparado para la ocasión, aprovechando una técnica que permite a muchas de las distribuciones actuales reconocer y montar los dispositivos de almacenamiento USB de forma automática y transparente para el usuario, para luego mostrar el contenido de la llave USB en el explorador de ficheros, por ejemplo Nautilus en GNOME.

Cuando Nautilus trata de generar las miniaturas para los ficheros contenidos en el dispositivo USB, este explorador fue engañado por un fichero DVI específicamente destinado a esa tarea que se encargaba de activar el exploit. El agujero de seguridad estaba presente en el visor de documentos evince y se conocía desde enero, y se utilizó dicha vulnerabilidad para demostrar los peligros de este tipo de escenarios.

Larimer también deshabilitó durante la demostración dos medidas de seguridad habituales en distros Linux: el ASLR (Address Space Layout Randomisation) y AppArmor, indicando formas en las que potenciales cibercriminales podrían superar esos obstáculos.

Así pues, parece que los ataques a sistemas operativos a través de llaves (u otros dispositivos de almacenamiento externo) USB no están limitados solo a Windows, aunque los grandes ejemplos de estos ataques (Conficker y Stuxnet fueron los más preocupantes) se centraran en la plataforma de Microsoft.

BitDefender identificó una nueva amenaza que combina el comportamiento destructivo de un virus con el mecanismo de difusión de un gusano. Hay dos nuevas variantes de este virus, el cual ingresa a la computadora como una inofensiva prueba de IQ.

Una vez ejecutada el gusano crea entre siete y nueve copias de si mismo dependiendo de la variante en areas críticas del sistema Windows.

Win32.Worm.Zimuse.A es un peligroso código malicioso. A diferencia del gusano, Win32.Worm.Zimuse. A puede llevar a perder data porque sobreescribe los primeros  50 KB del Master Boot Record que es una zona importante del disco duro. Continua leyendo »

Como habíamos posteado anteriormente existe una vulnerabilidad para los iPhones que han sido desbloqueados (jailbreak) que se exponen a un ataque por medio del OpenSSH porque tiene un password por defecto “alpine”.

Según Sophos, el atacante instala dos scripts. El primero se ejecuta cuando el dispositivo se inicia, el segundo envía mensajes a un servidor en Lituania. Se sabe que muchos iPhones  y iPods han sido infectados y se espera que el botmaster mande las órdenes a los esclavos. Continua leyendo »

En los últimos días ha sido publicada, por innumerable cantidad de medios, la noticia de una nueva variante de Conficker, que se “activo hoy 1 de abril”. Hemos recibido gran cantidad de consultas de usuarios preocupados por lo que pudiera pasar a partir de este día (curiosamente el día de los inocentes en Estados Unidos). Continua leyendo »