Google Play elimina 32 apps maliciosas de efectos retardados

 

Google ha eliminado de su centro oficial de descargas para dispositivos Android, Google Play, 32 aplicaciones infectadas por el virus BadNews, según recoge la Oficina de Seguridad del Internauta en su web.

De todas las apps contaminadas, el 50% estaban configuradas en ruso, aunque no se descarta que alguna de las programadas en inglés pueda haber afectado a usuarios españoles. La lista completa está aquí.

Entre otras cosas BadNews es capaz de mandar mensajes con noticias falsas y engañar a los usuarios para que instalen otras aplicaciones infectadas, así como enviar datos confidenciales como su número de teléfono o el ID del dispositivo a su servidor central. También utiliza AlphaSMS, uno de los malware de mensajes de texto más conocidos.

Según estadísticas de Google Play, las aplicaciones infectadas registraron entre dos y nueve millones de descargas. Además de eliminarlas, Google ha cancelado las cuentas de los desarrolladores involucrados a la espera de más información.

BadNews: un virus de efectos retardados

BadNews ha supuesto un antes y un después en el avance del malware móvil. Como explica Lookout Security desde su blog oficial, el virus aprovecha que incluso los procesos de filtrado de apps más perfeccionados suelen concluir que una aplicación no es maliciosa si no incurre en comportamiento malicioso antes de ser analizada.

En cambio, los creadores de BadNews lograron burlar los filtros de seguridad de Google Play programando las aplicaciones infectadas para que no actuasen hasta tiempo después de que los usuarios las hubiesen instalado en sus dispositivos.

BadNews ha alcanzado precisamente una distribución tan amplia gracias a la idea de emplear un servidor que retrasara sus efectos. Utilizaba como tapadera una red de publicidad que se encargaba de introducir el malware en los dispositivos infectados tiempo después de que la app fuese analizada.

Los creadores del antivirus Lookout piensan que, a partir de ahora, los desarrolladores y responsables de seguridad deberán, por un lado, prestar más atención a las librerías de código de terceros que incluyan en sus aplicaciones para que no estén infectadas, y, por otro, diseñar procesos de filtrado de aplicaciones que realicen sobre estas un seguimiento continuado, capaz de detectar un comportamiento malicioso en cualquier momento.

Fuente | ticbeat

Heurística antivirus y la detección proactiva de amenazas

 
Desde el Laboratorio de ESET Latinoamérica hemos actualizado el documento Heurística Antivirus: detección proactiva de malware. El objetivo es ampliar la información y simplificar su entendimiento.

Para aquellos que desconocen qué es la heurística, se trata de una tecnología diseñada para detectar códigos maliciosos de forma proactiva, es decir, sin la necesidad de contar con una firma específica. En esta línea, la solución de seguridad analiza un archivo y compara su comportamiento con ciertos patrones que podrían indicar la presencia de una amenaza. A cada acción que realiza el fichero se le asigna un puntaje, por lo tanto, si ese número es superior a un determinado valor, se clasifica como probable nuevo malware. La importancia de este método de detección proactiva radica en la cantidad de códigos maliciosos que aparecen todos los días. Esto imposibilita emplear firmas como una solución única y efectiva para esta problemática. A continuación se expone un esquema que muestra las etapas necesarias para detectar una amenaza a partir de su creación. Se compara tanto la heurística como las firmas (hacer clic para ampliar imagen):

Esquema heurística

Tal como puede observarse en el esquema anterior, la detección mediante heurística protege al usuario antes de que la amenaza aparezca, por lo tanto, reduce el tiempo necesario para proteger a las potenciales víctimas a cero. Por otro lado, las firmas requieren de un lapso considerablemente mayor. Primero es necesario recibir la muestra, luego desarrollar una detección, subirla al servidor, y esperar hasta que la computadora del usuario se actualice con la nueva base de datos. Ese “período ventana” varía de acuerdo a factores como la complejidad del malware, el tiempo tardado en recibir la muestra, y el lapso transcurrido entre que se publica la actualización y es instalada en la computadora del usuario. Considerando los aspectos mencionados anteriormente se podría deducir (erróneamente) que la heurística es suficiente por sí sola, sin embargo, el uso de firmas también se hace necesario por algunos motivos:

  • Las firmas permiten detectar códigos maliciosos de modo mucho más específico, por esta razón, son más eficientes para remover amenazas complejas previamente conocidas.
  • Debido a numerosas técnicas empleadas por los cibercriminales para ofuscar malware y evadir métodos heurísticos, en algunos casos es necesario contar con firmas específicas.
  • Aunque una amenaza sea detectada por heurística, agregar una firma concreta permite ahorrar recursos del sistema al momento de analizar archivos.

En el post Heurística o firmas, ¿cuál usar? es posible encontrar más motivos que hacen necesaria la complementación entre heurística y firmas. Asimismo existen distintos tipos de heurística. Por ejemplo, las firmas genéricas están diseñadas para detectar modificaciones menores (variantes) de otros códigos maliciosos conocidos (familias). En este punto es importante destacar que las soluciones de ESET emplean varios tipos de heurística y firmas para optimizar la detección de amenazas. Para los interesados en profundizar sobre este tema los invitamos a descargar el documento actualizado de Heurística Antivirus: detección proactiva de malware.

Fuente |  blogs.eset-la

La firma digital y el antivirus

 
 
Cada vez se insiste más en el uso de la firma digital en numerosas transacciones por Internet. ¿Declaración de la renta? Hagámosla por Internet, con nuestro DNI electrónico (que no deja de ser nuestra firma digital). ¿Enviamos un correo electrónico? Firmémoslo digitalmente, que así tenemos garantías de confidencialidad, integridad y no repudio.

Si firmamos digitalmente un mensaje, hay que tener en cuenta por dónde pasa. Y el primer sitio por el que va a pasar es un sistema antivirus, con toda probabilidad. ¿Y en qué afecta eso a mi mensaje? Veámoslo.

Cuando se añade la firma digital a un correo electrónico, estamos haciendo un par de cosas (bueno, son más, pero para este caso, dos) muy importantes. Una, asegurar que el emisor del mensaje es quien dice realmente que es. Si recibimos un mensaje con firma electrónica, no tendremos la más mínima duda de que el que escribió el mensaje es el que nos lo ha mandado, que para eso se inventó la firma a bolígrafo, estamos dando carta de autenticidad a nuestro envío.

eset_nod32_firmadigital

 
Pero es que además, con la firma estamos asegurando que el contenido del mensaje es el que realmente queremos enviar. Si algún atacante intercepta el mensaje y lo modifica, la firma queda invalidada, y así podremos rechazar el mensaje porque ha sido manipulado. Aunque sea una simple palabra, una coma, ¡un solo bit! Cualquier cambio será detectado.

Pero claro, si un usuario manda un mensaje que pudiera incluir un virus y firma digitalmente el mensaje, está haciendo dos cosas: por un lado, está certificando que ha mandado un virus, y eso no queda muy bien hoy en día. Y segundo, el antivirus del receptor del mensaje eliminará el código malicioso encontrado, haciendo que la firma quede invalidada. Recordemos que si alguien (aunque sea un estupendo antivirus como los de ESET NOD32) modifica el mensaje, la firma digital no sirve y el mensaje será rechazado.

Si somos un usuario preocupado por la seguridad, o si nuestra empresa tiene un sistema de firma digital, tenemos que incorporar un sistema antivirus que no nos la líe cuando mandemos un mensaje, ya que nuestra imagen podría quedar por los suelos.

Fuente | blogs.protegerse

Antivirus, sin defensa a ciberataques

El reciente ataque de hackers chinos al NYTimes reveló la debilidad de los mecanismos de defensa; los expertos sugieren usar tecnología que vigile de cerca lo que sucede en las redes internas.

Durante un largo ciberataque de cuatro meses perpetrado por hackers chinos contra el New York Times, el software antivirus de la compañía no detectó 44 de las 45 piezas de malware instaladas por los atacantes en la red.

Esa es una impresionante llamada de atención para las personas y empresas que piensan que están plenamente protegidas por su software antivirus.

“Incluso la versión más moderna del software antivirus no da a los consumidores o las empresas lo que necesitan para competir en el mundo hacker,” advirtió Dave Aitel, CEO de la consultora de seguridad Immunity. “No es tan eficaz como debe ser.”

El diario New York Times dijo que tenía un sistema antivirus de Symantec instalado en los dispositivos conectados a su red. Los hackers chinos construyeron un malware a medida para, entre otras cosas, recuperar los nombres de usuario y contraseñas de los reporteros del Times. Dado que el nuevo malware no estaba en la lista de Symantec de software prohibido, la mayoría pudo pasar sin ser detectado.

Symantec respondió que ofrece soluciones más avanzadas que la que emplea el New York Times. “Los ataques avanzados como los que describió el New York Times destacan lo importante que es para las empresas, los países y los consumidores asegurarse de que están utilizando al completo la capacidad de soluciones de seguridad,” declaró la compañía en un comunicado. “El software antivirus por sí solo no es suficiente.”

El dato duro es que ninguna solución única puede prevenir todas las ciberamenazas. Los ataques sofisticados en las redes eluden de forma rutinaria los sistemas de seguridad, sin importar cuán sólidos sean o aseguren ser.

“Las soluciones disponibles en el mercado están al alcance de todo el mundo,” explica Rohit Sethi, director de desarrollo de productos en la empresa de seguridad SD Elements. “No resulta difícil para los atacantes aprender a evadir la detección, y están ideando maneras ingeniosas de hacer precisamente eso.”

La solución, según dicen los expertos en seguridad, es emplear tecnología que vigile muy, muy de cerca lo que está sucediendo dentro de tu red. No siempre se puede evitar que los atacantes entren, pero al menos puedes establecer mecanismos de alarma para que te avisen cuando suceda.

En el caso del New York Times, la empresa sospechaba que podía ser atacada debido a la investigación que realizaba sobre las finanzas de la familia del primer ministro chino Wen Jiabao. Pidió a AT&T que monitoreara su red. AT&T rápidamente detectó señales sospechosas. Dos semanas más tarde, cuando el alcance de la infiltración se hizo evidente, el Times contrató a la consultora en seguridad Mandiant para rastrear los movimientos de los atacantes a través de sus sistemas.

“Los atacantes ya no van contra nuestro firewall,” dijo Michael Higgins, jefe de seguridad del Times, a la periodista del rotativo Nicole Perlroth. “Van por los individuos. Envían una pieza de código malicioso a tu cuenta de correo electrónico, lo abres y los dejas entrar.”

Ante esa situación, lo mejor que pueden hacer las empresas es rastrear lo que los atacantes están haciendo.

“La pregunta que siempre preguntamos a nuestros clientes es, ‘¿Conoces cada programa que se ejecuta en tu red?'” comenta Aitel de Immunity. “Cuando sabes la respuesta a esa pregunta, no necesitas software antivirus. Cuando no, estás en problemas.”

Los expertos dicen que sigue siendo conveniente y esencial tener un antivirus. Tener una solución antivirus es como colocar una barra antirrobo en el volante de tu coche, no detendrá al ladrón, pero hará que robar tus cosas sea más difícil.

El fabricante de software antivirus Avast, cuyo antivirus gratuito es uno de los más utilizados, dice que hay una distinción importante entre los tipos de amenazas que a diario enfrentan los usuarios de la Web y el ataque cuidadosamente dirigido contra el Times.

“Los cinturones de seguridad y las bolsas de aire son una estupenda protección y mejoran la seguridad de millones de personas, pero no detendrán la bala de, digamos, un asesino a sueldo,” sostiene Jindrich Kubec, director de información sobre amenazas en Avast. “¿Significa eso que dejarás de usar bolsas de aire y cinturones de seguridad?”

Algunas de las soluciones antivirus son mejores que otras. En un estudio reciente, Immunity simuló ataques contra redes protegidas por el software más puntero de Symantec, Kaspersky Labs y McAfee, la división de seguridad de Intel.

Immunity fue capaz de penetrar en los sistemas protegidos por Kaspersky y McAfee en dos días. Symantec fue el mejor producto, Immunity no pudo penetrar en los días de plazo que se fijó para lograr la tarea.

“El nuevo software funciona hasta cierto punto,” dijo Aitel, en referencia a los sistemas que procuran contextualizar las amenazas que detectan. “Pero en el fondo, nada es tan bueno como estar plenamente consciente de lo que está pasando en tu red”.

Fuente: cnnexpansion

Cómo saber si los procesos que se están ejecutando en nuestro PC son virus o no

 
ProcessLibrary Home Logo

Para saber si los procesos que se están ejecutando son virus o no, recurriremos a una Base o biblioteca de procesos cómo ProcessLibrary y buscar los que se están ejecutando.

ProcessLibrary.com
La única e indispensable base de datos de listado de procesos desde 2004 que cuenta en la actualidad con 140.000 procesos y 55.000 DLL.

En el interior de cada ordenador, innumerables procesos se ejecutan silenciosamente en segundo plano. Algunos acaparan los recursos del sistema, ralentizando drásticamente los equipos, otros son un paraíso para spyware y troyanos, violando la privacidad y ofreciendo a los hackers acceso libre a sistemas comprometidos.

ProcessLibrary.com sigue ofreciendo a los usuarios su propio programa ProcessQuickLink que se instala como un complemento en el Administrador de tareas de Windows. Este programa ofrece a los usuarios un botón de información junto a cada proceso que se ejecuta en su equipo. El botón activa un vínculo directo a ProcessLibrary.com y ofrece información relevante, específica del proceso, instantáneamente en una nueva ventana del explorador.

Con esta combinación de teclas accedemos al administrador de Tareas (Ctrl+Alt+Supr Del)

Una vez que hayas instalado ProcessQuickLink, accede al Administrador de tareas. Junto a cada proceso encontrarás un botón *.
Ofrece un modo sencillo de analizar todos los procesos que se ejecutan en el PC. ¿Se trata de un acaparador de recursos? ¿Podría ser parte de una infección de un virus? ¿O quizá un indicio de spyware?

Una vez detectado el virus, cerramos el proceso y con  nuestro Antivirus, Antimalware, lo eliminamos del PC.

Descarga:  ProcessQuicklink