Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
11, junho, 2014

As senhas dos hackers são mais fortes do que as dos usuários comuns?

Os hackers utilizam senhas fracas como nós.

librarian_dict_smQuase duas mil de senhas utilizadas por hackers vazaram esta semana, quando Antonín Hýža da AVAST estava decodificando strings PHP sem saber a chave de criptografia. Por não saber o conteúdo exato do arquivo criptografado e procurar a chave poderia levar anos, Antonín escolheu uma abordagem diferente. Ele decidiu saber quão fortes eram as senhas utilizadas pelos hackers e criou um dicionário. :)

Ao longo dos anos lutando contra malwares, o Laboratório de Vírus do avast! coletou muitas amostras de vários back-doors, bots e shells. Alguns deles são protegidos por uma senha codificada em MD5, SHA1 ou em texto comum, e por aí ele começou. Ele estudou as 40.000 amostras de senhas de hackers e encontrou quase 2.000 que eram únicas e 1.255 delas eram textos simples. Outras 346 senhas foram facilmente quebradas a partir dos códigos MD5, porque eram menores do que 9 caracteres. Isto lhe deu um total de 1.601 senhas e 300 hashes. Ele estudou as estatísticas destas palavras e encontrou o seguinte:

1Senhas que ninguém irá imaginar
Porcentagem de caracteres utilizadas nas senhas dos hackers
Cerca de 10% das senhas estavam além da capacidade normal de adivinhação ou cracking. Dentro destas, Antonín descobriu palavras muito longas de até 75 caracteres, provavelmente geradas por um computador. Algumas delas em longas frases misturadas com caracteres especiais como, por exemplo, lol dont try cracking 12 char+. Fácil porém pois foi armazenada como texto simples. ;)

Também havia senhas que não utilizavam caracteres dos teclados em inglês. Mas ainda havia 90% de chances de ser uma palavra normal, talvez com algum número intercalado. Não menos do que 9% das senhas podiam ser encontradas em um dicionário de inglês.

A tabela ao lado mostra quais caracteres são utilizados nas senhas dos hackers. A primeira linha significa que 58% das senhas continham apenas caracteres alfabéticos minúsculos. Uma senha não foi incluída nesta tabela porque o seu hash era: d41d8cd98f00b204e9800998ecf8427e. É o hash de um string vazio.

2O comprimento médio das senhas dos hackers é de 6 caracteresSenhas e caracteres mais utilizados

A tabela ao lado mostra o tamanho das senhas dos hackers. O comprimento médio das senhas dos hackers é de 6 caracteres. Houve somente 53 senhas mais longas do que 12 caracteres.

Geralmente, há muitas variações de palavras, desde o campo da informática a palavras em inglês, incluindo nomes e frases inteiras, mas quase nenhuma continha letras maiúsculas. Algumas das senhas são criadas com palavras em inglês, mas utilizando leet speak. É uma forma de escrever onde números são utilizados para parecer letras, por exemplo, A parece-se com 4, I com 1. Utilizando o leet speak uma senha com letras “o, i, e, a, s, t” é substituída pelo seu equivalente 0, 1, 3, 4, 5, 7.

Na tabela abaixo, é mostrada a ocorrência de letras minúsculas nas senhas. A mais utilizada é a letra a, e as letras f, j, v, w, y, z são raramente utilizadas. Na sequência mais longa de letras minúsculas, aparecerem 38 q, o que supera o caractere maiúsculo S com 28 ocorrências. No conjunto dos caracteres especiais, a letra minúscula q é quase tão utilizada como o ponto (“.”), com 42 ocorrências.

A ocorrência de letras minúsculas nas senhas dos hackers

As letras maiúsculas e suas ocorrências são mostradas na próxima tabela. Todas elas são muito raramente utilizadas e, quando são, ou são a primeira letra da senha, ou uma palavra inteira é escrita em maiúsculas. Somente poucas senhas utilizavam uma verdadeira combinação de letras maiúsculas e minúsculas.

A ocorrência de letras maiúsculas nas senhas dos hackers

A próxima tabela mostra quais os caracteres especiais preferidos dos hackers e quanto eles os utilizam para melhorar as suas senhas. O primeiro caractere da tabela é um espaço e isto revelou uma coisa interessante: um ou cinco espaços pode ser uma senha muito inteligente, mas não muito segura, pois são testadas logo no início. Nem todos os caracteres especiais estão listados abaixo porque ,  =  ~  |  [  ] não foram utilizados nenhuma vez.

A ocorrência de caracteres especiais nas senhas dos hackersA última tabela mostra a ocorrência de números. Os números foram utilizados em quase 30% das senhas e por isso a tabela só mostra os maiores números. O mais utilizado é o número 1 com 356 ocorrências.

graph_0-9

No momento, você deve estar imaginando qual a senha favorita dos hackers. Há muitas variações das palavras pass e root e também hax foi utilizada muitas vezes, mas se omitirmos uma palavra muito comum de 4 letras, a senha mais frequentemente utilizada pelos hackers é hack. Vale a pena mencionar que em muitos casos havia apenas uma senha padrão como r57, c99, password ou yourpass.

Quando comparamos todas as descobertas dos gráficos acima, podemos dizer que a senha média dos hackers terá no máximo 6 caracteres, contém letras minúsculas e números e deriva de palavras em inglês. Não foi tão difícil quanto Antonín pensava, e a maioria das senhas dos hackers é ainda mais fraca que a da maioria das pessoas normais, como, por exemplo, as que você encontra neste artigo. Mas se eu topar com um hacker que utiliza uma senha realmente forte e se preocupa com segurança? Então precisaremos de um conjunto de caracteres especiais, mas pequeno o suficiente para que com força bruta levemos alguns dias (em vez de meses) para quebrar a senha.

3

Melhores conjuntos de caracteres das senhas dos hackers

Utilizando apenas as estatísticas anteriores, podemos construir dois caracteres que devem cobrir a maioria das senhas utilizadas. Quando o dicionário falha, há outras formas de prosseguir, sempre há a força bruta.

1) acdehiklmnorstu01234579!-.@_ (28 caracteres)

2) acdehiklmnorstubgpxyw0123456789!-.@_#$+*{espaço} (41 caracteres)

Não são tão pequenos quanto gostaríamos que fossem, mas isto não é o mais importante, pois cada vez que precisamos quebrar uma senha com força bruta, ela tinha apenas 6 ou 7 caracteres e isto foi feito muito rapidamente.

onebit_24Para os pesquisadores de malware interessados no dicionário descrito neste artigo, por favor, escrevam a Antonín Hýža a partir de um endereço de email confiável: hyza at avast dot com para receber a sua cópia gratuita.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Analyses, Virus Lab Tags: , ,
Comments off
6, junho, 2014

Simplocker faz o que o nome sugere: simplesmente bloqueia o seu telefone!

Um novo Trojan para Android chamado Simplocker surgiu de um obscuro fórum na Russia, criptografando arquivos em troca de um resgate. O avast! detecta o Trojan como Android:Simplocker, os usuários do avast! Mobile Security e do avast! Mobile Premium podem dormir em paz: nós protegemos você!

malware, malware móvel, Trojan, SimplockerO The Trojan foi descoberto por pesquisadores de segurança da ESET no submundo de um fórum russo. O Trojan está disfarçado de um aplicativo adulto. Uma vez baixado, o Trojan escaneia o cartão em busca de imagens, documentos e vídeos, criptografando-os com o sistema Advanced Encryption Standard (AES). O Trojan mostra uma mensagem em russo, alertando a vítima que o seu telefone foi bloqueado e acusando-a de ter visto e baixado pornografia infantil. O Trojan exige 21 dólares como resgate a ser pago em moeda local da Ucrânia em 24 horas, prometendo excluir todos os arquivos que foram criptografados se o resgate não for pago. Nikolaos Chrysaidos, analista de malware para Android da AVAST, descobriu que o malware não apaga nenhum arquivo criptografado porque não tem capacidade para isto. As vítimas não podem remover a mensagem a menos que depositem o resgate com o MoneXy. Se o resgate é pago, o malware espera pelo comando enviado pelo servidor (C&C) para descriptografar os arquivos.

O que podemos aprender com isto?

Ainda que este Trojan tenha por alvo somente uma região específica e não esteve disponível na loja Google Play, não pode ser menosprezado. É apenas o início deste tipo de malware móvel e foi pensado como comprovação da eficiência do método. Especialistas preveem que malwares que exigem resgate se tornarão mais e mais comuns em dispositivos móveis. Assim que os fabricantes de malware ganhem mais prática, verão que podem ganhar dinheiro fácil com métodos como este, e o malware se tornará cada vez mais perigoso.

Podemos apenas especular sobre os métodos que surgirão para que consigam injetar estes aplicativos maliciosos nos mercados oficiais como a Google Play, ou mesmo tirar vantagem de outros vetores como os navegadores móveis e anexos de e-mails. Por isso é absolutamente necessário que as pessoas utilizem uma proteção antivírus em seus smartphones e tablets. Os aparelhos móveis contém grande quantidade de dados pessoais valiosos e, por isso, são o maior alvo.

Malwares que exigem resgate (os chamados ransomware) podem ser um método efetivo para que os criminosos explorem usuários vulneráveis, muitos dos quais não fazem backup dos seus dados. Assim como o ransomware para PCs, a ameaça de perder dados sentimentais como fotos de famílias e amigos, é algo terrível.

Não dê chance aos cibercriminosos. Proteja-se baixando gratuitamente o avast! Mobile Security.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
6, junho, 2014

Cuidado fãs do futebol: nem todos os aplicativos são jogos, alguns procuram outras coisas!

A Copa do Mundo está aí! Você já entrou no espírito da Copa? O time de analistas de malwares móveis da AVAST está ligado e baixou jogos e outros aplicativos relacionados com o futebol da loja Google Play. Infelizmente, notamos que alguns aplicativos de entretenimento que baixamos não nos divertiram como pensamos…

A AVAST detecta falsos aplicativos de jogos de futebol: Android:FakeViSport

Alguns jogos para Android que baixamos mostraram apenas propagandas em vez de deixar-nos jogar. Deixe-me mostrar um grupo deles. Não conseguimos jogar o Corner Kick World Cup 2014 de jeito nenhum, porque ele não fazia outra coisa senão mostrar uma tela em branco com propagandas surgindo de vez em quando. Este aplicativo é chocante: quando vemos o tamanho do aplicativo notamos que é realmente pequeno, menos de 1Mb. Que tipo de jogo você pode esperar de um aplicativo deste tamanho?! O mais interessante é que o jogo foi desenvolvido pela VinoSports. Se você verificar os outros aplicativos que eles oferecem na Google Play verá que são todos iguais: somente aplicativos vazios cheios de propaganda.

Vinospots

wideInfelizmente, isto é uma forma muito comum e traiçoeira de dar dinheiro aos desenvolvedores. Com aplicativos como este, os únicos beneficiados são os desenvolvedores, que recebem dinheiro por cada clique nas propagandas mostradas nos seus aplicativos. A partir de agora, serão detectados como Android:FakeViSport. Eles são falsos aplicativos que pretendem ser um objeto de desejo, mas não são.

Alguns aplicativos estão na zona cinzenta

O segundo aplicativo que queremos mencionar é o Fifa 2014 Free – World Cup. O aplicativo vem de um grande desenvolvedor, “Top Game Kingdom LLC”, que têm inúmeros aplicativos na Google Play e outras lojas. Este contudo não parece ser um aplicativo confiável. O Fifa 2014 Free – World Cup pode ser considerado, no mínimo, suspeito.

Para um aplicativo da Copa do Mundo, o nome do pacote de instalação não tem nada a ver com o nome do aplicativo em si. O aplicativo é chamado Football World Cup 14 e o seu pacote de instalação, “com.topgame.widereceiverfree”.Football World Cup 14, também é conhecido como “Widereceiverfree” e solicita o acesso a informações que não têm nada a ver com as funções do aplicativo, como localização, log de chamadas e acesso a outras contas do telefone.

Estranho também é que o desenvolvedor do Football World Cup 14 tem ainda mais aplicativos no mercado, a maioria deles com comportamento semelhante. Eles pretendem ser algo diferente do que na realidade são. No fim das contas, você pode encontrar algo semelhante a um jogo, um jogo cheio de obstáculos e com permissões que podem ser facilmente utilizadas para coletar e fazer mal uso de suas informações pessoais.

Tom game kingdom

Aplicativos que mostram propagandas não são necessariamente maliciosos. Muitos aplicativos, especialmente os gratuitos, são mantidos pelas propagandas. Eles podem, contudo enervar, especialmente quando as propagandas não saem da frente e impedem que você utilize o próprio aplicativo. Os aplicativos que acessam mais informações do seu telefone do que precisam para o seu funcionamento parecem inocentes, especialmente porque não há nenhuma evidência visível de que isto está acontecendo, mas eles podem causar mais mal do que você pensa.

Recomendamos que você olhe com lupa os aplicativos que baixe durante a Copa, sejam jogos, aplicativos live streaming ou que permitam apostas na sua seleção e, desta forma, tenha certeza de que estará seguro e livre das propagandas tanto quanto possível!

Coisas para estar atentos ao baixar aplicativos:

Utilize as lojas oficiais de aplicativos. Muitos dos malwares móveis vem de lojas não-oficiais de aplicativos, somente poucos deles vem da loja oficial Google Play.

Baixe os aplicativos oficiais nos quais você pode confiar. A Google Play é uma plataforma aberta aos desenvolvedores, por isso contém uma infinidade de aplicativos. Não entendemos porque as pessoas se sentem atraídas por todos os aplicativos que encontram: há mais de 125 aplicativos de vuvuzela na Google Play! Recomendamos aos usuários tomem cuidado e baixem apenas aplicativos oficiais dos desenvolvedores nos quais confiam. Os desenvolvedores confiáveis gostam dos seus usuários, o que significa que desejam fornecer um produto de qualidade, não uma infinidade de aplicativos. A FIFA tem um bom aplicativo de resultados ao vivo e notícias e a EA Sports tem um jogo oficial da FIFA.

Compare as funções dos aplicativos com as permissões que solicitam. Alguns aplicativos precisam acessar certos dados no seu aparelho, um aplicativo de mapas precisa acesso à sua localização para dar-lhe informações corretas sobre o caminho a fazer. Os pedidos de acesso dos aplicativos começam a ser suspeitos quando, por exemplo, a sua vuvuzela deseja acessar a sua localização. A menos que o seu novo aplicativo vuvuzela utilize a sua localização para determinar em qual país você está para tocar o seu hino nacional, por que ele precisa saber a sua localização? Seja sempre cauteloso(a) quando conceda estas permissões aos aplicativos e tenha certeza de que estes pedidos fazem sentido pelas funções do aplicativo. Você não deseja que informações pessoais sejam coletas e que, depois, possam ser usadas contra você.

Leia os comentários dos usuários. Você nem sempre pode confiar no que as pessoas postam online, mas se muitas pessoas gostam ou não gostam de um aplicativo, você pode ter uma boa ideia se deve ou não baixá-lo com base nos comentários que fizeram.

O nosso aplicativo de segurança móvel, o avast! Mobile Premium, tem uma função de detecção de propagandas. O detector de propagandas encontra quais aplicativos estão conectados às redes de propaganda e fornece detalhes do como rastreiam o sistema, por isso, você pode ter uma visão completa de todas as redes de propaganda acessadas pelos seus aplicativos.

Você pode baixar o avast! Mobile Security gratuitamente na Google Play ou, para funções adicionais, como o detector de propagandas, você pode baixar o avast! Mobile Premium por 1,99 dólares por mês.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
15, maio, 2014

Ataques ransomware estão ocorrendo em massa via sites: cuidado!

O infográfico do Laboratório de Vírus do avast! mostra a proliferação dos ataques ransomware via navegadores nos últimos três meses.

AtençãoSaindo da página de alertaDurante o mês de dezembro, publicamos em nosso blog sobre os truques e as táticas dos ransomwares via navegadores. Os ransomwares de navegadores são malwares que atacam através de vários navegadores para impedir que as pessoas continuem a utilizar os seus PCs. Para obter acesso novamente, a vítima desses malwares têm que pagar um resgate para desbloquear o computador. A chave do sucesso deste ataque é a tradução em várias línguas, dando aos cibercriminosos acesso a um maior número de potenciais vítimas.

Hoje gostaríamos de voltar a informar sobre os ataques de ransomwares via navegadores e compartilhar com você alguns dados da avast! CommunityIQ.

Detectamos os ataques de ransomwares através de vários métodos diferentes. As detecções que acompanhamos foram criadas no dia 30 de janeiro de 2014. Foi realmente uma surpresa o alto impacto deste ataque aos usuários do avast!

  • Em pouco menos de 3 meses, o avast! protegeu mais de meio milhão de usuários diferentes em todo mundo dos ataques ransomwares.
  • Nas últimas 6 semanas, os usuários avast! visitaram sem saber mais de 18 milhões de vezes um site com ransomware.
  • Em apenas 24 horas, o avast! impediu o redirecionamento de sites infectados para outros que hospedavam ransomware para mais de 18.000 usuários diferentes.

O Laboratório de Vírus do avast! acompanha os ransomwares

Os cibercriminosos por trás dos ataques alteram constantemente os domínios onde se hospeda o malware. A cada 10 minutos aproximadamente, um novo domínio é criado e estes números estão crescendo lentamente. Os usuários são então redirecionados para um novo domínio.

Nos dias de hoje, os domínios maliciosos são hospedados em 117 IPs diferentes. Estes IPs estão distribuídos em todo o mundo, da Áustria ao Brasil ou Canadá. Estes são os endereços em Montreal (Canadá) e Denver (Colorado).

Ransomware via navegadores utilizam domínios maliciosos em 117 IPs.Este exemplo mostra os domínios hospedados em um IP.

Sites hospedados

Este mapa mostra a localização dos usuários que entraram em sites infectados nos últimos 5 dias. Os ransomwares via navegadores estão tendo um enorme impacto nos usuários do avast! na França, na maioria da América do Norte, em alguns países nórdicos e na Austrália.

Ransomware

Ao examinar os dados desde que a detecção foi criada vemos a enorme quantidade de usuários que visitam domínios infectados por ransomware na América do Norte, mas um número ainda maior de usuários da Polônia. Outros pontos críticos com números consideráveis estão na Itália, Canadá, alguns países da África, América do Sul e Rússia.

Ransomware

Os usuários do avast! Antivírus estão protegidos ao visitarem sites com ransomwares, mas não se esqueça de que cada computador pode ser vítima de uma nova tática destes criminosos. Neste caso, somente o bom senso poderá ajudar a proteger os seus dados, o seu dinheiro e o seu computador.

Versão francesa do ransomware via navegadores:
SHA256  a39ef2658b72bc0966a92f80329d276ea27344d7d62b9021475630d29397a7cb

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
3, abril, 2014

Detecção de malware no Android. SecApk: um alerta aos desenvolvedores

O título deste artigo do blog tem algum significado misterioso? Não exatamente.

Nesta primeira parte sobre as detecções de malware no Android, vamos apresentar a Android:SecApk, uma detecção relacionada com o App Shield (Bangcle) e os aplicativos Android (.apk). Esta detecção abrange uma grande amostra de malwares e está em crescimento. Algumas amostras compactadas com o SecApk que já existiram ou ainda existem na loja Google Play e também em outras lojas podem ser vistas na tabela abaixo:

MD5

Nome – Informações

F1EF5B8C671B2146C2A2454ECF775E47

G锁屏冰雪奇缘之来自星星的你V1.0.apk

PUP: um aplicativo que promove um filme específico. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

Estado atual: removido do Google Play

10bd28d4f56aff83cb6d31b6db8fdbd2

Cut_the_bird.apk

PUP: um jogo que solicita permissões potencialmente indesejadas e pode levar à perda de dados pessoais.

05ffb6f34e40bb1cf8f9628e5647d5e3

aini1314langmanzhutisuoping_V2.5_mumayi_700e0.apk

PUP: um protetor de tela que solicita permissões não relacionadas à finalidade do aplicativo.

d6b40bbb79b54c09352a2e0824c0adba

3D职业乒乓球.apk

PUP: este aplicativo é um jogo de tênis. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

eefd2101e6a0b016e5a1e9859e9c443e

eefd2101e6a0b016e5a1e9859e9c443e.apk

\Malware: este aplicativo rouba dados pessoais e mensagens SMS do usuário.

O App Shield é um serviço online que, depois de receber um arquivo .apk que lhes foi enviado, o criptografam e adicionam algumas camadas de proteção. O procedimento de criptografar e proteger um arquivo .apk será discutido na segunda parte deste artigo.

Começando pelo processo de envio, um aplicativo limpo chamado AvstTest.apk foi enviado ao serviço. O arquivo .apk exportado foi renomeado para AvstTest[SecApk].apk. Além disso, o apktool e o dex2jar foram utilizados para decodificar as funções do .apk e converter os arquivos .dex em .jar.

Estrutura da pasta

A estrutura interna do arquivo convertido pode ser vista na figura acima. Aparecem as duas novas pastas: lib e assets. A pasta lib contém dois arquivos que são necessários pelas bibliotecas de compartilhamento na plataforma ARM.

3 armeabi folder

A pasta assets contém um arquivo jar criptografado chamado bangle_classes.jar. Este arquivo é uma versão criptografada do original classes.dex. Além disso, a pasta meta-data contém os arquivos necessários para a criptografia RSA.

4 assets folder

O arquivo manifest do Android também é alterado, mas somente para fazer o link com o novo arquivo dex. A classe com.secapk.wrapper.ApplicationWrapper será chamada sempre que o processo for iniciado.

6 manifest file

A estrutura interna do arquivo classes.dex também é alterada. No novo arquivo dex, podemos ver a nova classe ApplicationWrapper que é utilizada para carregar na memória a versão não-criptografada do arquivo classes.dex. A estrutura do arquivo dex original pode ser vista do lado direito da imagem abaixo.

1

A real preocupação deste artigo do nosso blog é que cada arquivo que utiliza esta proteção pode ser detectado como um PUP (Programa Potencialmente Indesejado). Muitos criadores de malware utilizam esta proteção para tornar indetectáveis as suas amostras maliciosas. Paralelamente, aplicativos legítimos utilizam a proteção para fugir da engenharia reversa, decompilação, injeção de código malicioso e outros usos ilegais.

É uma verdadeira terra de ninguém.

A empresa que criou esta proteção afirma que cada arquivo é verificado por várias definições de vírus. O problema é que os malwares dia-0 existem e alguns deles são realmente difíceis de detectar. No caso do malware protegido pelo SecApk penetrar no mercado oficial, será difícil de detectar. A escolha mais segura é detectar o compactador SecApk e informar o usuário que o aplicativo que ele está a ponto de executar é potencialmente indesejado (PUP).

A segunda parte deste artigo explicará em mais detalhes o processo que o compactador utiliza para carregar o código original na memória do sistema.

O avast! protege os usuários do Android

O avast! Free Mobile Security detecta e avisa ao usuário sobre estes aplicativos (maliciosos ou não) que são compactados com o SecApk e podem ser potencialmente perigosos. No momento, não há outro meio de proteger eficientemente os nossos usuários. Se você é um desenvolvedor, uma boa dia é repensar o uso deste tipo de protetores em seus aplicativos.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
9, março, 2014

Google Play: qual é a última ameaça da loja oficial do Android?

As lojas oficiais são a fonte básica para encontrar e baixar aplicativos. Usuários experientes recomendam que todos utilizem apenas as lojas oficiais, pois são ecossistemas fechados, reconhecidos como seguros. Mas estas fontes são realmente confiáveis? Alguns técnicos, contudo, dizem que “Malwares para Android não existem e as empresas de segurança simplesmente tentam nos assustar. Tranquilo e não se preocupe.” Portanto, qual é a verdade?

Nós já publicamos em nosso blog inúmeros alertas de ameaças aos nossos aparelhos que vem de fontes confiáveis, mas aqui está uma novidade: uma que ainda não foi detectada pelas outras empresas de segurança. Um aplicativo chamado Cámara Visión Nocturna (nome do pacote: com.loriapps.nightcamera.apk), que ainda estava disponível no Google Play quando o artigo (em inglês) deste blog estava sendo escrito. É algo que você não quereria ter no seu aparelho Android.

Blg1

A começar pelas permissões solicitadas pelo aplicativo, você deveria perceber que há algumas que não são usuais para um aplicativo que deveria utilizar apenas a sua câmera.

    <uses-permission android:name=”android.permission.CAMERA” />
    <uses-feature android:name=”android.hardware.camera” />
    <uses-feature android:name=”android.hardware.camera.autofocus” />
    <uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE” />
    <uses-permission android:name=”android.permission.RECORD_VIDEO” />
    <uses-permission android:name=”android.permission.RECORD_AUDIO” />
    <uses-permission android:name=”android.permission.RECEIVE_SMS” />
    <uses-permission android:name=”android.permission.WRITE_SMS” />
    <uses-permission android:name=”android.permission.READ_SMS” />
    <uses-permission android:name=”android.permission.GET_ACCOUNTS” />
    <uses-permission android:name=”android.permission.INTERNET” />

“GET_ACCOUNTS” ou “WRITE_SMS” é algo suspeito para um aplicativo de gravação de vídeo. Por isso, o nosso colega Chrysaidos Nikolaos, que recentemente começou a fazer parte do Laboratório de Vírus do avast! (bem vindo colega, estamos orgulhosos de tê-lo a bordo) e Filip Chytry decidiram pesquisar um pouco e obter mais informações. O aplicativo tenta
enviar números de telefone pelos aplicativos Whatsapp ou ChatOn, por exemplo, para atrelá-los a um serviço de mensagens premium.

5_gets the phone number from whatsapp etc

Depois de obter estes números de telefone, o aplicativo os envia ao servidor para registrá-los a uma lista de SMS premium.

Url

E apertem os cintos, lá vai: você terá de pagar aproximadamente 2€ (2,8 dólares)! Para o quê, você deve se estar perguntando. Para nada. É isso mesmo! É assim que todos nós queríamos ganhar dinheiro, não é? Fácil e rápido. :) Mas isto não é tudo, infelizmente. O aplicativo também é capaz de enviar mais destes SMS até atingir 36€ (50 dólares) por mês. Então você recebe um SMS do número “797080″, que deve adiar o envio de SMS premium. Mas não fique preocupado(a), o avast! detecta este malware como Android:FakeCam. Por isso, os usuários do avast! Mobile Security estão seguros.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
8, janeiro, 2014

Aplicativos para adultos atraem malware

No ano passado, Filip Chytry descobriu e nos alertou que um falso aplicativo avast! estava infectando smartphones. Ele estava oculto dentro de aplicativos para adultos e era bastante problemático. Aqui estão algumas informações sobre ele.

Se você procura por aplicativos para adultos, pode encontrar toneladas deles. Muitos destes aplicativos, especialmente aqueles oferecidos em lojas não-oficiais, estão infectados com malware. O mesmo cenário ocorre com bastante frequência: depois da instalação, quando você abre o aplicativo pela primeira vez, você se infecta e ele bloqueia o uso do seu telefone. O aplicativo cobra um resgate para desbloquear o seu aparelho. É o típico comportamento de um ransomware.

É fácil seguir as pistas

Você estava procurando por um aplicativo adulto e encontra algo chamado AVASTME.NOW. O que está acontecendo aqui?, você pensa. O fato de um aplicativo adulto ser chamado com o nome do antivírus mais popular do mundo devia ser a primeira pista de que algo está errado. Mas você instala o aplicativo, apesar do estranho nome para um aplicativo deste estilo. Felizmente, depois da instalação você vê um ícone no seu aparelho chamado Porn Hub e começa a se sentir satisfeito de que realmente conseguiu o que procurava. Vamos nos divertir!

icon

Mas o sentimento de satisfação não dura para sempre. Depois dos primeiros poucos cliques, o aplicativo anuncia que o seu telefone deve ser escaneado por vírus. Esta é a segunda grande pista de que algo devia estar errado. Aplicativos normais não escaneiam o seu aparelho em busca de vírus. Mas você não tem nenhuma chance, por isso, você segue adiante. É então que aparece a interface do falso avast! Mobile Security, quase idêntica ao original.

install 3

fakeAvast4install2

Leia mais…

Comments off
14, dezembro, 2013

Natal! Você deseja receber um malware de presente?

DHLspoof

O tempo do Natal está sempre conectado com a compra de presentes. Há muitas tarefas a serem feitas e muitas oportunidades de comprar um presente em uma loja online para poupar tempo. Quem é que não conhece alguém que compra seus presentes de Natal online?

Os criadores de malwares sabem disso e são muito espertos para tirar vantagem. Nossos sensores detectam muitos emails fraudulentos contendo detalhes da compra ou entrega todos os dias e, acreditem, eles têm muita coisa em comum. De fato, isto não é algo novo. Estes métodos são utilizados constantemente ao longo do ano, não é algo especialmente conectado com o tempo de Natal. No entanto, o Natal é a ocasião para que muitas pessoas possam ser enganadas. Vamos ver estas fraudes com mais detalhes.

Imagine que você é um cliente esperando pela entrega de um presente. Você está ansioso e verifica o seu email esperando pelos detalhes da ordem de compra. Provavelmente você está mais vulnerável nesta ocasião. Aí você recebe um email da DHL, o conhecido serviço de entregas, com uma informação dizendo que os detalhes do frete estão em anexo. Neste momento em que você relaxa a segurança, você clica no anexo do email. Ele é um arquivo zip contendo outro chamado DHL-parcel.exe. O estranho é que a extensão do arquivo parece ser um pdf por que tem o mesmo ícone. De fato, é um malware.

Cibercriminosos querem acabar com o seu Natal

Uma amostra que recebemos estes dias foi um email fingindo ter sido enviado pela Booking.com com uma invoice anexada. O nome do arquivo anexado é “Invoice 801490457278 PRINT pdf.zip” e surpreendentemente ele contém outro chamado “Invoice 801490457278 PRINT pdf.exe”.

O problema começa quando o usuário clica no anexo e executa o arquivo. Ele secretamente baixa e executa malwares através do comando %ALLUSERSPROFILE%\explorer.exe e permite a execução automática através da chave de registro HKLM\…\CurrentVersion\Run. A porta TCP 3232 é aberta e permite o acesso remoto ao computador infectado. Isto significa que o computar não está mais sobre o seu controle e que o hacker pode espionar você em segredo ou simplesmente pode instalar outros malwares para conseguir o seu dinheiro. Este não é um bom presente de Natal!

Nós também descobrimos alguns emails fraudulentos que se passavam como sendo do HSBC.com, Amazon.com, Amazon.co.uk, etc. como você pode ver na imagem abaixo.

Email scam subjects

Como eu me protejo?

Siga os seguintes conselhos para minimizar o risco de infecção.

1) Utilize um antivírus com as definições de vírus atualizadas (p.ex., o avast! 2014 :))

2) Se você receber um email parecido com os mencionados acima, pergunte a você mesmo: “Eu comprei algo desta empresa?”

3) Se sim, não abra o anexo. A maioria dos serviços não envia emails com anexos, especialmente não em arquivos zip.

4) Nunca JAMAIS rode executáveis enviados por email.

SHA: C669E7E9E9A6FA4E321670E8237AEFDE73991425B8320C23F3A9F9FACA61B7C3

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
9, dezembro, 2013

Infecções via Facebook: você vai me curtir?

FB_meme“Quem não deseja ser curtido na sua página do Facebook?” Esta é a motivação de um código muito trivial para obter mais “curtir”, mas enquanto outros métodos geralmente se limitam a acrescentar conteúdo ou propaganda, este é mais simples… e muito mais sujo. Por que não mostrar um botão curtir diretamente sobre o seu mouse quando você navega em um site, torná-lo invisível e movê-lo junto com o seu mouse?

A única coisa que a vítima tem que fazer é clicar. Se elas estiveram logadas no Facebook, curtirão automaticamente a página do Facebook. E, naturalmente, não é apenas o número de curtições que está em jogo, mas cada curtir significa que a vítima irá receber todas as informações sobre esta página no seu feed de notícias (até que elas descurtam a página), e todos os seus amigos também verão que você curtiu a página.

FB_clickjack_Like_ButtonEste método é possível devido ao botão Curtir, um plugin social para o Facebook, desenvolvido pelo próprio Facebook. Ele é utilizado corretamente em muitos sites legítimos, mas quando combinado com o ocultamento CSS e a movimentação do JavaScript, a vítima não tem chance. Se você deseja saber como minimizar o impacto destas táticas ou quer mais detalhes técnicos, continue lendo.

No começo, um elemento envoltório (wrapper) é criado. Nele há um link (às vezes, um iframe) para o botão curtir do Facebook.

FB_clickjack_HTML

Quando você move o seu mouse sobre o elemento <div id=”wrapper”> (que é, na maioria dos casos, o <corpo> de um tag), uma função JavaScript anônima é iniciada, e ela altera move o elemento para baixo do seu mouse.

FB_clickjack_JS

O envoltório com o botão curtir é, como é lógico, tornado transparente por estas propriedades CSS, por isso ele fica invisível para você:

  • opacity: 0;
  • filter: alpha(opacity = 0);
  • -ms-filter: ‘progid:DXImageTransform.Microsoft.Alpha(Opacity=0)’;

Aqui está o que você vê em uma das amostras da infecção que está disseminada na internet:

FB_clickjack_orig

Estamos surpresos de ver que ela utiliza pouco obfuscamento, o código é muito legível e quase autoexplicativo: contém funções como ClickJackFBShow();. É provável que o código se torne mais obfuscado e mais e mais antivírus comecem a detectar este código malicioso no futuro.

É provável que esta técnica seja utilizada junto com outras de engenharia social. Os cibercriminosos podem postar links para kits infectados em feeds de notícias de outras pessoas e convencer as vítimas a clicar neles. Contudo, o que vemos atualmente é somente um grande grupo de adolescentes utilizando este código nos seus sites para chamar a atenção no Facebook.

Para se livrar destas propagandas indesejadas, abra o seu Facebook e clique no seu nome na parte superior direita, depois selecione “Registro de atividades”. FB_clickjack_Profile_PageEntão você poderá ver a sua atividade no Facebook. Se houver algo suspeito, algo que você não clicou realmente em curtir, simplesmente clique em Curtir (desfazer) e você não será mais incomodado.

O avast! detecta este comportamento malicioso como JS:Clickjack-*.

Amostras no Virustotal:

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Social Media, Virus Lab Tags:
Comments off
22, novembro, 2013

Três formas de o seu site ser hackeado

Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.

Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?

codeAA resposta é, na maioria dos casos, que “você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado” (ver explicação abaixo).

Por que os hackers atacam pequenos sites quando há alvos muito maiores?

Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers “fecham a porta” atrás de si “corrigindo” a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.

Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:

1. Deface, defacement ou pichações

Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.

Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.

phpshellB

shellstatDe acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.

Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.

2. Data Mining ou mineração de dados

O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.

A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.

Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.

3. Exploit Kits e suas redes

Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de “páginas de destino” e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.

A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.

redirector

O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.

As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:

  • O ranking em mecanismos de busca cai rapidamente
  • Sites de reputação e de companhias de antivírus as colocam na lista negra
  • Os usuários sem proteção são infectados com malwares
  • Os usuários sem antivírus perdem a confiança no site

Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:

  • Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
  • Altere o nome padrão do administrador e escolha uma senha forte
  • Utilize o antivírus no computador onde você gerencia o site
  • Atualize os arquivos com o protocolo SFTP em vez do FTP

Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:

[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off