Protecting over 230 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
10, agosto, 2015

O malware Fobus para Android causou dano nos Estados Unidos e Europa: veja como se proteger

No mês de janeiro informamos você sobre um malware para Android chamado Fobus. Na altura, o Fobus atacava nossos usuários no leste da Europa e na Rússia. Agora, o Fobus também está atacando os nossos usuários nos Estados Unidos, Inglaterra, Alemanha e Espanha, além de outros países em todo o mundo.

O Fobus pode custar muito dinheiro às suas vítimas desavisadas porque envia SMS premium, faz chamadas sem o conhecimento dos usuários e pode roubar informações privadas. O mais preocupante é que o Fobus também inclui funções ocultas que podem remover as proteções críticas do aparelho. O aplicativo engana os usuários para obter o controle total do aparelho e é aí que esta peste de malware realmente começa a fazer o seu trabalho sujo. Você pode encontrar mais detalhes técnicos e uma análise do Fobus no nosso artigo do blog de janeiro.

Decidimos olhar para trás e verificar alguns dados que coletamos sobre o Fobus nos últimos seis meses. Não nos surpreendeu que esta família de malwares continua ativa e se espalhando, infectando usuários de lojas não oficiais de aplicativos Android e sites maliciosos.

O interessante deste malware é o uso de polimorfismo por parte do servidor, que suspeitamos estar sendo utilizado desde janeiro, mas não conseguimos confirmar. Agora sabemos que o polimorfismo é utilizado ao analisar algumas amostras do nosso banco de dados. Na maioria das vezes houve não só nomes de arquivos gerados aleatoriamente, mas parece que possuem também certificados de assinatura digital aleatórios.

Número de usuários atingidos pelo Fobus

Número de usuários atingidos pelo Fobus

Dispersão geográfica do leste para o oeste

Anteriormente, previmos que veríamos um crescimento linear no número de usuários infectados. No entanto, revendo os resultados, o Fobus derrubou as nossas previsões. No começo, este malware atingia principalmente os países de língua russa. À medida em que nossas detecções do malware se tornaram mais inteligentes e descobrimos novas mutações do Fobus, vemos que muitos outros países também estavam infectados. Agora o Fobus – ainda que atinja principalmente o Leste da Europa e a Rússia – também chegou aos nossos usuários dos Estados Unidos, Alemanha, Inglaterra e Espanha, além de outros países em todo o mundo.

O gráfico acima mostra o número de usuários diferentes (IDs de usuários) atingidos pelo Fobus a cada dia. O gráfico também é dividido geograficamente segundo os códigos dos países dos locais de conexão dos usuários.

Número de vezes que os usuários foram atingidos pelo Fobus nos diversos países (até 21 de julho de 2015):

  • Rússia: 87.730
  • Alemanha: 25.030
  • Espanha: 12.140
  • Estados Unidos: 10.270
  • Inglaterra: 6.260
  • Itália: 5.910

Há dois grandes saltos no gráfico, que marcam os dias em que as novas versões do Fobus foram descobertas e as novas detecções para os nossos usuários foram publicadas. As três detecções parecem ter sido particularmente efetivas em sua tarefa de proteção. O grande impacto nos países fora das regiões de língua russa e inglesa que podem ser vistos no gráfico são um tanto quanto surpreendentes, especialmente se consideramos que o malware está em russo e que mesmo a versão inglesa contém partes em russo. Parece que os autores foram preguiçosos e nem traduziram completamente o seu próprio aplicativo…

Mapa mundi mostrando a porcentagem de usuários atingidos pelo Fobus

Mapa mundi mostrando a porcentagem de usuários atingidos pelo Fobus

Um aplicativo feito só para você

Agora, vamos aprofundar em nossa análise. Vejamos os certificados utilizados para assinar algumas amostras do Fobus. Já mencionamos os problemas com a geração de aplicativos únicos para cada vítima (polimorfismo no servidor), não só com a recompilação, reempacotamento e obfuscação a cada geração do aplicativo, mas também ao uso dos certificados. Verificamos que cada aplicativo malicioso é visto somente por um único usuário, mesmo que o seu certificado de assinatura possa ter sido utilizado em múltiplos aplicativos. Quase todas as amostras que obtivemos têm uma baixa prevalência, o que significa que muito raramente usuários diferentes foram atingidos pelo mesmo aplicativo (malware) várias vezes. Com relação aos certificados de assinatura digital, acreditamos que são gerados novamente de forma regular. Conseguimos captar alguns exemplos destes certificados em nossas estatísticas.

certs_may_28certs_may_30

Como você pode ver nas figuras acima, estes certificados estão datados de 28 e 30 de maio de 2015 e as diferenças de horário no início do período de validade entre os certificados são da ordem de minutos, algumas vezes, segundos. Também encontramos algumas amostras com certificados com credenciais geradas aleatoriamente.

certs_random

A figura acima é um exemplo destes certificados gerados aleatoriamente.

Para concluir, queremos animar você a pensar duas vezes sobre os aplicativos que você instala no seu telefone, especialmente se os aplicativos foram baixados de lojas de terceiros ou fontes desconhecidas. Os aplicativos da Loja Google Play são mais seguros. Além disso, a solicitação de permissões não usuais – especialmente as permissões que não se referem ao uso normal do aplicativo – pode ser um sinal de que algo estranho está acontecendo. Você deve suspeitar de um aplicativo que solicite acesso como administrador do dispositivo e pensar duas vezes antes de baixa-lo.

Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

27, maio, 2015

Por que algumas pessoas pensam que elas estão certas quando vêem um alerta de vírus

usb_hub_robot

Este inocente pendrive pode infectar você. Mas somente se você ignorar os alertas do Avast!

Você deve confiar nos especialistas em vírus ou em seu instinto?

140.000 pessoas conectaram seus pendrives ou telefones móveis aos seus computadores e recebem um alerta do Avast sobre uma infecção chamada LNK:Jenxcus.

Que tipo de pessoa você é?

Muitas pessoas confiaram na informação do seu programa antivírus Avast e escanearam os seus pendrives para limpá-lo. O problema terminou.

Mas outro grupo de pessoas mantiveram esta infecção ativa porque se recusaram a acreditar que a ameaça era real e perigosa. Em outras palavras, porque sempre foi assim e não acontece nada, o Avast deve estar errado.

Por isso, eles decidiram desligar os módulos do seu antivírus e, fazendo isso, abriram a porta para o malware escravizar o computador deles, roubar dados e reduzir o desempenho consumindo recursos.

Um motivo perfeito. Ou não?

Um dos motivos mais frequentes pelos quais as pessoas desativam o seu antivírus e permitem que um malware se espalhe no seu computador é:

“Eu utilizo este arquivo/programa o tempo todo e ele é seguro.”

Outra razão semelhante é:

“Eu criei este arquivo, e é somente uma foto.”

Já passou isto com você? Você já se sentiu culpado por instalar um programa de segurança que exagera as coisas?

Se a sua resposta é sim, então teste o seu conhecimento em detecção de vírus com a imagem abaixo. Há duas imagens de uma pasta de um pendrive. Uma está infectada e a outra está limpa. Você consegue nos dizer a diferença?

usb_folder_compare

É difícil de dizer, não é?

A da esquerda está infectada. A diferença mais visível são os ícones, mas há outra pista nos tipos dos arquivos. Alguns arquivos e pastas na esquerda tiveram seus tipos alterados em “atalhos”. Isto aconteceu porque um script malicioso se instalou no pendrive e substituiu os arquivos normais por “atalhos”. Se o dono do pendrive abrir a pasta Firm Accounting, por exemplo, executará o malware que, logo em seguida, abrirá a pasta Firm Accounting para parecer tudo normal. Mas não está, porque por baixo dos panos, todos os drives do computador estão sendo infectados cada vez mais.

O Avast detecta o LNK:Jenxcus e alerta você.

O ponto importante é: você recebeu o alerta!

Fonte da infecção

Com exceção da infecção dos outros discos, este malware é baixado no seu computador por sites que foram hackeados. A figura abaixo mostra um exemplo de site hackeado esperando serem visitados por usuários aleatórios com um navegador vulnerável. Você consegue nos dizer a diferença desta vez?

www_page_compare

Se você respondeu que não, está absolutamente certo, porque para o usuário normal não há mudança visível. Esta é a razão mais provável para outra desculpa muito comum para desativar o antivírus:

“Eu entro neste site todos os dias. Ele não está infectado.”

O fato de um site estar limpo a maior parte do tempo não é motivo suficiente, pois não significa que ele é invulnerável ao ataque dos hackers. Pelo contrário, o site de um grande número de pequenas e médias empresas (SMB) tem alguma falha que pode ser utilizada pelos autores de vírus. A melhor solução para a sua segurança é ter aplicativos atualizados e um antivírus ligado o tempo todo. Com todos os módulos ATIVOS!

Limpeza completa

Se você não tem dificuldade com computadores, você vai querer limpar esta infecção manualmente. Comece por encontrar todos os atalhos (.lnk) e scripts do visual basic (.vbs .vba .vbe) ou arquivos em lote (.bat). Os atalhos geralmente são direcionados para scripts ocultos e, por isso, não é difícil encontra-los. Se você imagina onde os arquivos originais estão, você pode encontrar esta informação nos próprios atalhos. Eles geralmente não são movidos, são somente ocultos, para que não estejam visíveis nos computadores com as configurações padrão. Quando você tiver certeza de que todos os discos rígidos estejam limpos, chegou a hora de limpar os pendrives seguindo o mesmo procedimento.

Uma maneira mais fácil de limpar esta infecção é utilizar uma boa ferramenta de limpeza. Se você precisa de ajuda para encontrar esta ferramenta, visite o fórum do Avast, faça uma pesquisa e leia o que outros fizeram em circunstâncias semelhantes, ou peça ajuda aos Evangelistas, que dedicam o seu tempo livre para ajudar os outros usuários e descobrir soluções de segurança.

Você suspeita de que se trata de um falso positivo?

Se você acha que a detecção do antivírus é um falso positivo, pesquise um pouco antes. O fórum do Avast é um bom lugar para começar. Você pode ler sobre o LNK:Jenxcus, ou abrir um novo item com a sua própria pergunta. Se você estiver convencido de que se trata de um falso positivo, por favor, informe ao Laboratório de Vírus do Avast para que ele possa descobrir como/porque ele foi marcado como infectado. Este vídeo mostra como fazer isto:

Categories: Lab, Virus Lab Tags: , , , , ,
28, abril, 2015

Aplicativo pornográfico furou a barreira do Google Play imitando o popular aplicativo Dubsmash: 100.000 a 500.000 infectados

Muita gente, desde celebridades como Lena Dunham e Hugh Jackman, está utilizando o sétimo aplicativo mais popular da Google Play neste momento: Dubsmash. Dubsmash é um aplicativo com mais de 10 milhões de instalações na Google Play que permite aos usuários escolher um som, gravar um vídeo e enviar aos seus amigos ou através das redes sociais. O Dubsmash não é apenas altamente popular entre adolescentes e celebridades, mas o aplicativo também chamou a atenção dos criadores de malware.

[Conteúdo adulto]
Google removeu o falso aplicativo após o alerta do Avast

Os técnicos do Avast descobriram o “Dubsmash 2″ (cujo nome do pacote era “com.table.hockes”) na Google Play e, não, não é uma versão melhorada do aplicativo original. O aplicativo é um chamado “clicador de pornografia” e foi instalado entre 100.000 e 500.000 vezes na Loja Google Play. Os técnicos contataram a Google quando descobriram que o aplicativo era falso e removeram rapidamente da Loja Google Play. Depois que o aplicativo era instalado, não ficava nenhuma evidência de um aplicativo chamado “Dubsmash 2″ estivesse no aparelho do usuário. No lugar dele aparecia o ícone de uma aplicativo chamado “Setting IS”. Este é um truque comum dos criadores de malware para tornar mais difícil ao usuário descobrir que aplicativo está causando problemas. E isto já devia ser um alerta ao usuário de que algo errado está acontecendo. O ícone “Settings IS” parece-se muito com o das Configurações do Android.

As atividades do malévolo aplicativo podem ser disparadas de duas formas. A primeira é simplesmente clicando em “Settings IS” e a segunda, que acontece somente se o usuário ainda não abriu o aplicativo, através do componente BroadcastReceiver dentro do aplicativo. O BroadcastReceiver monitora a conectividade da internet no aparelho e se notar que o aparelho foi conectado à internet, inicia suas “verdadeiras” funções.

Se o aplicativo “Settings IS” for aberto pelo usuário, a Loja Google Play irá abrir a página do verdadeiro “Dubsmash”.

[Conteúdo adulto]
O ícone do falso aplicativo parece-se muito com o das Configurações do Android

Uma vez ativado, o aplicativo envia um pedido HTTP GET para um endereço (URL) codificado. Se o pedido retornar um código “1″, dois serviços serão iniciados: MyService e Streaming. Utilizando este método, o autor pode efetivamente desligar remotamente o início dos serviços.

O serviço MyService começa apagando o ícone do aplicativo “Settings IS” da página inicial do aparelho e agenda uma tarefa a ser executada sorrateiramente a cada 60 segundos no aparelho, o que significa que o usuário nunca saberá que algo está acontecendo. A tarefa irá baixar uma lista de links de vários sites pornográficos de um endereço criptografado armazenado dentro do aplicativo, junto com um código de execução em JavaScript. Um dos links pornográficos da lista abriu o navegador e, depois de 10 segundos, o código JavaScript (também baixado de um URL criptografado) foi executado, clicando automaticamente em mais links do site pornográfico. Se a figura abaixo for mostrada, a função abriu um link aleatório daquela página.

[Conteúdo adulto]
O desenvolvedor provavelmente ganhou dinheiro a cada clique na propaganda.

O segundo serviço, o Streaming, tinha uma estrutura muito similar ao MyService e também estava agendado para ser executado a cada 60 segundos. A principal diferença do MyService, é que os usuários poderiam descobrir as tarefas do serviço, pois não eram executadas em segundo plano. A tarefa verificava as mudanças do endereço IP ou na data do aparelho. Se foram alterados, um vídeo era aberto no aplicativo YouTube. O aplicativo YouTube precisa estar instalado no aparelho para que a função funcione corretamente. O endereço do vídeo também era obtido de um URL criptografado.

code_screen_1

Os endereços (URLs) criptografados utilizados pelo aplicativo

Depois de decodificar e analisar profundamente os URLs e o vídeo do YouTube, o Laboratório de Vírus do Avast chegou à conclusão que provavelmente o malware foi originado na Turquia. O nome do desenvolvedor mostrado na Google Play e no YouTube pareciam mostrar o mesmo.

Os técnicos suspeitam que o desenvolvedor do aplicativo utilizou o método de “clicar na pornografia” para obter vantagens financeiras. Através dos cliques em várias propagandas dos sites pornográficos, o desenvolvedor do aplicativo provavelmente recebeu diariamente uma quantia dos que fizeram as propagandas naqueles sites.

Além de ser indesejado pelo usuário, mas basicamente inofensivo e menos sofisticado do que outras famílias de malwares como a Fobus ou o Simplocker, este aplicativo mostra que, apesar das medidas que estão sendo tomadas, aplicativos podem enganar os usuários e infiltrar-se dentro da Loja Google Play.

Se você instalou o Dubsmash 2 (cujo pacote se chamava “com.table.hockes”), você pode desinstalar o aplicativo indo às Configurações > Aplicativos > encontrando “Settings IS” e depois desinstalando o aplicativo.

O Avast Mobile Security detecta esta ameaça como Android:Clicker. SHA-256: de98363968182c27879aa6bdd9a499e30c6beffcc10371c90af2edc32350fac4

Jan Piskáček, autor da descoberta, contou com a ajuda de Nikolaos Chrysaidos nesta análise.

Comments off
27, abril, 2015

Criadores de malware dão um passo a mais para ter acesso às contas bancárias

Os criadores de malware gostam de brincar de esconde esconde. Esconder arquivos executáveis dentro de PDFs e arquivos do Microsoft Office e depois enviar um email com eles anexados não é nada de novo, mas, às vezes, uma camada de proteção não é suficiente. A análise abaixo feita pelos analistas do Laboratório de Vírus do Avast mostra uma nova ameaça.

Camadas dos malwares bancários

Os criadores de malware continuamente nos surpreendem pela sua criatividade. Em um esforço por enganar os clientes dos bancos e levá-los a revelar suas senhas, os cibercriminosos contam com a confiança que as pessoas têm no Microsoft Office para forçá-los a executar um malware bancário nos seus próprios computadores. Veja como funciona:

Em geral, os spams contém arquivos executáveis que podem causar danos ao computador da vítima e roubar informações pessoais. Nos novos malwares, eles estão ocultos dentro de PDFs e arquivos do Microsoft Office. Recentemente encontramos um email que continha esta camada adicional e decidimos analisar o caso mais de perto.

O email, disfarçado de uma mensagem com conteúdo financeiro de uma empresa legítima, informava no corpo do texto que um pagamento foi feito e o comprovante anexado em um arquivo PDF. Dentro deste PDF malicioso estava um documento do Microsoft Office e um script em Java muito simples que baixava e abria o arquivo DOC.

pdf_jsDentro do arquivo DOC os técnicos encontraram um código de macro, que os usuários deveriam ativar, já que o código está desativado por padrão pelo Microsoft Office. O código escondia os arquivos DOC criando novos documentos com nomes exclusivos, nomes variáveis e URLs, tornando difícil a detecção dos arquivos maliciosos.

 Macro_modules

Quando analisamos o código da macro maliciosa, encontramos algumas dicas que nos ajudaram em nossa análise. Nesta amostra está uma função chamada MICHEL.

Funções

Os técnicos já conheciam esta função que abre um URL com um arquivo malicioso e ao encontrá-la dentro de um dos módulos, eles conseguiram encontrar o caminho para baixar um arquivo.

Macro Downloader

O endereço é armazenado com uma variável GUADALUPE. O endereço (URL) é único para cada infecção e leva a baixar um arquivo PE malicioso.

Macro Downloader

O arquivo PE irá atuar como um roubador de informações, obtendo os dados de login de sites bancários como, por exemplo:

  • Santander (especialmente no nordeste dos Estados Unidos)
  • O banco Ulster na Irlanda
  • Dados das contas do Google
  • Dados das contas da Microsoft

Como proteger-se de malware bancários

A nossa recomendação número 1 é manter o seu programa antivírus atualizado. O Avast envia centenas de atualizações todos os dias para os seus aparelhos, por isso, mantenha-se protegido. Por exemplo, o arquivo executável baixado pelo documento malicioso do Microsoft Office pertence a uma família de malwares bancários oriunda do famoso Trojan Zeus. Esta variante também é conhecida como sendo uma rede zumbi chamada Dridex. Quando este artigo foi originalmente escrito, a rede zumbi ainda estava ativa, ainda que o malware em si estivesse dormente. O Avast detecta esta infecção como Win32: Pierre-A.

Cibercriminosos utilizam engenharia social para manipular suas vítimas. Seja extremamente cuidadoso ao abrir emails financeiros antes de ter certeza absoluta de que são legítimos.

Amostras utilizadas nesta análise:

PDF virustotal
DOC virustotal
PE virustotal

Categories: Analyses, General, Virus Lab Tags:
Comments off
23, fevereiro, 2015

Simplocker: o Crypto-Ransomware móvel volta a atacar

Em junho de 2014, escrevemos sobre um ransomware móvel chamado Simplocker que na prática criptografa os seus arquivos (antes do Simplocker, o ransomware móvel somente informava que havia criptografado os arquivos para assustar os usuários e conseguir o pagamento). O Simplocker infectou mais de 20.000 usuários diferentes, bloqueando os aparelhos Android e criptografando os arquivos localizados no cartão de memória externo. Depois, exigia das vítimas o pagamento de um resgate para “liberar” o aparelho. Era fácil descriptografar os arquivos afetados por aquela variante do Simplocker, porque a chave de desencriptação estava codificada dentro do malware e não era exclusiva para cada aparelho infectado.

As perigosas chaves exclusivas

keyMas agora há uma nova e mais sofisticada variante do Simplocker que já infectou cerca de 5.000 usuários. Esta variante é mais perigosa que a anterior porque gera chaves únicas para cada aparelho infectado, tornando muito mais difícil a descriptografia destes aparelhos.

Para utilizar uma analogia, a variante original do Simplocker utilizava uma “chave mestra” para bloquear os aparelhos, o que tornava possível o envio de uma “cópia da chave mestra” (na forma de um aplicativo, o Avast Ransomware Removal) para desbloquear os aparelhos infectados. A nova variante, contudo, bloqueia cada aparelho com uma “chave diferente”, o que torna impossível fornecer uma solução que desbloqueia todos os aparelhos, porque seria preciso “fazer cópias” de todas as chaves diferentes.

Por que alguém iria instalar o Simplocker?!

A razão pela qual as pessoas instalam esta nova variante do Simplocker é porque nem percebem que estão instalando um ransomware!

Fake Flash

O Simplocker parece ser um aplicativo real.

Neste caso, uma nova variante do Simplocker utiliza o nome de “Flash Player” e se esconde em propagandas maliciosas hospedadas em sites obscuros. Na maioria das vezes, estas propagandas “alertam” os usuários que eles precisam instalar o Flash Player para ver vídeos. Quando eles clicam na propaganda, o aplicativo malicioso é baixado e o sistema informa que o suposto aplicativo Flash Player pode ser instalado. O Android, por padrão, bloqueia a instalação de outras lojas, e por isso os usuários são informados que a instalação está bloqueada por razões de segurança.

Solicitação de administrador do aparelho

Os usuários devem obedecer ao conselho do Android. Contudo, os usuários podem ir às suas configurações e desativar o bloqueio para baixar aplicativos de fontes desconhecidas. Uma vez instalado, o ícone do aplicativo “Flash Player” aparece no aparelho e quando é aberto, o “Flash Player” solicita direitos administrativos no aparelho, e é aqui que o problema começa.

Uma vez com privilégios administrativos, o malware utiliza engenharia social para enganar o usuário e exigir que pague um resgate para desbloquear o aparelho e descriptografar os arquivos. O aplicativo diz ser do FBI, alertando o usuário que encontrou arquivos suspeitos que violam as leis de copyright e exige o pagamento de uma multa de 200 dólares para descriptografar os arquivos.

device-2015-02-05-143216 Alertas do FBI são um exemplo de engenharia social

O que eu devo fazer se já fui infectado?

Não recomendamos o pagamento do resgate. Caindo nestas táticas encoraja os autores de malwares a continuar com seus crimes.

Se você foi infectado por esta nova variante do Simplocker, faça backup dos seus arquivos criptografados no seu computador. Isto não irá causar nenhum mal ao seu computador, mas você terá de aguardar até que uma solução para descriptografar estes arquivos seja descoberta. Reinicie o seu telefone no modo de segurança, vá às configurações de segurança e do administrador do dispositivo e desmarque o aplicativo malicioso, depois desinstale o aplicativo através do gerenciador de aplicativos.

O Avast protege seus usuários do Simplocker

O Avast Mobile Security protege os seus usuários contra as variações antigas e novas do Simplocker. A nova variante é detectada como: Android:Simplocker-AA.

Um olhar mais técnico por baixo do pano:

Depois que o falso alerta do FBI é mostrado aos usuários, o malware continua trabalhando por baixo do plano, descriptografando a comunicação interna para obter informações:

2015-02-05_17-26-17

Configuração interna

O malware se comunica com o seu servidor a cada 60 minutos. Na primeira comunicação, envia dados como: BUILD_ID, AFFILIATE_ID, IMEI, OS, OperatorName, PhoneNumber e Country para identificar o aparelho. A seguir verifica se os arquivos foram criptografados ou não. Todos os dados de retorno do servidor são formatados como: Base64 ( CRC(data) + MalwareEncryption(data) ).

Os dados recebidos do servidor (configuração privada) são salvos em um arquivo <name>.properties na raiz do armazenamento externo do aparelho.

Comandos e controles

O malware se comunica com o servidor através do protocolo XMPP e Jabber.

graphserver

Comunicação com o servidor

O malware abre a conexão com um dos JIDs (Jabber IDs) que for encontrado na configuração interna (por exemplo, timoftei@xmpp.jp:LarXrEc6WK2).

2015-02-05_13-20-34

A conexão é estabelecida com o servidor do domínio (xmpp.jp), depois utiliza o nome do usuário (timoftei) e a senha (LarXrEc6WK2) para se auto-autorizar. Depois da autorização, tenta obter a roster do usuário para encontrar o “JID master”, possivelmente aquele o usuário que irá enviar de volta os dados (configuração privada) para o malware. Depois deste processo, os dados são analisados e salvos no arquivo <name>.properties na raiz do armazenamento externo do aparelho.

Depois de obter as configurações privadas, o malware começa a criptografar os arquivos.

Lista dos hashes SHA-256:

4A0677D94DD4683AC45D64C278B6E77424579433398CA9005C50A43FBBD6C8C2
8E9561215E1ACE91F93B4FAD30DA6F368A9E743D3BE59EA34061ECA8EBAB1F33
93FE7B9212E669BCF443F82303B41444CFE53ACEF8AC3A9F276C0FD2F7E6F123

Categories: Analyses, Android corner, Virus Lab Tags:
Comments off
16, janeiro, 2015

Android: fazer backup dos seus dados é a mesma coisa do que torná-los públicos? Neste caso, sim!

Você perdeu alguns contatos do seu celular? Você pode encontrá-los na nuvem. Em um lugar de acesso público! 1playstore photo

Sério.

Se você se preocupa com a sua privacidade, deve sempre suspeitar de soluções de “backup na nuvem” que você encontra na loja Google Play Store. O aplicativo Cloud Backup Contacts faz backups online dos seus contatos pessoais e eles se tornam públicos.

Depois de abrir o aplicativo, você verá uma tela onde pode informar o seu número de telefone e escolher uma senha. Depois você pode enviar os seus contatos para a nuvem.

2app

Uma rápida análise do aplicativo mostra-nos como ele exatamente faz o backup dos seus contatos na nuvem. Os contatos são associados com o número do telefone que você forneceu na etapa anterior e enviados através de pedidos HTTP POST em uma página PHP.

3savedatacloud

Uma análise mais profunda do tráfego capturado pelo Fiddler ajuda-nos a desvendar os resultados das figuras acima: uma página online, onde qualquer um pode ver, contém centenas de números de telefones e senhas não criptografados. Utilizando a informação do aplicativo, você pode obter dados pessoais privados (contatos) de qualquer outro usuário.

4fiddlerinfo 5datafromserver

Encontramos informações de países como o Brasil, Grécia e outros

A página deste aplicativo na Google Play Store diz que este aplicativo foi instalado 50.000-100.000 vezes. É um número muito grande de instalações para um aplicativo que não segue as práticas básicas de segurança do Android. O desenvolvedor deveria utilizar tecnologias como o HTTPS, o SSL e criptografia dos dados a serem transmitidos através da internet e também no armazenamento no servidor. O Nogotofail é uma ferramenta de teste de segurança de rede muito útil que foi criada pelo Google “para ajudar os desenvolvedores e pesquisadores de segurança a descobrir e corrigir conexões TLS/SSL frágeis e tráfego de dados privados em formato de texto aberto em aparelhos e aplicativos, tudo isto de uma forma flexível, escalonável e poderosa”

6appinfoplaystoreReportamos ao Google a situação deste aplicativo.

O Avast detecta este aplicativo como Android:DataExposed-B [PUP].

SHA-256 das amostras:
F51803FD98C727F93E502C13C9A5FD759031CD2A5B5EF8FE71211A0AE7DEC78C 199DD6F3B452247FBCC7B467CB88C6B0486194BD3BA01586355BC32EFFE37FAB

Mais de 200 milhões de pessoas e negócios confiam nos aplicativos de segurança da Avast Software para Windows, Mac e Android. Por favor, siga-nos no Facebook, Twitter e Google+.

Comments off
11, junho, 2014

As senhas dos hackers são mais fortes do que as dos usuários comuns?

Os hackers utilizam senhas fracas como nós.

librarian_dict_smQuase duas mil senhas utilizadas por hackers vazaram esta semana quando Antonín Hýža, analista de malware da AVAST, estava decodificando strings PHP sem saber a chave de criptografia. Por não saber o conteúdo exato do arquivo criptografado, procurar a chave poderia levar anos. Antonín escolheu uma abordagem diferente. Ele decidiu saber quão fortes eram as senhas utilizadas pelos hackers e criou um “dicionário”.

Ao longo dos anos lutando contra malwares, o Laboratório de Vírus do Avast coletou muitas amostras de vários back-doors, bots e shells. Alguns deles são protegidos por uma senha codificada em MD5, SHA1 ou em texto comum, e por aí ele começou. Ele estudou as 40.000 amostras de senhas de hackers e encontrou quase 2.000 que eram únicas e 1.255 delas eram textos simples. Outras 346 senhas foram facilmente quebradas a partir dos códigos MD5, porque eram menores do que 9 caracteres. Isto lhe deu um total de 1.601 senhas e 300 hashes. Ele estudou as estatísticas destas palavras e encontrou o seguinte:

1Senhas que ninguém irá imaginar
Porcentagem de caracteres utilizadas nas senhas dos hackers
Cerca de 10% das senhas estavam além da capacidade normal de adivinhação ou cracking. Dentro destas, Antonín descobriu palavras muito longas de até 75 caracteres, provavelmente geradas por um computador. Algumas delas em longas frases misturadas com caracteres especiais como, por exemplo, lol dont try cracking 12 char+. O problema é que foram armazenadas como textos simples.

Também haviam senhas que não utilizavam caracteres dos teclados em inglês. Mas ainda havia 90% de chances de ser uma palavra normal, talvez com algum número intercalado. Não menos do que 9% das senhas podiam ser encontradas em um dicionário de inglês.

A tabela ao lado mostra quais caracteres são utilizados nas senhas dos hackers. A primeira linha significa que 58% das senhas continham apenas caracteres alfabéticos minúsculos. Uma senha não foi incluída nesta tabela porque o seu hash era: d41d8cd98f00b204e9800998ecf8427e. É o hash de um string vazio.

2O comprimento médio das senhas dos hackers é de 6 caracteresSenhas e caracteres mais utilizados

A tabela ao lado mostra o tamanho das senhas dos hackers. O comprimento médio das senhas dos hackers é de 6 caracteres. Houve somente 53 senhas mais longas do que 12 caracteres.

Geralmente, há muitas variações de palavras, desde o campo da informática a palavras em inglês, incluindo nomes e frases inteiras, mas quase nenhuma continha letras maiúsculas. Algumas das senhas são criadas com palavras em inglês, mas utilizando leet speak. É uma forma de escrever onde números são utilizados para parecer letras, por exemplo, A parece-se com 4, I com 1. Utilizando o leet speak uma senha com letras “o, i, e, a, s, t” é substituída pelo seu equivalente 0, 1, 3, 4, 5, 7.

Na tabela abaixo é mostrado a ocorrência de letras minúsculas nas senhas. A mais utilizada é a letra a, e as letras f, j, v, w, y, z são raramente utilizadas. Na sequência mais longa de letras minúsculas, aparecerem 38 q, o que supera o caractere maiúsculo S com 28 ocorrências. No conjunto dos caracteres especiais, a letra minúscula q é quase tão utilizada como o ponto (“.”), com 42 ocorrências.

A ocorrência de letras minúsculas nas senhas dos hackers

As letras maiúsculas e suas ocorrências são mostradas na próxima tabela. Todas elas são raramente utilizadas e, quando são, ou são a primeira letra da senha, ou uma palavra inteira é escrita com maiúsculas. Somente poucas senhas utilizavam uma verdadeira combinação de letras maiúsculas e minúsculas.

A ocorrência de letras maiúsculas nas senhas dos hackers

A próxima tabela mostra quais os caracteres especiais preferidos dos hackers e quanto eles os utilizam para melhorar as suas senhas. O primeiro caractere da tabela é um espaço e isto revelou uma coisa interessante: um ou cinco espaços pode ser uma senha muito inteligente, mas não muito segura, pois são testadas logo no início. Nem todos os caracteres especiais estão listados abaixo porque ,  =  ~  |  [  ] não foram utilizados nenhuma vez.

A ocorrência de caracteres especiais nas senhas dos hackersA última tabela mostra a ocorrência de números. Os números foram utilizados em quase 30% das senhas e por isso a tabela só mostra os maiores números. O mais utilizado é o número 1 com 356 ocorrências.

graph_0-9

No momento, você deve estar imaginando qual a senha favorita dos hackers. Há muitas variações das palavras pass e root e também hax foi utilizada muitas vezes, mas se omitirmos uma palavra muito comum de 4 letras, a senha mais frequentemente utilizada pelos hackers é hack. Vale a pena mencionar que em muitos casos havia apenas uma senha padrão como r57, c99, password ou yourpass.

Quando comparamos todas as descobertas dos gráficos acima, podemos dizer que a senha média dos hackers terá no máximo 6 caracteres, contém letras minúsculas e números e deriva de palavras em inglês. Não foi tão difícil quanto Antonín pensava, e a maioria das senhas dos hackers é ainda mais fraca que a da maioria das pessoas normais, como, por exemplo, as que você encontra neste artigo. Mas se eu topar com um hacker que utiliza uma senha realmente forte e se preocupa com segurança? Então precisaremos de um conjunto de caracteres especiais, mas pequeno o suficiente para que com força bruta levemos alguns dias (em vez de meses) para quebrar a senha.

3

Melhores conjuntos de caracteres das senhas dos hackers

Utilizando apenas as estatísticas anteriores, podemos construir dois caracteres que devem cobrir a maioria das senhas utilizadas. Quando o dicionário falha, há outras formas de prosseguir, sempre há a força bruta.

1) acdehiklmnorstu01234579!-.@_ (28 caracteres)

2) acdehiklmnorstubgpxyw0123456789!-.@_#$+*{espaço} (41 caracteres)

Não são tão pequenos quanto gostaríamos que fossem, mas isto não é o mais importante, pois cada vez que precisamos quebrar uma senha com força bruta, ela tinha apenas 6 ou 7 caracteres e isto foi feito muito rapidamente.

onebit_24Para os pesquisadores de malware interessados no dicionário descrito neste artigo, por favor, escrevam a Antonín Hýža a partir de um endereço de email confiável: hyza@avast.com para receber a sua cópia gratuita.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Analyses, Virus Lab Tags: , ,
Comments off
6, junho, 2014

Simplocker faz o que o nome sugere: simplesmente bloqueia o seu telefone!

Um novo Trojan para Android chamado Simplocker surgiu de um obscuro fórum na Russia, criptografando arquivos em troca de um resgate. O avast! detecta o Trojan como Android:Simplocker, os usuários do avast! Mobile Security e do avast! Mobile Premium podem dormir em paz: nós protegemos você!

malware, malware móvel, Trojan, SimplockerO The Trojan foi descoberto por pesquisadores de segurança da ESET no submundo de um fórum russo. O Trojan está disfarçado de um aplicativo adulto. Uma vez baixado, o Trojan escaneia o cartão em busca de imagens, documentos e vídeos, criptografando-os com o sistema Advanced Encryption Standard (AES). O Trojan mostra uma mensagem em russo, alertando a vítima que o seu telefone foi bloqueado e acusando-a de ter visto e baixado pornografia infantil. O Trojan exige 21 dólares como resgate a ser pago em moeda local da Ucrânia em 24 horas, prometendo excluir todos os arquivos que foram criptografados se o resgate não for pago. Nikolaos Chrysaidos, analista de malware para Android da AVAST, descobriu que o malware não apaga nenhum arquivo criptografado porque não tem capacidade para isto. As vítimas não podem remover a mensagem a menos que depositem o resgate com o MoneXy. Se o resgate é pago, o malware espera pelo comando enviado pelo servidor (C&C) para descriptografar os arquivos.

O que podemos aprender com isto?

Ainda que este Trojan tenha por alvo somente uma região específica e não esteve disponível na loja Google Play, não pode ser menosprezado. É apenas o início deste tipo de malware móvel e foi pensado como comprovação da eficiência do método. Especialistas preveem que malwares que exigem resgate se tornarão mais e mais comuns em dispositivos móveis. Assim que os fabricantes de malware ganhem mais prática, verão que podem ganhar dinheiro fácil com métodos como este, e o malware se tornará cada vez mais perigoso.

Podemos apenas especular sobre os métodos que surgirão para que consigam injetar estes aplicativos maliciosos nos mercados oficiais como a Google Play, ou mesmo tirar vantagem de outros vetores como os navegadores móveis e anexos de e-mails. Por isso é absolutamente necessário que as pessoas utilizem uma proteção antivírus em seus smartphones e tablets. Os aparelhos móveis contém grande quantidade de dados pessoais valiosos e, por isso, são o maior alvo.

Malwares que exigem resgate (os chamados ransomware) podem ser um método efetivo para que os criminosos explorem usuários vulneráveis, muitos dos quais não fazem backup dos seus dados. Assim como o ransomware para PCs, a ameaça de perder dados sentimentais como fotos de famílias e amigos, é algo terrível.

Não dê chance aos cibercriminosos. Proteja-se baixando gratuitamente o avast! Mobile Security.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
6, junho, 2014

Cuidado fãs do futebol: nem todos os aplicativos são jogos, alguns procuram outras coisas!

A Copa do Mundo está aí! Você já entrou no espírito da Copa? O time de analistas de malwares móveis da AVAST está ligado e baixou jogos e outros aplicativos relacionados com o futebol da loja Google Play. Infelizmente, notamos que alguns aplicativos de entretenimento que baixamos não nos divertiram como pensamos…

A AVAST detecta falsos aplicativos de jogos de futebol: Android:FakeViSport

Alguns jogos para Android que baixamos mostraram apenas propagandas em vez de deixar-nos jogar. Deixe-me mostrar um grupo deles. Não conseguimos jogar o Corner Kick World Cup 2014 de jeito nenhum, porque ele não fazia outra coisa senão mostrar uma tela em branco com propagandas surgindo de vez em quando. Este aplicativo é chocante: quando vemos o tamanho do aplicativo notamos que é realmente pequeno, menos de 1Mb. Que tipo de jogo você pode esperar de um aplicativo deste tamanho?! O mais interessante é que o jogo foi desenvolvido pela VinoSports. Se você verificar os outros aplicativos que eles oferecem na Google Play verá que são todos iguais: somente aplicativos vazios cheios de propaganda.

Vinospots

wideInfelizmente, isto é uma forma muito comum e traiçoeira de dar dinheiro aos desenvolvedores. Com aplicativos como este, os únicos beneficiados são os desenvolvedores, que recebem dinheiro por cada clique nas propagandas mostradas nos seus aplicativos. A partir de agora, serão detectados como Android:FakeViSport. Eles são falsos aplicativos que pretendem ser um objeto de desejo, mas não são.

Alguns aplicativos estão na zona cinzenta

O segundo aplicativo que queremos mencionar é o Fifa 2014 Free – World Cup. O aplicativo vem de um grande desenvolvedor, “Top Game Kingdom LLC”, que têm inúmeros aplicativos na Google Play e outras lojas. Este contudo não parece ser um aplicativo confiável. O Fifa 2014 Free – World Cup pode ser considerado, no mínimo, suspeito.

Para um aplicativo da Copa do Mundo, o nome do pacote de instalação não tem nada a ver com o nome do aplicativo em si. O aplicativo é chamado Football World Cup 14 e o seu pacote de instalação, “com.topgame.widereceiverfree”.Football World Cup 14, também é conhecido como “Widereceiverfree” e solicita o acesso a informações que não têm nada a ver com as funções do aplicativo, como localização, log de chamadas e acesso a outras contas do telefone.

Estranho também é que o desenvolvedor do Football World Cup 14 tem ainda mais aplicativos no mercado, a maioria deles com comportamento semelhante. Eles pretendem ser algo diferente do que na realidade são. No fim das contas, você pode encontrar algo semelhante a um jogo, um jogo cheio de obstáculos e com permissões que podem ser facilmente utilizadas para coletar e fazer mal uso de suas informações pessoais.

Tom game kingdom

Aplicativos que mostram propagandas não são necessariamente maliciosos. Muitos aplicativos, especialmente os gratuitos, são mantidos pelas propagandas. Eles podem, contudo enervar, especialmente quando as propagandas não saem da frente e impedem que você utilize o próprio aplicativo. Os aplicativos que acessam mais informações do seu telefone do que precisam para o seu funcionamento parecem inocentes, especialmente porque não há nenhuma evidência visível de que isto está acontecendo, mas eles podem causar mais mal do que você pensa.

Recomendamos que você olhe com lupa os aplicativos que baixe durante a Copa, sejam jogos, aplicativos live streaming ou que permitam apostas na sua seleção e, desta forma, tenha certeza de que estará seguro e livre das propagandas tanto quanto possível!

Coisas para estar atentos ao baixar aplicativos:

Utilize as lojas oficiais de aplicativos. Muitos dos malwares móveis vem de lojas não-oficiais de aplicativos, somente poucos deles vem da loja oficial Google Play.

Baixe os aplicativos oficiais nos quais você pode confiar. A Google Play é uma plataforma aberta aos desenvolvedores, por isso contém uma infinidade de aplicativos. Não entendemos porque as pessoas se sentem atraídas por todos os aplicativos que encontram: há mais de 125 aplicativos de vuvuzela na Google Play! Recomendamos aos usuários tomem cuidado e baixem apenas aplicativos oficiais dos desenvolvedores nos quais confiam. Os desenvolvedores confiáveis gostam dos seus usuários, o que significa que desejam fornecer um produto de qualidade, não uma infinidade de aplicativos. A FIFA tem um bom aplicativo de resultados ao vivo e notícias e a EA Sports tem um jogo oficial da FIFA.

Compare as funções dos aplicativos com as permissões que solicitam. Alguns aplicativos precisam acessar certos dados no seu aparelho, um aplicativo de mapas precisa acesso à sua localização para dar-lhe informações corretas sobre o caminho a fazer. Os pedidos de acesso dos aplicativos começam a ser suspeitos quando, por exemplo, a sua vuvuzela deseja acessar a sua localização. A menos que o seu novo aplicativo vuvuzela utilize a sua localização para determinar em qual país você está para tocar o seu hino nacional, por que ele precisa saber a sua localização? Seja sempre cauteloso(a) quando conceda estas permissões aos aplicativos e tenha certeza de que estes pedidos fazem sentido pelas funções do aplicativo. Você não deseja que informações pessoais sejam coletas e que, depois, possam ser usadas contra você.

Leia os comentários dos usuários. Você nem sempre pode confiar no que as pessoas postam online, mas se muitas pessoas gostam ou não gostam de um aplicativo, você pode ter uma boa ideia se deve ou não baixá-lo com base nos comentários que fizeram.

O nosso aplicativo de segurança móvel, o avast! Mobile Premium, tem uma função de detecção de propagandas. O detector de propagandas encontra quais aplicativos estão conectados às redes de propaganda e fornece detalhes do como rastreiam o sistema, por isso, você pode ter uma visão completa de todas as redes de propaganda acessadas pelos seus aplicativos.

Você pode baixar o avast! Mobile Security gratuitamente na Google Play ou, para funções adicionais, como o detector de propagandas, você pode baixar o avast! Mobile Premium por 1,99 dólares por mês.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
15, maio, 2014

Ataques ransomware estão ocorrendo em massa via sites: cuidado!

O infográfico do Laboratório de Vírus do avast! mostra a proliferação dos ataques ransomware via navegadores nos últimos três meses.

AtençãoSaindo da página de alertaDurante o mês de dezembro, publicamos em nosso blog sobre os truques e as táticas dos ransomwares via navegadores. Os ransomwares de navegadores são malwares que atacam através de vários navegadores para impedir que as pessoas continuem a utilizar os seus PCs. Para obter acesso novamente, a vítima desses malwares têm que pagar um resgate para desbloquear o computador. A chave do sucesso deste ataque é a tradução em várias línguas, dando aos cibercriminosos acesso a um maior número de potenciais vítimas.

Hoje gostaríamos de voltar a informar sobre os ataques de ransomwares via navegadores e compartilhar com você alguns dados da avast! CommunityIQ.

Detectamos os ataques de ransomwares através de vários métodos diferentes. As detecções que acompanhamos foram criadas no dia 30 de janeiro de 2014. Foi realmente uma surpresa o alto impacto deste ataque aos usuários do avast!

  • Em pouco menos de 3 meses, o avast! protegeu mais de meio milhão de usuários diferentes em todo mundo dos ataques ransomwares.
  • Nas últimas 6 semanas, os usuários avast! visitaram sem saber mais de 18 milhões de vezes um site com ransomware.
  • Em apenas 24 horas, o avast! impediu o redirecionamento de sites infectados para outros que hospedavam ransomware para mais de 18.000 usuários diferentes.

O Laboratório de Vírus do avast! acompanha os ransomwares

Os cibercriminosos por trás dos ataques alteram constantemente os domínios onde se hospeda o malware. A cada 10 minutos aproximadamente, um novo domínio é criado e estes números estão crescendo lentamente. Os usuários são então redirecionados para um novo domínio.

Nos dias de hoje, os domínios maliciosos são hospedados em 117 IPs diferentes. Estes IPs estão distribuídos em todo o mundo, da Áustria ao Brasil ou Canadá. Estes são os endereços em Montreal (Canadá) e Denver (Colorado).

Ransomware via navegadores utilizam domínios maliciosos em 117 IPs.Este exemplo mostra os domínios hospedados em um IP.

Sites hospedados

Este mapa mostra a localização dos usuários que entraram em sites infectados nos últimos 5 dias. Os ransomwares via navegadores estão tendo um enorme impacto nos usuários do avast! na França, na maioria da América do Norte, em alguns países nórdicos e na Austrália.

Ransomware

Ao examinar os dados desde que a detecção foi criada vemos a enorme quantidade de usuários que visitam domínios infectados por ransomware na América do Norte, mas um número ainda maior de usuários da Polônia. Outros pontos críticos com números consideráveis estão na Itália, Canadá, alguns países da África, América do Sul e Rússia.

Ransomware

Os usuários do avast! Antivírus estão protegidos ao visitarem sites com ransomwares, mas não se esqueça de que cada computador pode ser vítima de uma nova tática destes criminosos. Neste caso, somente o bom senso poderá ajudar a proteger os seus dados, o seu dinheiro e o seu computador.

Versão francesa do ransomware via navegadores:
SHA256  a39ef2658b72bc0966a92f80329d276ea27344d7d62b9021475630d29397a7cb

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off