Protecting over 230 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
23, fevereiro, 2015

Simplocker: o Crypto-Ransomware móvel volta a atacar

Em junho de 2014, escrevemos sobre um ransomware móvel chamado Simplocker que na prática criptografa os seus arquivos (antes do Simplocker, o ransomware móvel somente informava que havia criptografado os arquivos para assustar os usuários e conseguir o pagamento). O Simplocker infectou mais de 20.000 usuários diferentes, bloqueando os aparelhos Android e criptografando os arquivos localizados no cartão de memória externo. Depois, exigia das vítimas o pagamento de um resgate para “liberar” o aparelho. Era fácil descriptografar os arquivos afetados por aquela variante do Simplocker, porque a chave de desencriptação estava codificada dentro do malware e não era exclusiva para cada aparelho infectado.

As perigosas chaves exclusivas

keyMas agora há uma nova e mais sofisticada variante do Simplocker que já infectou cerca de 5.000 usuários. Esta variante é mais perigosa que a anterior porque gera chaves únicas para cada aparelho infectado, tornando muito mais difícil a descriptografia destes aparelhos.

Para utilizar uma analogia, a variante original do Simplocker utilizava uma “chave mestra” para bloquear os aparelhos, o que tornava possível o envio de uma “cópia da chave mestra” (na forma de um aplicativo, o Avast Ransomware Removal) para desbloquear os aparelhos infectados. A nova variante, contudo, bloqueia cada aparelho com uma “chave diferente”, o que torna impossível fornecer uma solução que desbloqueia todos os aparelhos, porque seria preciso “fazer cópias” de todas as chaves diferentes.

Por que alguém iria instalar o Simplocker?!

A razão pela qual as pessoas instalam esta nova variante do Simplocker é porque nem percebem que estão instalando um ransomware!

Fake Flash

O Simplocker parece ser um aplicativo real.

Neste caso, uma nova variante do Simplocker utiliza o nome de “Flash Player” e se esconde em propagandas maliciosas hospedadas em sites obscuros. Na maioria das vezes, estas propagandas “alertam” os usuários que eles precisam instalar o Flash Player para ver vídeos. Quando eles clicam na propaganda, o aplicativo malicioso é baixado e o sistema informa que o suposto aplicativo Flash Player pode ser instalado. O Android, por padrão, bloqueia a instalação de outras lojas, e por isso os usuários são informados que a instalação está bloqueada por razões de segurança.

Solicitação de administrador do aparelho

Os usuários devem obedecer ao conselho do Android. Contudo, os usuários podem ir às suas configurações e desativar o bloqueio para baixar aplicativos de fontes desconhecidas. Uma vez instalado, o ícone do aplicativo “Flash Player” aparece no aparelho e quando é aberto, o “Flash Player” solicita direitos administrativos no aparelho, e é aqui que o problema começa.

Uma vez com privilégios administrativos, o malware utiliza engenharia social para enganar o usuário e exigir que pague um resgate para desbloquear o aparelho e descriptografar os arquivos. O aplicativo diz ser do FBI, alertando o usuário que encontrou arquivos suspeitos que violam as leis de copyright e exige o pagamento de uma multa de 200 dólares para descriptografar os arquivos.

device-2015-02-05-143216 Alertas do FBI são um exemplo de engenharia social

O que eu devo fazer se já fui infectado?

Não recomendamos o pagamento do resgate. Caindo nestas táticas encoraja os autores de malwares a continuar com seus crimes.

Se você foi infectado por esta nova variante do Simplocker, faça backup dos seus arquivos criptografados no seu computador. Isto não irá causar nenhum mal ao seu computador, mas você terá de aguardar até que uma solução para descriptografar estes arquivos seja descoberta. Reinicie o seu telefone no modo de segurança, vá às configurações de segurança e do administrador do dispositivo e desmarque o aplicativo malicioso, depois desinstale o aplicativo através do gerenciador de aplicativos.

O Avast protege seus usuários do Simplocker

O Avast Mobile Security protege os seus usuários contra as variações antigas e novas do Simplocker. A nova variante é detectada como: Android:Simplocker-AA.

Um olhar mais técnico por baixo do pano:

Depois que o falso alerta do FBI é mostrado aos usuários, o malware continua trabalhando por baixo do plano, descriptografando a comunicação interna para obter informações:

2015-02-05_17-26-17

Configuração interna

O malware se comunica com o seu servidor a cada 60 minutos. Na primeira comunicação, envia dados como: BUILD_ID, AFFILIATE_ID, IMEI, OS, OperatorName, PhoneNumber e Country para identificar o aparelho. A seguir verifica se os arquivos foram criptografados ou não. Todos os dados de retorno do servidor são formatados como: Base64 ( CRC(data) + MalwareEncryption(data) ).

Os dados recebidos do servidor (configuração privada) são salvos em um arquivo <name>.properties na raiz do armazenamento externo do aparelho.

Comandos e controles

O malware se comunica com o servidor através do protocolo XMPP e Jabber.

graphserver

Comunicação com o servidor

O malware abre a conexão com um dos JIDs (Jabber IDs) que for encontrado na configuração interna (por exemplo, timoftei@xmpp.jp:LarXrEc6WK2).

2015-02-05_13-20-34

A conexão é estabelecida com o servidor do domínio (xmpp.jp), depois utiliza o nome do usuário (timoftei) e a senha (LarXrEc6WK2) para se auto-autorizar. Depois da autorização, tenta obter a roster do usuário para encontrar o “JID master”, possivelmente aquele o usuário que irá enviar de volta os dados (configuração privada) para o malware. Depois deste processo, os dados são analisados e salvos no arquivo <name>.properties na raiz do armazenamento externo do aparelho.

Depois de obter as configurações privadas, o malware começa a criptografar os arquivos.

Lista dos hashes SHA-256:

4A0677D94DD4683AC45D64C278B6E77424579433398CA9005C50A43FBBD6C8C2
8E9561215E1ACE91F93B4FAD30DA6F368A9E743D3BE59EA34061ECA8EBAB1F33
93FE7B9212E669BCF443F82303B41444CFE53ACEF8AC3A9F276C0FD2F7E6F123

Categories: Analyses, Android corner, Virus Lab Tags:
16, janeiro, 2015

Android: fazer backup dos seus dados é a mesma coisa do que torná-los públicos? Neste caso, sim!

Você perdeu alguns contatos do seu celular? Você pode encontrá-los na nuvem. Em um lugar de acesso público! 1playstore photo

Sério.

Se você se preocupa com a sua privacidade, deve sempre suspeitar de soluções de “backup na nuvem” que você encontra na loja Google Play Store. O aplicativo Cloud Backup Contacts faz backups online dos seus contatos pessoais e eles se tornam públicos.

Depois de abrir o aplicativo, você verá uma tela onde pode informar o seu número de telefone e escolher uma senha. Depois você pode enviar os seus contatos para a nuvem.

2app

Uma rápida análise do aplicativo mostra-nos como ele exatamente faz o backup dos seus contatos na nuvem. Os contatos são associados com o número do telefone que você forneceu na etapa anterior e enviados através de pedidos HTTP POST em uma página PHP.

3savedatacloud

Uma análise mais profunda do tráfego capturado pelo Fiddler ajuda-nos a desvendar os resultados das figuras acima: uma página online, onde qualquer um pode ver, contém centenas de números de telefones e senhas não criptografados. Utilizando a informação do aplicativo, você pode obter dados pessoais privados (contatos) de qualquer outro usuário.

4fiddlerinfo 5datafromserver

Encontramos informações de países como o Brasil, Grécia e outros

A página deste aplicativo na Google Play Store diz que este aplicativo foi instalado 50.000-100.000 vezes. É um número muito grande de instalações para um aplicativo que não segue as práticas básicas de segurança do Android. O desenvolvedor deveria utilizar tecnologias como o HTTPS, o SSL e criptografia dos dados a serem transmitidos através da internet e também no armazenamento no servidor. O Nogotofail é uma ferramenta de teste de segurança de rede muito útil que foi criada pelo Google “para ajudar os desenvolvedores e pesquisadores de segurança a descobrir e corrigir conexões TLS/SSL frágeis e tráfego de dados privados em formato de texto aberto em aparelhos e aplicativos, tudo isto de uma forma flexível, escalonável e poderosa”

6appinfoplaystoreReportamos ao Google a situação deste aplicativo.

O Avast detecta este aplicativo como Android:DataExposed-B [PUP].

SHA-256 das amostras:
F51803FD98C727F93E502C13C9A5FD759031CD2A5B5EF8FE71211A0AE7DEC78C 199DD6F3B452247FBCC7B467CB88C6B0486194BD3BA01586355BC32EFFE37FAB

Mais de 200 milhões de pessoas e negócios confiam nos aplicativos de segurança da Avast Software para Windows, Mac e Android. Por favor, siga-nos no Facebook, Twitter e Google+.

Comments off
11, junho, 2014

As senhas dos hackers são mais fortes do que as dos usuários comuns?

Os hackers utilizam senhas fracas como nós.

librarian_dict_smQuase duas mil senhas utilizadas por hackers vazaram esta semana quando Antonín Hýža, analista de malware da AVAST, estava decodificando strings PHP sem saber a chave de criptografia. Por não saber o conteúdo exato do arquivo criptografado, procurar a chave poderia levar anos. Antonín escolheu uma abordagem diferente. Ele decidiu saber quão fortes eram as senhas utilizadas pelos hackers e criou um “dicionário”.

Ao longo dos anos lutando contra malwares, o Laboratório de Vírus do Avast coletou muitas amostras de vários back-doors, bots e shells. Alguns deles são protegidos por uma senha codificada em MD5, SHA1 ou em texto comum, e por aí ele começou. Ele estudou as 40.000 amostras de senhas de hackers e encontrou quase 2.000 que eram únicas e 1.255 delas eram textos simples. Outras 346 senhas foram facilmente quebradas a partir dos códigos MD5, porque eram menores do que 9 caracteres. Isto lhe deu um total de 1.601 senhas e 300 hashes. Ele estudou as estatísticas destas palavras e encontrou o seguinte:

1Senhas que ninguém irá imaginar
Porcentagem de caracteres utilizadas nas senhas dos hackers
Cerca de 10% das senhas estavam além da capacidade normal de adivinhação ou cracking. Dentro destas, Antonín descobriu palavras muito longas de até 75 caracteres, provavelmente geradas por um computador. Algumas delas em longas frases misturadas com caracteres especiais como, por exemplo, lol dont try cracking 12 char+. O problema é que foram armazenadas como textos simples.

Também haviam senhas que não utilizavam caracteres dos teclados em inglês. Mas ainda havia 90% de chances de ser uma palavra normal, talvez com algum número intercalado. Não menos do que 9% das senhas podiam ser encontradas em um dicionário de inglês.

A tabela ao lado mostra quais caracteres são utilizados nas senhas dos hackers. A primeira linha significa que 58% das senhas continham apenas caracteres alfabéticos minúsculos. Uma senha não foi incluída nesta tabela porque o seu hash era: d41d8cd98f00b204e9800998ecf8427e. É o hash de um string vazio.

2O comprimento médio das senhas dos hackers é de 6 caracteresSenhas e caracteres mais utilizados

A tabela ao lado mostra o tamanho das senhas dos hackers. O comprimento médio das senhas dos hackers é de 6 caracteres. Houve somente 53 senhas mais longas do que 12 caracteres.

Geralmente, há muitas variações de palavras, desde o campo da informática a palavras em inglês, incluindo nomes e frases inteiras, mas quase nenhuma continha letras maiúsculas. Algumas das senhas são criadas com palavras em inglês, mas utilizando leet speak. É uma forma de escrever onde números são utilizados para parecer letras, por exemplo, A parece-se com 4, I com 1. Utilizando o leet speak uma senha com letras “o, i, e, a, s, t” é substituída pelo seu equivalente 0, 1, 3, 4, 5, 7.

Na tabela abaixo é mostrado a ocorrência de letras minúsculas nas senhas. A mais utilizada é a letra a, e as letras f, j, v, w, y, z são raramente utilizadas. Na sequência mais longa de letras minúsculas, aparecerem 38 q, o que supera o caractere maiúsculo S com 28 ocorrências. No conjunto dos caracteres especiais, a letra minúscula q é quase tão utilizada como o ponto (“.”), com 42 ocorrências.

A ocorrência de letras minúsculas nas senhas dos hackers

As letras maiúsculas e suas ocorrências são mostradas na próxima tabela. Todas elas são raramente utilizadas e, quando são, ou são a primeira letra da senha, ou uma palavra inteira é escrita com maiúsculas. Somente poucas senhas utilizavam uma verdadeira combinação de letras maiúsculas e minúsculas.

A ocorrência de letras maiúsculas nas senhas dos hackers

A próxima tabela mostra quais os caracteres especiais preferidos dos hackers e quanto eles os utilizam para melhorar as suas senhas. O primeiro caractere da tabela é um espaço e isto revelou uma coisa interessante: um ou cinco espaços pode ser uma senha muito inteligente, mas não muito segura, pois são testadas logo no início. Nem todos os caracteres especiais estão listados abaixo porque ,  =  ~  |  [  ] não foram utilizados nenhuma vez.

A ocorrência de caracteres especiais nas senhas dos hackersA última tabela mostra a ocorrência de números. Os números foram utilizados em quase 30% das senhas e por isso a tabela só mostra os maiores números. O mais utilizado é o número 1 com 356 ocorrências.

graph_0-9

No momento, você deve estar imaginando qual a senha favorita dos hackers. Há muitas variações das palavras pass e root e também hax foi utilizada muitas vezes, mas se omitirmos uma palavra muito comum de 4 letras, a senha mais frequentemente utilizada pelos hackers é hack. Vale a pena mencionar que em muitos casos havia apenas uma senha padrão como r57, c99, password ou yourpass.

Quando comparamos todas as descobertas dos gráficos acima, podemos dizer que a senha média dos hackers terá no máximo 6 caracteres, contém letras minúsculas e números e deriva de palavras em inglês. Não foi tão difícil quanto Antonín pensava, e a maioria das senhas dos hackers é ainda mais fraca que a da maioria das pessoas normais, como, por exemplo, as que você encontra neste artigo. Mas se eu topar com um hacker que utiliza uma senha realmente forte e se preocupa com segurança? Então precisaremos de um conjunto de caracteres especiais, mas pequeno o suficiente para que com força bruta levemos alguns dias (em vez de meses) para quebrar a senha.

3

Melhores conjuntos de caracteres das senhas dos hackers

Utilizando apenas as estatísticas anteriores, podemos construir dois caracteres que devem cobrir a maioria das senhas utilizadas. Quando o dicionário falha, há outras formas de prosseguir, sempre há a força bruta.

1) acdehiklmnorstu01234579!-.@_ (28 caracteres)

2) acdehiklmnorstubgpxyw0123456789!-.@_#$+*{espaço} (41 caracteres)

Não são tão pequenos quanto gostaríamos que fossem, mas isto não é o mais importante, pois cada vez que precisamos quebrar uma senha com força bruta, ela tinha apenas 6 ou 7 caracteres e isto foi feito muito rapidamente.

onebit_24Para os pesquisadores de malware interessados no dicionário descrito neste artigo, por favor, escrevam a Antonín Hýža a partir de um endereço de email confiável: hyza@avast.com para receber a sua cópia gratuita.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Analyses, Virus Lab Tags: , ,
Comments off
6, junho, 2014

Simplocker faz o que o nome sugere: simplesmente bloqueia o seu telefone!

Um novo Trojan para Android chamado Simplocker surgiu de um obscuro fórum na Russia, criptografando arquivos em troca de um resgate. O avast! detecta o Trojan como Android:Simplocker, os usuários do avast! Mobile Security e do avast! Mobile Premium podem dormir em paz: nós protegemos você!

malware, malware móvel, Trojan, SimplockerO The Trojan foi descoberto por pesquisadores de segurança da ESET no submundo de um fórum russo. O Trojan está disfarçado de um aplicativo adulto. Uma vez baixado, o Trojan escaneia o cartão em busca de imagens, documentos e vídeos, criptografando-os com o sistema Advanced Encryption Standard (AES). O Trojan mostra uma mensagem em russo, alertando a vítima que o seu telefone foi bloqueado e acusando-a de ter visto e baixado pornografia infantil. O Trojan exige 21 dólares como resgate a ser pago em moeda local da Ucrânia em 24 horas, prometendo excluir todos os arquivos que foram criptografados se o resgate não for pago. Nikolaos Chrysaidos, analista de malware para Android da AVAST, descobriu que o malware não apaga nenhum arquivo criptografado porque não tem capacidade para isto. As vítimas não podem remover a mensagem a menos que depositem o resgate com o MoneXy. Se o resgate é pago, o malware espera pelo comando enviado pelo servidor (C&C) para descriptografar os arquivos.

O que podemos aprender com isto?

Ainda que este Trojan tenha por alvo somente uma região específica e não esteve disponível na loja Google Play, não pode ser menosprezado. É apenas o início deste tipo de malware móvel e foi pensado como comprovação da eficiência do método. Especialistas preveem que malwares que exigem resgate se tornarão mais e mais comuns em dispositivos móveis. Assim que os fabricantes de malware ganhem mais prática, verão que podem ganhar dinheiro fácil com métodos como este, e o malware se tornará cada vez mais perigoso.

Podemos apenas especular sobre os métodos que surgirão para que consigam injetar estes aplicativos maliciosos nos mercados oficiais como a Google Play, ou mesmo tirar vantagem de outros vetores como os navegadores móveis e anexos de e-mails. Por isso é absolutamente necessário que as pessoas utilizem uma proteção antivírus em seus smartphones e tablets. Os aparelhos móveis contém grande quantidade de dados pessoais valiosos e, por isso, são o maior alvo.

Malwares que exigem resgate (os chamados ransomware) podem ser um método efetivo para que os criminosos explorem usuários vulneráveis, muitos dos quais não fazem backup dos seus dados. Assim como o ransomware para PCs, a ameaça de perder dados sentimentais como fotos de famílias e amigos, é algo terrível.

Não dê chance aos cibercriminosos. Proteja-se baixando gratuitamente o avast! Mobile Security.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
6, junho, 2014

Cuidado fãs do futebol: nem todos os aplicativos são jogos, alguns procuram outras coisas!

A Copa do Mundo está aí! Você já entrou no espírito da Copa? O time de analistas de malwares móveis da AVAST está ligado e baixou jogos e outros aplicativos relacionados com o futebol da loja Google Play. Infelizmente, notamos que alguns aplicativos de entretenimento que baixamos não nos divertiram como pensamos…

A AVAST detecta falsos aplicativos de jogos de futebol: Android:FakeViSport

Alguns jogos para Android que baixamos mostraram apenas propagandas em vez de deixar-nos jogar. Deixe-me mostrar um grupo deles. Não conseguimos jogar o Corner Kick World Cup 2014 de jeito nenhum, porque ele não fazia outra coisa senão mostrar uma tela em branco com propagandas surgindo de vez em quando. Este aplicativo é chocante: quando vemos o tamanho do aplicativo notamos que é realmente pequeno, menos de 1Mb. Que tipo de jogo você pode esperar de um aplicativo deste tamanho?! O mais interessante é que o jogo foi desenvolvido pela VinoSports. Se você verificar os outros aplicativos que eles oferecem na Google Play verá que são todos iguais: somente aplicativos vazios cheios de propaganda.

Vinospots

wideInfelizmente, isto é uma forma muito comum e traiçoeira de dar dinheiro aos desenvolvedores. Com aplicativos como este, os únicos beneficiados são os desenvolvedores, que recebem dinheiro por cada clique nas propagandas mostradas nos seus aplicativos. A partir de agora, serão detectados como Android:FakeViSport. Eles são falsos aplicativos que pretendem ser um objeto de desejo, mas não são.

Alguns aplicativos estão na zona cinzenta

O segundo aplicativo que queremos mencionar é o Fifa 2014 Free – World Cup. O aplicativo vem de um grande desenvolvedor, “Top Game Kingdom LLC”, que têm inúmeros aplicativos na Google Play e outras lojas. Este contudo não parece ser um aplicativo confiável. O Fifa 2014 Free – World Cup pode ser considerado, no mínimo, suspeito.

Para um aplicativo da Copa do Mundo, o nome do pacote de instalação não tem nada a ver com o nome do aplicativo em si. O aplicativo é chamado Football World Cup 14 e o seu pacote de instalação, “com.topgame.widereceiverfree”.Football World Cup 14, também é conhecido como “Widereceiverfree” e solicita o acesso a informações que não têm nada a ver com as funções do aplicativo, como localização, log de chamadas e acesso a outras contas do telefone.

Estranho também é que o desenvolvedor do Football World Cup 14 tem ainda mais aplicativos no mercado, a maioria deles com comportamento semelhante. Eles pretendem ser algo diferente do que na realidade são. No fim das contas, você pode encontrar algo semelhante a um jogo, um jogo cheio de obstáculos e com permissões que podem ser facilmente utilizadas para coletar e fazer mal uso de suas informações pessoais.

Tom game kingdom

Aplicativos que mostram propagandas não são necessariamente maliciosos. Muitos aplicativos, especialmente os gratuitos, são mantidos pelas propagandas. Eles podem, contudo enervar, especialmente quando as propagandas não saem da frente e impedem que você utilize o próprio aplicativo. Os aplicativos que acessam mais informações do seu telefone do que precisam para o seu funcionamento parecem inocentes, especialmente porque não há nenhuma evidência visível de que isto está acontecendo, mas eles podem causar mais mal do que você pensa.

Recomendamos que você olhe com lupa os aplicativos que baixe durante a Copa, sejam jogos, aplicativos live streaming ou que permitam apostas na sua seleção e, desta forma, tenha certeza de que estará seguro e livre das propagandas tanto quanto possível!

Coisas para estar atentos ao baixar aplicativos:

Utilize as lojas oficiais de aplicativos. Muitos dos malwares móveis vem de lojas não-oficiais de aplicativos, somente poucos deles vem da loja oficial Google Play.

Baixe os aplicativos oficiais nos quais você pode confiar. A Google Play é uma plataforma aberta aos desenvolvedores, por isso contém uma infinidade de aplicativos. Não entendemos porque as pessoas se sentem atraídas por todos os aplicativos que encontram: há mais de 125 aplicativos de vuvuzela na Google Play! Recomendamos aos usuários tomem cuidado e baixem apenas aplicativos oficiais dos desenvolvedores nos quais confiam. Os desenvolvedores confiáveis gostam dos seus usuários, o que significa que desejam fornecer um produto de qualidade, não uma infinidade de aplicativos. A FIFA tem um bom aplicativo de resultados ao vivo e notícias e a EA Sports tem um jogo oficial da FIFA.

Compare as funções dos aplicativos com as permissões que solicitam. Alguns aplicativos precisam acessar certos dados no seu aparelho, um aplicativo de mapas precisa acesso à sua localização para dar-lhe informações corretas sobre o caminho a fazer. Os pedidos de acesso dos aplicativos começam a ser suspeitos quando, por exemplo, a sua vuvuzela deseja acessar a sua localização. A menos que o seu novo aplicativo vuvuzela utilize a sua localização para determinar em qual país você está para tocar o seu hino nacional, por que ele precisa saber a sua localização? Seja sempre cauteloso(a) quando conceda estas permissões aos aplicativos e tenha certeza de que estes pedidos fazem sentido pelas funções do aplicativo. Você não deseja que informações pessoais sejam coletas e que, depois, possam ser usadas contra você.

Leia os comentários dos usuários. Você nem sempre pode confiar no que as pessoas postam online, mas se muitas pessoas gostam ou não gostam de um aplicativo, você pode ter uma boa ideia se deve ou não baixá-lo com base nos comentários que fizeram.

O nosso aplicativo de segurança móvel, o avast! Mobile Premium, tem uma função de detecção de propagandas. O detector de propagandas encontra quais aplicativos estão conectados às redes de propaganda e fornece detalhes do como rastreiam o sistema, por isso, você pode ter uma visão completa de todas as redes de propaganda acessadas pelos seus aplicativos.

Você pode baixar o avast! Mobile Security gratuitamente na Google Play ou, para funções adicionais, como o detector de propagandas, você pode baixar o avast! Mobile Premium por 1,99 dólares por mês.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
15, maio, 2014

Ataques ransomware estão ocorrendo em massa via sites: cuidado!

O infográfico do Laboratório de Vírus do avast! mostra a proliferação dos ataques ransomware via navegadores nos últimos três meses.

AtençãoSaindo da página de alertaDurante o mês de dezembro, publicamos em nosso blog sobre os truques e as táticas dos ransomwares via navegadores. Os ransomwares de navegadores são malwares que atacam através de vários navegadores para impedir que as pessoas continuem a utilizar os seus PCs. Para obter acesso novamente, a vítima desses malwares têm que pagar um resgate para desbloquear o computador. A chave do sucesso deste ataque é a tradução em várias línguas, dando aos cibercriminosos acesso a um maior número de potenciais vítimas.

Hoje gostaríamos de voltar a informar sobre os ataques de ransomwares via navegadores e compartilhar com você alguns dados da avast! CommunityIQ.

Detectamos os ataques de ransomwares através de vários métodos diferentes. As detecções que acompanhamos foram criadas no dia 30 de janeiro de 2014. Foi realmente uma surpresa o alto impacto deste ataque aos usuários do avast!

  • Em pouco menos de 3 meses, o avast! protegeu mais de meio milhão de usuários diferentes em todo mundo dos ataques ransomwares.
  • Nas últimas 6 semanas, os usuários avast! visitaram sem saber mais de 18 milhões de vezes um site com ransomware.
  • Em apenas 24 horas, o avast! impediu o redirecionamento de sites infectados para outros que hospedavam ransomware para mais de 18.000 usuários diferentes.

O Laboratório de Vírus do avast! acompanha os ransomwares

Os cibercriminosos por trás dos ataques alteram constantemente os domínios onde se hospeda o malware. A cada 10 minutos aproximadamente, um novo domínio é criado e estes números estão crescendo lentamente. Os usuários são então redirecionados para um novo domínio.

Nos dias de hoje, os domínios maliciosos são hospedados em 117 IPs diferentes. Estes IPs estão distribuídos em todo o mundo, da Áustria ao Brasil ou Canadá. Estes são os endereços em Montreal (Canadá) e Denver (Colorado).

Ransomware via navegadores utilizam domínios maliciosos em 117 IPs.Este exemplo mostra os domínios hospedados em um IP.

Sites hospedados

Este mapa mostra a localização dos usuários que entraram em sites infectados nos últimos 5 dias. Os ransomwares via navegadores estão tendo um enorme impacto nos usuários do avast! na França, na maioria da América do Norte, em alguns países nórdicos e na Austrália.

Ransomware

Ao examinar os dados desde que a detecção foi criada vemos a enorme quantidade de usuários que visitam domínios infectados por ransomware na América do Norte, mas um número ainda maior de usuários da Polônia. Outros pontos críticos com números consideráveis estão na Itália, Canadá, alguns países da África, América do Sul e Rússia.

Ransomware

Os usuários do avast! Antivírus estão protegidos ao visitarem sites com ransomwares, mas não se esqueça de que cada computador pode ser vítima de uma nova tática destes criminosos. Neste caso, somente o bom senso poderá ajudar a proteger os seus dados, o seu dinheiro e o seu computador.

Versão francesa do ransomware via navegadores:
SHA256  a39ef2658b72bc0966a92f80329d276ea27344d7d62b9021475630d29397a7cb

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
3, abril, 2014

Detecção de malware no Android. SecApk: um alerta aos desenvolvedores

O título deste artigo do blog tem algum significado misterioso? Não exatamente.

Nesta primeira parte sobre as detecções de malware no Android, vamos apresentar a Android:SecApk, uma detecção relacionada com o App Shield (Bangcle) e os aplicativos Android (.apk). Esta detecção abrange uma grande amostra de malwares e está em crescimento. Algumas amostras compactadas com o SecApk que já existiram ou ainda existem na loja Google Play e também em outras lojas podem ser vistas na tabela abaixo:

MD5

Nome – Informações

F1EF5B8C671B2146C2A2454ECF775E47

G锁屏冰雪奇缘之来自星星的你V1.0.apk

PUP: um aplicativo que promove um filme específico. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

Estado atual: removido do Google Play

10bd28d4f56aff83cb6d31b6db8fdbd2

Cut_the_bird.apk

PUP: um jogo que solicita permissões potencialmente indesejadas e pode levar à perda de dados pessoais.

05ffb6f34e40bb1cf8f9628e5647d5e3

aini1314langmanzhutisuoping_V2.5_mumayi_700e0.apk

PUP: um protetor de tela que solicita permissões não relacionadas à finalidade do aplicativo.

d6b40bbb79b54c09352a2e0824c0adba

3D职业乒乓球.apk

PUP: este aplicativo é um jogo de tênis. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

eefd2101e6a0b016e5a1e9859e9c443e

eefd2101e6a0b016e5a1e9859e9c443e.apk

\Malware: este aplicativo rouba dados pessoais e mensagens SMS do usuário.

O App Shield é um serviço online que, depois de receber um arquivo .apk que lhes foi enviado, o criptografam e adicionam algumas camadas de proteção. O procedimento de criptografar e proteger um arquivo .apk será discutido na segunda parte deste artigo.

Começando pelo processo de envio, um aplicativo limpo chamado AvstTest.apk foi enviado ao serviço. O arquivo .apk exportado foi renomeado para AvstTest[SecApk].apk. Além disso, o apktool e o dex2jar foram utilizados para decodificar as funções do .apk e converter os arquivos .dex em .jar.

Estrutura da pasta

A estrutura interna do arquivo convertido pode ser vista na figura acima. Aparecem as duas novas pastas: lib e assets. A pasta lib contém dois arquivos que são necessários pelas bibliotecas de compartilhamento na plataforma ARM.

3 armeabi folder

A pasta assets contém um arquivo jar criptografado chamado bangle_classes.jar. Este arquivo é uma versão criptografada do original classes.dex. Além disso, a pasta meta-data contém os arquivos necessários para a criptografia RSA.

4 assets folder

O arquivo manifest do Android também é alterado, mas somente para fazer o link com o novo arquivo dex. A classe com.secapk.wrapper.ApplicationWrapper será chamada sempre que o processo for iniciado.

6 manifest file

A estrutura interna do arquivo classes.dex também é alterada. No novo arquivo dex, podemos ver a nova classe ApplicationWrapper que é utilizada para carregar na memória a versão não-criptografada do arquivo classes.dex. A estrutura do arquivo dex original pode ser vista do lado direito da imagem abaixo.

1

A real preocupação deste artigo do nosso blog é que cada arquivo que utiliza esta proteção pode ser detectado como um PUP (Programa Potencialmente Indesejado). Muitos criadores de malware utilizam esta proteção para tornar indetectáveis as suas amostras maliciosas. Paralelamente, aplicativos legítimos utilizam a proteção para fugir da engenharia reversa, decompilação, injeção de código malicioso e outros usos ilegais.

É uma verdadeira terra de ninguém.

A empresa que criou esta proteção afirma que cada arquivo é verificado por várias definições de vírus. O problema é que os malwares dia-0 existem e alguns deles são realmente difíceis de detectar. No caso do malware protegido pelo SecApk penetrar no mercado oficial, será difícil de detectar. A escolha mais segura é detectar o compactador SecApk e informar o usuário que o aplicativo que ele está a ponto de executar é potencialmente indesejado (PUP).

A segunda parte deste artigo explicará em mais detalhes o processo que o compactador utiliza para carregar o código original na memória do sistema.

O avast! protege os usuários do Android

O avast! Free Mobile Security detecta e avisa ao usuário sobre estes aplicativos (maliciosos ou não) que são compactados com o SecApk e podem ser potencialmente perigosos. No momento, não há outro meio de proteger eficientemente os nossos usuários. Se você é um desenvolvedor, uma boa dia é repensar o uso deste tipo de protetores em seus aplicativos.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
9, março, 2014

Google Play: qual é a última ameaça da loja oficial do Android?

As lojas oficiais são a fonte básica para encontrar e baixar aplicativos. Usuários experientes recomendam que todos utilizem apenas as lojas oficiais, pois são ecossistemas fechados, reconhecidos como seguros. Mas estas fontes são realmente confiáveis? Alguns técnicos, contudo, dizem que “Malwares para Android não existem e as empresas de segurança simplesmente tentam nos assustar. Tranquilo e não se preocupe.” Portanto, qual é a verdade?

Nós já publicamos em nosso blog inúmeros alertas de ameaças aos nossos aparelhos que vem de fontes confiáveis, mas aqui está uma novidade: uma que ainda não foi detectada pelas outras empresas de segurança. Um aplicativo chamado Cámara Visión Nocturna (nome do pacote: com.loriapps.nightcamera.apk), que ainda estava disponível no Google Play quando o artigo (em inglês) deste blog estava sendo escrito. É algo que você não quereria ter no seu aparelho Android.

Blg1

A começar pelas permissões solicitadas pelo aplicativo, você deveria perceber que há algumas que não são usuais para um aplicativo que deveria utilizar apenas a sua câmera.

    <uses-permission android:name=”android.permission.CAMERA” />
    <uses-feature android:name=”android.hardware.camera” />
    <uses-feature android:name=”android.hardware.camera.autofocus” />
    <uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE” />
    <uses-permission android:name=”android.permission.RECORD_VIDEO” />
    <uses-permission android:name=”android.permission.RECORD_AUDIO” />
    <uses-permission android:name=”android.permission.RECEIVE_SMS” />
    <uses-permission android:name=”android.permission.WRITE_SMS” />
    <uses-permission android:name=”android.permission.READ_SMS” />
    <uses-permission android:name=”android.permission.GET_ACCOUNTS” />
    <uses-permission android:name=”android.permission.INTERNET” />

“GET_ACCOUNTS” ou “WRITE_SMS” é algo suspeito para um aplicativo de gravação de vídeo. Por isso, o nosso colega Chrysaidos Nikolaos, que recentemente começou a fazer parte do Laboratório de Vírus do avast! (bem vindo colega, estamos orgulhosos de tê-lo a bordo) e Filip Chytry decidiram pesquisar um pouco e obter mais informações. O aplicativo tenta
enviar números de telefone pelos aplicativos Whatsapp ou ChatOn, por exemplo, para atrelá-los a um serviço de mensagens premium.

5_gets the phone number from whatsapp etc

Depois de obter estes números de telefone, o aplicativo os envia ao servidor para registrá-los a uma lista de SMS premium.

Url

E apertem os cintos, lá vai: você terá de pagar aproximadamente 2€ (2,8 dólares)! Para o quê, você deve se estar perguntando. Para nada. É isso mesmo! É assim que todos nós queríamos ganhar dinheiro, não é? Fácil e rápido. :) Mas isto não é tudo, infelizmente. O aplicativo também é capaz de enviar mais destes SMS até atingir 36€ (50 dólares) por mês. Então você recebe um SMS do número “797080″, que deve adiar o envio de SMS premium. Mas não fique preocupado(a), o avast! detecta este malware como Android:FakeCam. Por isso, os usuários do avast! Mobile Security estão seguros.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
8, janeiro, 2014

Aplicativos para adultos atraem malware

No ano passado, Filip Chytry descobriu e nos alertou que um falso aplicativo avast! estava infectando smartphones. Ele estava oculto dentro de aplicativos para adultos e era bastante problemático. Aqui estão algumas informações sobre ele.

Se você procura por aplicativos para adultos, pode encontrar toneladas deles. Muitos destes aplicativos, especialmente aqueles oferecidos em lojas não-oficiais, estão infectados com malware. O mesmo cenário ocorre com bastante frequência: depois da instalação, quando você abre o aplicativo pela primeira vez, você se infecta e ele bloqueia o uso do seu telefone. O aplicativo cobra um resgate para desbloquear o seu aparelho. É o típico comportamento de um ransomware.

É fácil seguir as pistas

Você estava procurando por um aplicativo adulto e encontra algo chamado AVASTME.NOW. O que está acontecendo aqui?, você pensa. O fato de um aplicativo adulto ser chamado com o nome do antivírus mais popular do mundo devia ser a primeira pista de que algo está errado. Mas você instala o aplicativo, apesar do estranho nome para um aplicativo deste estilo. Felizmente, depois da instalação você vê um ícone no seu aparelho chamado Porn Hub e começa a se sentir satisfeito de que realmente conseguiu o que procurava. Vamos nos divertir!

icon

Mas o sentimento de satisfação não dura para sempre. Depois dos primeiros poucos cliques, o aplicativo anuncia que o seu telefone deve ser escaneado por vírus. Esta é a segunda grande pista de que algo devia estar errado. Aplicativos normais não escaneiam o seu aparelho em busca de vírus. Mas você não tem nenhuma chance, por isso, você segue adiante. É então que aparece a interface do falso avast! Mobile Security, quase idêntica ao original.

install 3

fakeAvast4install2

Leia mais…

Comments off
14, dezembro, 2013

Natal! Você deseja receber um malware de presente?

DHLspoof

O tempo do Natal está sempre conectado com a compra de presentes. Há muitas tarefas a serem feitas e muitas oportunidades de comprar um presente em uma loja online para poupar tempo. Quem é que não conhece alguém que compra seus presentes de Natal online?

Os criadores de malwares sabem disso e são muito espertos para tirar vantagem. Nossos sensores detectam muitos emails fraudulentos contendo detalhes da compra ou entrega todos os dias e, acreditem, eles têm muita coisa em comum. De fato, isto não é algo novo. Estes métodos são utilizados constantemente ao longo do ano, não é algo especialmente conectado com o tempo de Natal. No entanto, o Natal é a ocasião para que muitas pessoas possam ser enganadas. Vamos ver estas fraudes com mais detalhes.

Imagine que você é um cliente esperando pela entrega de um presente. Você está ansioso e verifica o seu email esperando pelos detalhes da ordem de compra. Provavelmente você está mais vulnerável nesta ocasião. Aí você recebe um email da DHL, o conhecido serviço de entregas, com uma informação dizendo que os detalhes do frete estão em anexo. Neste momento em que você relaxa a segurança, você clica no anexo do email. Ele é um arquivo zip contendo outro chamado DHL-parcel.exe. O estranho é que a extensão do arquivo parece ser um pdf por que tem o mesmo ícone. De fato, é um malware.

Cibercriminosos querem acabar com o seu Natal

Uma amostra que recebemos estes dias foi um email fingindo ter sido enviado pela Booking.com com uma invoice anexada. O nome do arquivo anexado é “Invoice 801490457278 PRINT pdf.zip” e surpreendentemente ele contém outro chamado “Invoice 801490457278 PRINT pdf.exe”.

O problema começa quando o usuário clica no anexo e executa o arquivo. Ele secretamente baixa e executa malwares através do comando %ALLUSERSPROFILE%\explorer.exe e permite a execução automática através da chave de registro HKLM\…\CurrentVersion\Run. A porta TCP 3232 é aberta e permite o acesso remoto ao computador infectado. Isto significa que o computar não está mais sobre o seu controle e que o hacker pode espionar você em segredo ou simplesmente pode instalar outros malwares para conseguir o seu dinheiro. Este não é um bom presente de Natal!

Nós também descobrimos alguns emails fraudulentos que se passavam como sendo do HSBC.com, Amazon.com, Amazon.co.uk, etc. como você pode ver na imagem abaixo.

Email scam subjects

Como eu me protejo?

Siga os seguintes conselhos para minimizar o risco de infecção.

1) Utilize um antivírus com as definições de vírus atualizadas (p.ex., o avast! 2014 :))

2) Se você receber um email parecido com os mencionados acima, pergunte a você mesmo: “Eu comprei algo desta empresa?”

3) Se sim, não abra o anexo. A maioria dos serviços não envia emails com anexos, especialmente não em arquivos zip.

4) Nunca JAMAIS rode executáveis enviados por email.

SHA: C669E7E9E9A6FA4E321670E8237AEFDE73991425B8320C23F3A9F9FACA61B7C3

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off