Protecting over 230 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Textos com Etiquetas ‘malware’
20, janeiro, 2016

Que a força – mas, não os malwares – esteja com você!

Não há muito tempo atrás, em uma galáxia não muito distante, um grupo de cibercriminosos decidiu se aproveitar da Guerra nas Estrelas para infectar os seus fãs mais impacientes.

sw-fake-pirate

Imagens: ADSLZone e Starwars.com

Muitas pessoas não podem esperar para assistir Star Wars: The Force Awakens, e isto é algo que os cibercriminosos sabem muito bem. Por isso é que aparecem muitos links que teoricamente permitem baixar o novo filme da saga. Como muitos de vocês podem imaginar, estes links não incluem o filme, eles apenas infectam você! Uma ideia digna do Darth Vader!

Podemos encontrar estes links em sites populares de download, junto com vários comentários dos usuários que alertam sobre o verdadeiro objetivo destes links: instalar malware nos aparelhos dos usuários.

É fácil evitar ser mais uma vítima deste tipo de fraude: simplesmente evite clicar em links suspeitos e instale e mantenha atualizado o seu antivírus Avast 2016.

Como master Yoda diz: “Patience you must have, my young Padawan”.

O lado negro da força é muito tentador, mas não deixe ele dominar você. Deixe que a Força e o Avast estejam com você!


Siga o Avast no FacebookTwitterYouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

13, dezembro, 2015

O risco de utilizar pendrives desconhecidos em seus computadores

Se você encontrar um pendrive, você o espetaria no seu notebook para ver o que ele tem dentro?

Leia mais…

Categories: General Tags: , ,
Comments off
9, dezembro, 2015

DroidJack não é o único app espião: o Avast descobriu que o OmniRat está sendo utilizado por cibercriminosos para controlar remotamente os aparelhos móveis.

Há mais de um aplicativo que espiona você

A equipe do Avast descobriu o OmniRat, uma programa semelhante ao DroidJack. O DroidJack é um programa que facilita a espionagem remota e, recentemente, se tornou notícia porque as agências europeias prenderam e revistaram as casas dos suspeitos de participar de crimes internacionais através de malwares.

O OmniRat e o DroidJack são RATs (remote administration tools, ferramentas de administração remota) que permitem que você controle remotamente qualquer aparelho Android. O OmniRat também lhe dá o controle de qualquer aparelho Windows, Linux ou Mac. Quando o programa é instalado no aparelho alvo, você obtém o controle remoto completo do aparelho.
No seu site, o OmniRat lista todas as coisas que você pode fazer em um aparelho Android, incluindo: obter informações detalhadas sobre os serviços e processos sendo executados no aparelho, ver e apagar o histórico de navegação, fazer chamadas ou enviar SMSs para qualquer número, gravar áudio, executar comandos no aparelho e muito mais.

OmniRat

Como o DroidJack, o OmniRat pode ser comprador online, mas comparado com o DroidJack, é uma pechincha. Enquanto o DroidJack custa 210 dólares, o OmniRat custa apenas 25f a 50 dólares, dependendo de que tipo de aparelho você deseja controlar.

Você pode estar se perguntando: “por que um programa assim está sendo vendido na internet?”. De acordo com o criador do DroidJack, Sanjeevi, “o Droidjack é uma ferramenta de controle remoto para os pais”, mas a Europol deixou muito claro que utilizar um programa como DroidJack para objetivos maliciosos pode ter consequências graves. Uma investigação da Europol e da Eurojust, junto com autoridades americanas, prendeu usuários do DroidJack.

A variante OmniRat espalhada na internet

Uma versão personalizada do OmniRat está sendo espalhada através de engenharia social. Um usuário de um fórum de tecnologia alemão, Techboard-online, descreve como o RAT se espalhou para o seu aparelho Android através de SMSs. Depois de pesquisar sobre o incidente, concluímos que uma variante do OmniRat está sendo utilizada.

O autor da postagem recebeu um SMS dizendo que recebeu um MMS de outra pessoa: “Este MMS não pode ser enviado diretamente a você, devido à falha StageFright do Android. Acesse o MMS em 3 dias [bitly link] com o seu telefone e digite o código PIN [código]“. Quando o link é aberto, um site é carregado e você deve digitar o código do SMS e o seu número de telefone.

Quando você digita o seu número de telefone e o código, um aplicativo, mms-einst8923, é baixado no telefone dizendo que as configurações MMS foram modificadas com sucesso e carrega um ícone, chamado “Obter MMS” no seu telefone.

MMS Empfang app widget MMSempfang

Quando o ícone é aberto pela vítima, o mms-einst8923.apk extrai o OmniRat que está codificado dentro do mms-einst8923.apk. No exemplo descrito no fórum Techboard-online, uma versão personalizada do OmniRat é extraída.

O arquivo OmniRat solicita que os usuários aceitem e concedam muitas permissões ao OmniRat, incluindo editar mensagens de texto, ler logs de chamadas e contatos, modificar ou excluir o conteúdo do cartão. Todas estas permissões podem parecer suspeitas e você pode estar pensando, “por que alguém iria dar tanto acesso a um aplicativo?”, mas muitos confiam e a maioria dos aplicativos baixados na loja Google Play solicitam muitas das mesmas permissões. A diferença essencial é a fonte dos aplicativos. Sempre recomendamos que os usuários leiam as permissões dos aplicativos com cuidado. Contudo, quando um aplicativo é baixado diretamente da Google Play e solicita estes acessos, provavelmente não seja um aplicativo malicioso. Se, como neste caso, o aplicativo for baixado de uma fonte desconhecida, os usuários devem ficar muito alertas às permissões que são solicitadas.

com.android.engine com.android.engine 2

Assim que é instalado, o OmniRat permite o hacker tenha acesso administrativo remoto completo ao aparelho. Mesmo que a vítima exclua o ícone original “MMS Retrieve” instalado com o mms-einst8923, o OmniRat permanece no aparelho infectado. A vítima não fica sabendo que o seu aparelho está sendo controlado por outra pessoa e que cada movimento que fazem no seu aparelho está sendo gravado e as informações estão sendo enviadas para um servidor.

Além disso, uma vez que os cibercriminosos ganham o controle da lista de contatos de um aparelho, eles podem facilmente disseminar o malware a outras pessoas. Dentro desta variante do OmniRat há uma função que envia vários SMSs. O que torna isto especialmente perigoso é que o SMS enviado via OmniRat do aparelho infectado irá aparecer como sendo de um contato conhecido e confiável no aparelho dos seus contatos, o que aumenta as chances de que sigam o link e infectem o seu próprio aparelho.

Sabemos que os dados coletados por esta versão personalizada do OmniRat está atingiu o alemão da postagem do fórum Techboard foi enviado de um servidor russo, devido aos comandos e controles utilizados no tráfego de dados.

Russiandomain

O sufixo “.ru” do endereço do servidor nos mostra que os dados estão sendo enviados secretamente a um servidor russo

A imagem à esquerda foi feita do site OmniRat e mostra que os dados de áudio estão sendo roubadas do aparelho da vítima. A imagem à diretia é de uma versão personalizada do OmniRat e mostra a semelhança dos dados (e da ordem) que foram coletados e enviados secretamente a um servidor russo.

A imagem à esquerda foi feita do site OmniRat e mostra que os dados de áudio estão sendo roubadas do aparelho da vítima. A imagem à diretia é de uma versão personalizada do OmniRat e mostra a semelhança dos dados (e da ordem) que foram coletados e enviados secretamente a um servidor russo

Na imagem acima, podemos ver todas as classes dex do segundo arquivo apk que coleta várias informações sobre o aparelho e as envia secretamente ao servidor.

Na imagem acima, podemos ver todas as classes dex do segundo arquivo apk que coleta várias informações sobre o aparelho e as envia secretamente ao servidor

Como se proteger

  • Verifique se você tem um antivírus instalado no seu smartphone que detecte malwares como o OmniRat. O Avast detecta o OmniRat (Android:OmniRat-A [Trj]).
  • Não abra nenhum link enviado de fontes não confiáveis. Se um número ou endereço de email desconhecidos enviar um link a você, não abra o link.
  • Não baixe aplicativos de fontes desconhecidas no seu aparelho móvel. Somente baixe aplicativos de fontes confiáveis como a Google Play Store ou a Apple App Store.

Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

Comments off
30, outubro, 2015

Malware em lojas de aplicativos não oficiais

Como a Google Play está apertando as suas medidas de segurança para aplicativos móveis, os hackers atacam nas lojas não oficiais de aplicativos. Falsos aplicativos imitando aplicativos populares foram encontrados recentemente na Windows Phone Store. Logo depois, um grupo de aplicativos Android infectados foi encontrado em lojas de aplicativos Android não oficiais.

image via the FireEye blog

Imagem: FireEye blog

O novo adware malicioso, chamado Kemoge, descoberto pelos pesquisadores de segurança da FireEye, também se disfarçavam de aplicativos populares. Os usuários eram enganados e levados a instalar esses aplicativos falsos através de propagandas dentro dos aplicativos ou que promoviam os links para baixar através de outros sites. Os falsos aplicativos mostravam agressivamente propagandas indesejadas, mas o pesquisador de segurança da FireEye, Yulong Zhong, escreveu: “rapidamente a coisa vai de mal a pior”.

Os falsos aplicativos obtém acesso root e coletam informações do aparelho como o IMEI, IMSI e dados de armazenamento, enviando os dados a um servidor remoto.

Os malwares foram descobertos em mais de 20 países, incluindo os Estados Unidos, China, França, Rússia e o Reino Unido. Por causa dos caracteres chineses encontrados no código, acredita-se que os malwares tenham sido produzidos por um desenvolvedor chinês ou controlado por hackers chineses. Os aplicativos incluíam falsos Talking Tom 3, WiFi Enhancer, Assistive Touch, PinkyGirls e Sex Cademy.

Como proteger o seu aparelho Android dessas infecções

  • Somente instale aplicativos de lojas confiáveis como a Google Play
  • Evite clicar em links de propagandas, SMS, sites ou emails
  • Mantenha o seu aparelho e aplicativos atualizados
  • Instale proteção para escanear outros aplicativos como o Avast Mobile Security

 

Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

Comments off
24, outubro, 2015

Por que testes independentes são importantes para o Avast Antivírus

AVTest Certified Home User

O Avast Free Antivírus acaba de receber outra certificação do AV-Test por sua excelente proteção contra as ameaças do mundo real, desempenho no uso diário e facilidade de uso.

Ui! É como outro troféu na coleção ou outra medalha, mas o que ele realmente significa? Por que este tipo de teste é importante para você, nosso usuário(a)?

Ondrej Vlcek, Chief Operations Officer do Avast explica:

Devido ao ameaçador crescimento dos vírus e malwares atingindo consumidores e empresas, laboratórios como o AV-Test Institute se tornaram uma fonte de dados independente de imenso valor para o Avast. Suas pesquisas influenciam os nossos técnicos e potenciam o nosso conhecimento sobre os malwares, revolucionam os métodos de diagnóstico e detecção, além de facilitar as estratégias para obtermos atualizações em tempo real de milhões de pessoas que põem a sua confiança em nossos produtos antivírus.”

Aqui está um pouco dos bastidores deste laboratório de testes.

O AV-Test Institute é um laboratório independente projetado especificamente para testar e pesquisar malwares. Localizado em Magdeburg, Alemanha, ocupa 1.200m² junto com 3 servidores e vários laboratórios secundários.

Protocolos de segurança

Redes dos laboratórios AV-Test

Imagem: www.av-test.org

Como um laboratório especializado em trabalhar com agentes infecciosos, o AV-Test possui um conjunto de protocolos de segurança para evitar infecções acidentais. O seu material contaminado armazenado inclui 330 milhões de malwares coletados nos últimos 15 anos. Cada dia, eles coletam 390.000 novas amostras de malwares.

Trinta especialistas trabalham em três laboratórios com mais de 100 computadores conectados a três redes fisicamente separadas: rede vermelha para testar malwares sem acesso à internet, rede amarela com acesso limitado à internet e a rede verde com total acesso à internet para baixar e atualizar programas.

Procedimentos dos testes

A cada dois meses, os produtos antivírus passam por uma série de testes utilizando uma configuração pré-determinada que imita o mundo real. O laboratório AV-Test acompanha três áreas: proteção, desempenho e facilidade de uso.

Em agosto, 22 produtos foram testados. Eles podem ganhar até 6 pontos em cada uma das 3 categorias do teste, totalizando a nota máxima de 18 pontos.

Por exemplo, na categoria Proteção, o Avast Free Antivírus teve de reconhecer mais de 330 ataques de malwares dia-zero, isto é, malwares recém saídos do forno ou ainda ameaças desconhecidas. Na segunda fase, o objetivo era reconhecer e defender contra 45.000 malwares conhecidos. O resultado médio de todos os produtos foi 98% de detecção para os malwares dia-zero. O Avast Free Antivírus atingiu 99% (em julho) e 100% (em agosto), resultando na média de 99,5%. O Avast Free Antivírus identificou 100% do malware disseminado em agosto de 2015. Melhoramos em meio ponto percentual o nosso resultado, comparando com o teste anterior e isto faz realmente diferença no mundo real.

Certificação

O selo de aprovação do AV-Test é uma garantia de que o Avast Free Antivírus atingiu o nível de desempenho e proteção definido pelo laboratório AV-Test.

Testes como estes, e também os do laboratório australiano AV-Comparatives, não são somente para usuários avançados, mas úteis para todos os nossos consumidores. Até para você que nunca reparou para os resultados, pode ter certeza de que nós fazemos as coisas com seriedade e utilizamos todo este conhecimento para criar melhores produtos para proteger a sua casa e a sua empresa e os seus computadores Windows e Mac, assim como os smartphones e tablets Android.


 

Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

Comments off
13, outubro, 2015

O que a Sandbox do Avast faz?

A Sandbox é como uma gaiola que mantém presos os causadores de problemas

A Sandbox é como uma gaiola que mantém presos os causadores de problemas

A Avast Sandbox permite que você execute um programa duvidoso sem colocar o seu computador em risco

A Avast Sandbox é uma função especial de segurança que permite que você execute programas potencialmente perigosos em um ambiente virtual completamente isolado, e tudo automaticamente. Isto é particularmente útil se você não confia totalmente em tudo que baixa na internet ou visita sites perigosos, porque tudo o que é executado dentro da Sandbox tem apenas um acesso limitado aos seus arquivos e ao sistema operacional, não gerando riscos ao seu computador ou a quaisquer outros dos seus arquivos.

Veja como funciona: por padrão, se um aplicativo é iniciado e o Avast detecta qualquer coisa suspeita, o aplicativo é automaticamente executado dentro da Sandbox. A vantagem de executar um aplicativo na Sandbox é que ela permite verificar aplicativos suspeitos enquanto o resto do sistema permanece protegido de ações maliciosas que um aplicativo malicioso possa tentar executar.

Os navegadores ou outros aplicativos serão abertos em uma janela especial, indicando que estão sendo executados dentro da Sandbox. Quando a Sandbox é fechada, tudo será restaurado ao estado original e quaisquer arquivos baixados ou configurações do navegador que tiverem sido alteradas serão automaticamente excluídos.

Avast Sandbox

A janela da sandbox no Avast Premier

A Avast Sandbox faz parte do Avast Premier 2015, do Avast Internet Security 2015 e do Avast Pro Antivírus 2015.

Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

Comments off
13, setembro, 2015

Trojan bancário Tiny Banker oculto em ferramenta da Sysinternals

Trojan bancário Tiny Banker espalha-se em anexos de emails

Leia mais…

Comments off
11, setembro, 2015

iPhones que passaram por jailbreak são atacados por malware

Chinese jailbroken iPhone users targeted

Usuários de iPhones chineses que passaram por jailbreak são alvo de ataque

“O maior ataque aos iPhone de todos os tempos” atinge telefones que passaram por jailbreak

Leia mais…

Comments off
5, setembro, 2015

Redes de propaganda infectadas atingem sites populares

Propagandas infectadas podem ser perigosas para o seu computadorÉ frustrante quando a nossa proteção antivírus impede de visitarmos uma site que conhecemos e confiamos, mas atualmente, até os sites mais populares podem ser alvos de ataque.

Há algumas semanas, pesquisadores de segurança descobriram armadilhas ocultas em propagandas de sites populares que incluíam o eBay, The Drudge Report, weather.com e AOL. As propagandas, algumas das quais podiam ser ativadas por um ataque de hackers sem o conhecimento do usuário e sem que fosse precisa nenhuma ação, infectaram os computadores com adwares e, depois, os bloqueavam com ransomware.

Os computadores com navegadores antigos ou não atualizados estão mais expostos a serem infectados por malware simplesmente por visitar um site. O Avast bloqueia estas propagandas infectadas, mas, para ter certeza, por favor, utilize a versão mais atualizada do Avast: clique com o botão direito no ícone do Avast Antivírus na bandeja de sistema no canto inferior direito da sua tela. No menu que aparecer, selecione Atualizar.

“Este tipo de malvertising é uma forma muito fácil de difusão de adwares pelos cibercriminosos. Muitos sites vendem espaço publicitário para redes de propagandas, que depois as mostram na sua tela”, disse o pesquisador do Laboratório de Vírus do Avast, Honza Zika. “Todos os usuários do Avast que possuam a base de dados de vírus atualizada estão completamente protegidos contra este ataque, mas todos os que não utilizam uma proteção ou a mantenham atualizada correm o risco de serem infectados por ransomwares.”

Leia mais…

Comments off
10, agosto, 2015

O malware Fobus para Android causou dano nos Estados Unidos e Europa: veja como se proteger

No mês de janeiro informamos você sobre um malware para Android chamado Fobus. Na altura, o Fobus atacava nossos usuários no leste da Europa e na Rússia. Agora, o Fobus também está atacando os nossos usuários nos Estados Unidos, Inglaterra, Alemanha e Espanha, além de outros países em todo o mundo.

O Fobus pode custar muito dinheiro às suas vítimas desavisadas porque envia SMS premium, faz chamadas sem o conhecimento dos usuários e pode roubar informações privadas. O mais preocupante é que o Fobus também inclui funções ocultas que podem remover as proteções críticas do aparelho. O aplicativo engana os usuários para obter o controle total do aparelho e é aí que esta peste de malware realmente começa a fazer o seu trabalho sujo. Você pode encontrar mais detalhes técnicos e uma análise do Fobus no nosso artigo do blog de janeiro.

Decidimos olhar para trás e verificar alguns dados que coletamos sobre o Fobus nos últimos seis meses. Não nos surpreendeu que esta família de malwares continua ativa e se espalhando, infectando usuários de lojas não oficiais de aplicativos Android e sites maliciosos.

O interessante deste malware é o uso de polimorfismo por parte do servidor, que suspeitamos estar sendo utilizado desde janeiro, mas não conseguimos confirmar. Agora sabemos que o polimorfismo é utilizado ao analisar algumas amostras do nosso banco de dados. Na maioria das vezes houve não só nomes de arquivos gerados aleatoriamente, mas parece que possuem também certificados de assinatura digital aleatórios.

Número de usuários atingidos pelo Fobus

Número de usuários atingidos pelo Fobus

Dispersão geográfica do leste para o oeste

Anteriormente, previmos que veríamos um crescimento linear no número de usuários infectados. No entanto, revendo os resultados, o Fobus derrubou as nossas previsões. No começo, este malware atingia principalmente os países de língua russa. À medida em que nossas detecções do malware se tornaram mais inteligentes e descobrimos novas mutações do Fobus, vemos que muitos outros países também estavam infectados. Agora o Fobus – ainda que atinja principalmente o Leste da Europa e a Rússia – também chegou aos nossos usuários dos Estados Unidos, Alemanha, Inglaterra e Espanha, além de outros países em todo o mundo.

O gráfico acima mostra o número de usuários diferentes (IDs de usuários) atingidos pelo Fobus a cada dia. O gráfico também é dividido geograficamente segundo os códigos dos países dos locais de conexão dos usuários.

Número de vezes que os usuários foram atingidos pelo Fobus nos diversos países (até 21 de julho de 2015):

  • Rússia: 87.730
  • Alemanha: 25.030
  • Espanha: 12.140
  • Estados Unidos: 10.270
  • Inglaterra: 6.260
  • Itália: 5.910

Há dois grandes saltos no gráfico, que marcam os dias em que as novas versões do Fobus foram descobertas e as novas detecções para os nossos usuários foram publicadas. As três detecções parecem ter sido particularmente efetivas em sua tarefa de proteção. O grande impacto nos países fora das regiões de língua russa e inglesa que podem ser vistos no gráfico são um tanto quanto surpreendentes, especialmente se consideramos que o malware está em russo e que mesmo a versão inglesa contém partes em russo. Parece que os autores foram preguiçosos e nem traduziram completamente o seu próprio aplicativo…

Mapa mundi mostrando a porcentagem de usuários atingidos pelo Fobus

Mapa mundi mostrando a porcentagem de usuários atingidos pelo Fobus

Um aplicativo feito só para você

Agora, vamos aprofundar em nossa análise. Vejamos os certificados utilizados para assinar algumas amostras do Fobus. Já mencionamos os problemas com a geração de aplicativos únicos para cada vítima (polimorfismo no servidor), não só com a recompilação, reempacotamento e obfuscação a cada geração do aplicativo, mas também ao uso dos certificados. Verificamos que cada aplicativo malicioso é visto somente por um único usuário, mesmo que o seu certificado de assinatura possa ter sido utilizado em múltiplos aplicativos. Quase todas as amostras que obtivemos têm uma baixa prevalência, o que significa que muito raramente usuários diferentes foram atingidos pelo mesmo aplicativo (malware) várias vezes. Com relação aos certificados de assinatura digital, acreditamos que são gerados novamente de forma regular. Conseguimos captar alguns exemplos destes certificados em nossas estatísticas.

certs_may_28certs_may_30

Como você pode ver nas figuras acima, estes certificados estão datados de 28 e 30 de maio de 2015 e as diferenças de horário no início do período de validade entre os certificados são da ordem de minutos, algumas vezes, segundos. Também encontramos algumas amostras com certificados com credenciais geradas aleatoriamente.

certs_random

A figura acima é um exemplo destes certificados gerados aleatoriamente.

Para concluir, queremos animar você a pensar duas vezes sobre os aplicativos que você instala no seu telefone, especialmente se os aplicativos foram baixados de lojas de terceiros ou fontes desconhecidas. Os aplicativos da Loja Google Play são mais seguros. Além disso, a solicitação de permissões não usuais – especialmente as permissões que não se referem ao uso normal do aplicativo – pode ser um sinal de que algo estranho está acontecendo. Você deve suspeitar de um aplicativo que solicite acesso como administrador do dispositivo e pensar duas vezes antes de baixa-lo.

Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.

Comments off