Brasil sofreu 15 bilhões de tentativas de ataques cibernéticos no segundo trimestre de 2019

By: TI Inside Online

A Fortinet anunciou nesta terça-feira, 6, os resultados de sua mais recente pesquisa sobre ameaças, revelando que o Brasil sofreu 15 bilhões de tentativas de ataque cibernético em apenas três meses, entre março e junho de 2019. O serviço de inteligência contra ameaças FortiGuard detectou a prevalência de ataques antigos como os usados no ransonware Wannacry em 2017 e aqueles que violaram seriamente os bancos no Chile e no México em 2018. A eficácia desse tipo de ataque indica a presença ainda existente de sistemas não corrigidos ou atualizados em empresas brasileiras e a necessidade crítica de maior investimento em tecnologias de segurança cibernética.

De acordo com Frederico Tostes, Country Manager da Fortinet no Brasil: “A segurança cibernética passou de um elemento complementar para uma necessidade crítica para todas as empresas em seu processo de transformação digital. A questão não é mais “o que fazemos se sofrermos um ataque cibernético?”, mas seria “o que fazemos quando sofremos um ataque cibernético?”. Atualmente, a segurança cibernética é uma questão global e o Brasil também ocupa um lugar importante no mundo como um alvo para os criminosos cibernéticos. Vemos ameaças que aumentam em um ritmo alarmante, tanto em quantidade quanto em sofisticação”.

Os resultados da pesquisa FortiGuard mais proeminentes incluem:

  • Antigas e conhecidas ameaças permanecem muito ativas no Brasil

* DoublePulsar, o troiano usado para distribuir malware em ataques reconhecidos como o ransomware Wannacry em 2017 e ataques a bancos no Chile e no México no ano passado, esteve entre os três mais detectados no Brasil no segundo trimestre de 2019.

  • Grande número de tentativas de exploit de aplicativos para negação de serviços

*Cerca de 73% das tentativas de intrusão em redes detectadas no Brasil exploraram uma vulnerabilidade que permite ativar um comando para gerar ataques por negação de serviços em servidores NTP (Network Time Protocol é um protocolo da Internet para sincronizar os relógios de sistemas de computadores através de roteamento de pacotes em redes).

  • O malware que afeta o Windows e é usado para “criptomineração”

*Cerca de 33% do malware detectado no Brasil foi um “verme” com características de troiano que afeta computadores com o sistema operacional Windows. Pode ser considerado um ataque sério se você não tiver um antivírus atualizado.

Mais: https://tiinside.com.br/tiinside/seguranca/mercado-seguranca/06/08/2019/brasil-sofreu-15-bilhoes-de-tentativas-de-ataques-ciberneticos-no-segundo-trimestre-de-2019

Terrifying malware on Google Play Store BREAKS through advanced security

By: Dion Dassanayake

ANDROID users have been put on alert about a terrifying new piece of malware found on the Google Play Store that can break through advanced security.

Android fans are being warned about new malware discovered on the Google Play Store which can bypass advanced security measures.

Android is one of the most used pieces of software in the world, with more than two billion devices running the Google mobile OS each and every month.

But Android users are no strangers to security alerts, with some recent widespread threats being circulated via apps found on the Goole Play Store.

Six Android apps that were downloaded a staggering 90million times from the Google Play Store were found to have been loaded with the PreAMo malware.

While another recent threat saw 50 malware-filled apps on the Google Play Store infect over 30million Android devices.

And now Android fans are being warned about a terrifying piece of malware that can bypass the advanced 2FA security protection.

Two-factor authentication (2FA) gives an extra layer of security, with users having to enter their password and a unique, one-time code.

The latter is sent via an SMS message or email, but this newly discovered malware can obtain this unique password – even without SMS or email permissions.

More: https://www.express.co.uk/life-style/science-technology/1143651/Android-warning-malware-Google-Play-Store-security-June-23

Aplicações consideradas malware permanecem no Google Play em média 51 dias

By: ESET Portugal Blog

Um estudo sobre a segurança em Android realizado no primeiro semestre de 2019 assegura que 2% das apps eliminadas do Google Play são consideradas malware e chegam a permanecer na loja até 138 dias

estudo realizado pela ElevenPath sobre o estado da segurança na primeira metade de 2019 analisa a segurança em Android, e refere que, durante este primeiro semestre, foram eliminadas um total de 44.782 aplicações da loja oficial da Google. Assim, e como parte do estudo, foi analisado um conjunto de 5.000 aplicações como amostra, das quais um total de 115 foram qualificadas como maliciosas.

Como tal, extrapolando estes números concluíram que cerca de 2% das aplicações eliminadas do Google Play durante o primeiro semestre de 2019 foram consideradas malware.

O estudo analisou também o tempo de permanência destas apps maliciosas no Google Play e revelou que estas apps maliciosas estiveram em média 51 dias disponíveis para download antes de serem eliminadas, chegando mesmo a permanecer 138 dias, em alguns casos.

Apesar dos especialistas em segurança recomendarem o download de apps apenas a partir de sites oficiais dada a possibilidade de descarregarem malware de sites e plataformas de baixa reputação, a realidade também indica que, tal como temos reportado noutras oportunidades, muitas aplicações maliciosas enganam os filtros de segurança da loja oficial da Google (assim como da Apple) e conseguem ficar disponíveis para download, até que sejam detetadas e eliminadas. Apesar desta ser uma realidade inegável e abordar as dificuldades que enfrenta um gigante como a Google quanto à aplicação de filtros para determinar a segurança de uma app antes de a disponibilizar na sua loja oficial, isto não quer dizer que mesmo assim não seja mais seguro descarregar uma app do Google Play ou da App Store que de lojas não oficiais cujos filtros são ainda mais débeis.

O investigador de segurança da ESET, Lukas Stefanko, assegurou que “várias investigações têm demonstrado, em diversas ocasiões, que os sistemas de proteção do Google Play não são inexpugnáveis. Mas, e apesar de não ser tão segura como uma base militar, faz um bom trabalho a combater aquelas aplicações perigosas, e caso as detete, elimina-as, evitando mesmo que desenvolvedores cujas contas foram proibidas possam criar novas contas e continuem a publicar apps maliciosas”.

Mais: https://blog.eset.pt/2019/07/aplicacoes-consideradas-malware-permanecem-no-google-play-em-media-51-dias/

Há uma nova ameaça de ransomware para os dispositivos móveis Android

By: Rui Bacelar

O ransomware para Android está em declínio desde 2017, no entanto, os investigadores de segurança descobriram uma nova família destas ameaças, agora apelidada de Android/ Filecoder.C. O método utiliza listas de contactos das vítimas e tenta espalhar-se pelos dispositivos móveis via SMS com links maliciosos.

Em seguida ficará a conhecer os contornos deste novo método utilizado por mentes mal intencionadas.

O novo ransomware foi detetato em distribuição através de tópicos relacionados com pornografia no Reddit. Em seguida, o perfil malicioso usado na campanha de distribuição de ransomware foi avançado pela ESET, mas ainda está ativo. Isto é, ainda se encontram em circulação ameaças deste género.

Há uma nova ameaça de ransomware para Android

Além disso e por um curto período de tempo, a campanha também foi veiculada no portal XDAdevelopers, um fórum para desenvolvedores de Android. Entretanto, com base baseado num relatório da agência de segurança, os operadores removeram as publicações maliciosas.

“A campanha agora descoberta é pequena e bastante amadora. No entanto, se a distribuição avançar, este novo ransomware pode tornar-se numa séria ameaça”, comenta Lukáš Štefanko, investigador da agência que liderou a investigação.

O novo ransomware é notável pelo seu mecanismo de propagação. Isto é, antes de começar a encriptar ficheiros, envia um lote de mensagens de texto para todos os endereços da lista de contactos da vítima, atraindo os destinatários para clicarem num link malicioso. Este, por sua vez, leva ao ficheiro de instalação do ransomware.

“Em teoria, isso pode levar a uma série de infeções – mais ainda, pois o malware tem 42 versões em diferentes idiomas da mensagem maliciosa. Felizmente, mesmo os utilizadores não suspeitos devem perceber que as mensagens estão mal traduzidas e algumas versões parecem não fazer sentido”, comenta Lukáš Štefanko.

A propagação pelos dispositivos móveis

Para além do seu mecanismo de propagação não tradicional, o Android/Filecoder.C tem algumas anomalias na encriptação. Exclui grandes ficheiros (acima de 50 MB) e imagens pequenas (menos de 150 kB). De igual modo, a sua lista de “tipos de ficheiros para encriptar” contém muitas entradas não relacionadas com Android, embora faltem também algumas das extensões típicas do Android.

“Aparentemente, a lista foi copiada do famoso ransomware WannaCry”, observa o investigador.

Existem também outros elementos intrigantes. Outros métodos para a abordagem não ortodoxa que os desenvolvedores deste malware usaram. Ao contrário do ransomware Android típico, o Android/Filecoder.C não impede que o utilizador aceda ao dispositivo bloqueando o ecrã.

Mais: https://pplware.sapo.pt/smartphones-tablets/android-dispositivos-moveis-malware-ransomware/

25 Million Android Phones Infected With Malware That ‘Hides In WhatsApp’

By: Thomas Brewster

As many as 25 million Android phones have been hit with malware that replaces installed apps like WhatsApp with evil versions that serve up adverts, cybersecurity researchers warned Wednesday.

Dubbed Agent Smith, the malware abuses previously-known weaknesses in the Android operating system, making updating to the latest, patched version of Google’s operating system a priority, Israeli security company Check Point said.

Most victims are based in India, where as many as 15 million were infected. But there are more than 300,000 in the U.S., with another 137,000 in the U.K., making this one of the more severe threats to have hit Google’s operating system in recent memory.

The malware has spread via a third party app store 9apps.com, which is owned by China’s Alibaba, rather than the official Google Play store. Typically, such non-Google Play attacks focus on developing countries, making the hackers’ success in the U.S. and the U.K. more remarkable, Check Point said.

Whilst the replaced apps will serve up malicious ads, whoever’s behind the hacks could do worse, Check Point warned in a blog. “Due to its ability to hide it’s icon from the launcher and impersonates any popular existing apps on a device, there are endless possibilities for this sort of malware to harm a user’s device,” the researchers wrote.

They said they’d warned Google and the relevant law enforcement agencies. Google hadn’t provided comment at the time of publication.

More: https://www.forbes.com/sites/thomasbrewster/2019/07/10/25-million-android-phones-infected-with-malware-that-hides-in-whatsapp/#1df131a94470

WannaHydra | Avast encontra novo malware bancário para dispositivos móveis

By: Natalie Rosa

Uma nova ameaça foi encontrada pela Avast, empresa dedicada a produtos de segurança digital, tendo como alvo os bancos Santander, Itaú e Banco do Brasil, com foco justamente nos correntistas brasileiros.

Batizada de WannaHydra, a ameaça possui várias funções de malware em uma só, como trojan bancário, spyware e ramsomware. Segundo os especialistas, o vírus vem se espalhando por meio de sites maliciosos e lojas de aplicativos de terceiros.

A Avast explica que o WannaHydra emite um alerta falso à vítima indicando que há um problema com sua conta bancária. Com isso, a pessoa acaba fazendo o suposto login em sua conta quando acaba visualizando interfaces iguais às originais dos respectivos bancos. Com as credenciais inseridas, os cibercriminosos têm acesso aos dados da vítima.

Mais: https://canaltech.com.br/hacker/wannahydra-avast-encontra-novo-malware-bancario-para-dispositivos-moveis-143101/

Riltok banking trojan begins targeting Europe

By: Robert Abel

The Riltok banking trojan, originally intended to target Russians, has, after a few modifications, set its sights on the European market.

The malware has more recently diverted four percent of its traffic to France and even smaller percentages to Italy, Ukraine and the U.K., although 90 percent of its victims in Russia, according to a June 25 Kaspersky blog post.

Riltok is distributed from infected devices via SMS, disguised as apps for popular free ad services in Russia. Victims typically receive an SMS containing a malicious link pointing to a fake website that appears to be a popular free ad service.

They are then prompted to download a “new version” of the mobile app, which is actually the trojan. To install the phony app, a victim must permit the installation of apps from unknown sources in the device settings.

Riltok asks the user for permission to use special features in AccessibilityService and if the user ignores or declines the request, the window keeps opening ad infinitum.

Once the malware has obtained the desired rights, the trojan sets itself as the default SMS app (by independently clicking Yes in AccessibilityService) before vanishing from the device screen.

Once a device is infected, the malware actively communicates with its Command and Control servers and receives various commands.

Researchers noted the malware sends data about the device  including the IMEI, phone number, country, mobile operator, phone model, availability of root rights, OS version, list of contacts, list of installed apps and incoming SMS.

More: https://www.scmagazine.com/home/security-news/malware/the-riltok-banking-trojan-has-set-its-sights-for-the-european-market-after-a-few-modifications/

Germany: Backdoor found in four smartphone models; 20,000 users infected

By: Catalin Cimpanu

German cyber-security agency warns against buying or using four low-end smartphone models.

The German Federal Office for Information Security (or the Bundesamt für Sicherheit in der Informationstechnik — BSI) has issued security alerts today warning about dangerous backdoor malware found embedded in the firmware of at least four smartphone models sold in the country.

Impacted models include the Doogee BL7000, the M-Horse Pure 1, the Keecoo P11, and the VKworld Mix Plus (malware present in the firmware, but inactive). All four are low-end Android smartphones.

PHONES INFECTED WITH BACKDOOR TROJAN

The BSI said the phones’ firmware contained a backdoor trojan named Andr/Xgen2-CY.

UK cyber-security firm Sophos Labs first spotted this malware strain in October 2018. In a report it published at the time, Sophos said the malware was embedded inside an app named SoundRecorder, included by default on uleFone S8 Pro smartphones.

Sophos said Andr/Xgen2-CY was designed to work as an unremovable backdoor on infected phones.

The malware’s basic design was to start running once the phone was turned on, collect details about an infected phone, ping back its command-and-control server, and wait for future instructions.

According to Sophos, Andr/Xgen2-CY could collect data such as:

  • The device’s phone number
  • Location information, including longitude, latitude, and a street address
  • IMEI identifier and Android ID
  • Screen resolution
  • Manufacturer, model, brand, OS version
  • CPU information
  • Network type
  • MAC address
  • RAM and ROM size
  • SD Card size
  • Language and country
  • Mobile phone service provider

More: https://www.zdnet.com/article/germany-backdoor-found-in-four-smartphone-models-20000-users-infected/

Dispositivos IoT sofreram mais de 150 milhões de tentativas de ataque em 15 meses, revela pesquisa

By: TI Inside Online

Pesquisa da Cyxtera Technologies, provedora de segurança digital, revela que os dispositivos de Internet das Coisas (IoT) estão em constante ataque, tendo recebido mais de 150 milhões de tentativas de conexão em 15 meses. O estudo foi elaborado por meio de parceria entre o pesquisador de ameaças da Cyxtera Martin Ochoa e a Universidade de Tecnologia e Design de Singapura.

Foram apuradas mais de 150 milhões de tentativas de conexão para 4.642 endereços IP distintos, de acordo com o estudo. Dessas, 64% das conexões parecem ter origem na China, enquanto 14% vem dos Estados Unidos. Em seguida aparecem Reino Unido (9%), Israel (8%) e Eslováquia (6%). É difícil confirmar definitivamente a origem do tráfego da Internet, pois é possível redirecioná-lo para outros locais, técnica frequentemente empregada para ocultar ações do tipo.

Poucos dias após o lançamento de novas campanhas de malware – como Mirai, Satori e Hakai – elas já estavam atacando dispositivos IoT do Honeypots. Em muitos casos, o aumento na atividade foi identificado nos dias e semanas anteriores de o malware ser publicamente conhecido.

Mais da metade (54%) das conexões recebidas pelo honeypot foram via Telnet, enquanto as portas HTTP receberam quase todas as conexões restantes. As câmeras IP receberam a maioria das conexões no honeypot, sugerindo um maior interesse do invasor nesses dispositivos IoT em comparação com outros, como impressoras e switches inteligentes. Vários ataques recentes em grande escala em dispositivos IoT têm como alvo câmeras IP.

Mais: http://tiinside.com.br/tiinside/seguranca/mercado-seguranca/03/06/2019

Checkers restaurant chain discloses card breach

By: Catalin Cimpanu

POS malware discovered installed at 102 Checkers and Rally’s restaurants.

Checkers and Rally’s, one of the biggest drive-thru restaurant chains in the US, disclosed a security incident yesterday that impacted over 100 locations.

In a security notice published on its website, the company said hackers breached its systems and planted malware on its payments processing system.

The malware was designed to collect information from the magnetic stripe of payment cards and was capable of detecting and extracting data such as the cardholder name, payment card number, card verification code, and expiration date.

15% OF CHECKERS’ AND RALLY’S RESTAURANTS IMPACTED

Not all Checkers restaurants were impacted. The company listed the addresses and the dates during which the malware was active on the network of each of the impacted restaurants.

The list includes the addresses of 102 drive-thru restaurants, operating under the Checkers or the Rally’s brands. The company said this amounted for 15% of all of its locations.

Most of the impacted restaurants had POS malware installed on their systems between early 2018 and 2019; however, some restaurants were infected in 2017, and the earliest infection date was in September 2016. Most of the restaurants were cleaned in April 2019, when Checkers appears to have discovered the intrusion.

Only customers who paid for meals and other products using their payment cards during infection periods are impacted.

More: https://www.zdnet.com/article/checkers-restaurant-chain-discloses-card-breach/