29/03/2019

29/03/2019

Check Point alerta para ataques Adaware na Google Play Store



A equipa de Research da Check Point detectou 206 aplicações infetadas e mais de 147 milhões de downloads com malware em todo o mundo
 A equipa de investigação da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, descobriu uma campanha de adware mobile de grandes dimensões, que já deu origem a 147 milhões de downloads em quase 206 aplicações infetadas na Google Play Store. Com o nome “SimBad”, devido ao facto de infetar, na sua maioria, jogos de simulação, esta campanha mundial torna o uso do telemóvel praticamente impossível, uma vez que depois do seu download, o dispositivo passa a exibir inúmeros anúncios, fora das aplicações maliciosas, e sem forma aparente de as desinstalar.

Todas as aplicações infetadas utilizam um SDK malicioso para pôr em prática as suas operações. Embora existam outros SDKs disponíveis para a rentabilização das aplicações para dispositivos móveis, os criadores dos jogos optaram por usar um SDK que os beneficia, através da exibição de um número muito maior de anúncios, que têm como objetivo o aumento dos seus lucros.

As aplicações com comportamentos maliciosas contêm:
 
  1. Exibição de anúncios fora da aplicação - quando o utilizador desbloqueia o smartphone ou utiliza outras aplicações.
  2. Abertura constante do Google Play ou da 9Apps Store e redirecionamento para outra aplicação específica, para que o criador possa lucrar com instalações adicionais.
  3. Ocultação do ícone do lançamento para evitar a sua desinstalação.
  4. Abertura do browser com links fornecidos pelo criador da aplicação.
  5. Download de ficheiros APK e pedido para a sua instalação.
  6. Pesquisa de palavras fornecidas pela própria aplicação no Google Play. 

As novas aplicações de software, como são os casos dos sites ou das aplicações para telemóveis, são construídos com base na utilização de complexas supply chains provenientes de bibliotecas de terceiros ou de componentes em open source. Há, no entanto, uma desvantagem na utilização de código de terceiros: os ataques Supply Chain.

Nos ataques supply chain, os cibercriminosos utilizam fornecedores externos de confiança, para disseminar malware a clientes inocentes, através da inserção de malware no código. Do ponto de vista do atacante, infetar a software Supply Chain de uma empresa, através da infeção de apenas um dos componentes é mais benéfico e possivelmente mais fácil do que um ataque direto à própria organização.

Embora haja exemplos claros deste tipo de ataques, incluindo o ataque NotPetya e o comprometimento da popular ferramenta de segurança do CCleaner em 2017, noutra descoberta alarmante, realizada pela equipa de investigação da Check Point, um outro grupo de aplicações para Android foi apontado como sendo responsável pela extração, em massa, de informações dos telemóveis dos seus utilizadores, sem o seu conhecimento ou consentimento, através da utilização de um malware oculto dentro de um Software Development Kit (SDK) de monetização.

Infetar a Supply Chain

A Check Point Research descobriu recentemente um grupo de aplicações Android que escondiam um malware dentro de um SDK (Software Development Kit) de monetização, o SWAnalytics, que foi integrado em aplicações Android aparentemente inocentes, publicados nas principais app stores chinesas não oficiais. Após a instalação da aplicação, sempre que o SWAnalytics detetar vítimas através da abertura de uma aplicação infetada ou através da reiniciação dos seus telemóveis, ele rouba e envia a sua lista inteira de contatos para um servidor remoto, silenciosamente, sem deixar que o utilizador se aperceba.

Até à data, 12 aplicações infetadas, a sua maioria aplicações de utilidade de sistema, foram descarregadas mais de 111 milhões de vezes – o que, teoricamente, significa que o criminoso teria extraído os nomes e os números telefone de um terço da população total da China.

Os dados roubados poderiam, naturalmente, circular nos mercados clandestinos para novas explorações, variando entre marketing não autorizado, scam de telefones previamente definidos ou programas de referência de amigos abusivo.

Curiosamente, em julho de 2018, as agências de segurança dos EUA emitiram um relatório destacando preocupações de como os ataques de software supply chain representam uma ameaça emergente da China e que no longo prazo poderia vir a destruir a vantagem competitiva da economia americana.

Porque é que os ataques Supply Chain serem alvos fáceis para os cibercriminosos

Uma vez que as organizações estão a investir cada vez mais em tecnologia para proteger os seus dados e redes, os cibercriminosos estão simultaneamente a estudar novas formas de contornar todo o investimento que as empresas estão a fazer para a sua defesa – incluindo a exploração de vulnerabilidades em software supply chain. Através da supply chain, os agentes das ameaças podem alcançar um leque muito maior de organizações, graças ao código de terceiros, utilizado por muitos engenheiros de software em todos os setores.

Por um lado, as organizações confiam que o código construído por terceiros tem segurança incorporada o que, infelizmente, nem sempre é o caso. Uma vez que os fornecedores externos normalmente priorizam a velocidade em detrimento da segurança, isso significa que o código pode facilmente ser intercetado e comprometido. No momento em que este é utilizado pelo engenheiro de software dentro de uma organização, pode já ser muito tarde e já ter comprometido o software final da aplicação.

Os cibercriminosos estão cientes de que as equipas de DevOps são movidas pela velocidade, com o objetivo de tornar as organizações mais eficientes e que, por consequência, desenvolvem aplicações sem as verificações de segurança necessárias. Ter este conhecimento permite-lhes tirarem partido da sua frequente falta de segurança.

Além disso, não há uma forma mais correta de dividir as bibliotecas de código externo ou de código produzido nas organizações, levando a que  tudo seja executado sob o mesmo privilégio. Isso significa que qualquer coisa que a aplicação seja capaz de fazer, todas as bibliotecas também o são. Assim sendo, se a aplicação conseguir aceder a uma base de dados, não haverá nada que impeça as restantes bibliotecas de fazer o mesmo.

Proteção contra ataques Supply Chain

Infelizmente, não há uma resposta fácil no que respeita à defesa contra este tipo de ataques. As organizações precisam de saber exatamente quais os produtos comerciais e open source que utilizam para se prepararem da melhor forma contra potenciais ataques que utilizem software legítimo como vetor de ataque.

A adoção de uma abordagem de "higiene primeiro", aplicada à arquitetura de segurança da organização, fornecerá visibilidade total do ambiente de TI e ajudará a lidar com os pontos cegos. À medida que cada vez mais aplicações forem adicionadas ao ecossistema de TI, as equipas de segurança vão tentar controlar quem está a instalar as aplicações e onde o está a fazer, por uma questão de segurança.

Como resultado, é importante ter soluções de prevenção de end-points de última geração, controlo/segmentação de rede e controlo reforçado em torno de credenciais privilegiadas para impedir que um ataque se espalhe por toda a rede corporativa.

O SandBlast Mobile é uma infraestrutura de segurança única, On-device Network Protection, capaz de oferecer os recursos necessários para a prevenção contra ameaças em dispositivos móveis corporativos, que anteriormente só estavam disponíveis para soluções de segurança de rede e endpoint. Ao inspecionar e controlar todo o tráfego de rede no dispositivo, o SandBlast Mobile previne ataques de phishing em todas as aplicações, e-mail, SMS, iMessage e outras aplicações de mensagens. Para além disso, esta solução interdita o acesso a sites maliciosos ou restritos e também impede que dispositivos infetados tenham acesso aos recursos corporativos e comuniquem com botnets. Com o objetivo de garantir a privacidade dos dados do utilizador, o SandBlast Mobile valida o tráfego móvel no próprio dispositivo sem redirecionar os dados através de uma entrada corporativa.

Em caso de infeção por aplicações como as descritas, ou outras, os utilizadores deverão seguir os seguintes passos para remover as aplicações maliciosas:

Para Android:
  1. Ir ao menu de Definições
  2. Clicar em Apps ou Gestor de Aplicações
  3. Fazer scroll até à aplicação suspeita e desinstalá-la. No caso de não encontrar, remova todas as aplicações recentemente instaladas.
Photo by Dlanor S on Unsplash

0 comments:

Enviar um comentário