Technology Solutions

 
 El "Cómo se hizo" del reportaje de "Soy Noticia"

El "Cómo se hizo" del reportaje de "Soy Noticia"

Hace unos días, la cadena de televisión Cuatro emitió un reportaje sobre 
el "Espionaje en la Red" al cual Hispasec fue invitado con la propuesta 
de ilustrar a la audiencia de los peligros que supone el uso, 
irresponsable o al menos despreocupado, de la tecnología. Tras la 
emisión del programa muchos de los lectores de Una-al-día y algunos 
clientes nos han hecho llegar varias preguntas que giran en torno a 
"¿Cómo lo habéis hecho?". Vamos a haceros partícipes del "Cómo se hizo" 
en un plano técnico que permita darle una perspectiva más profunda. 

En primer lugar, para los que no pudisteis ver el programa en su 
momento: 
http://www.cuatro.com/_7ecc7b7a 

Los requerimientos iniciales eran claros: se quería demostrar el 
potencial de los dispositivos móviles para poder ser espiados. Para ello 
nos pusimos a desarrollar una aplicación "ad-hoc" con las siguientes 
características: 
* Registro de credenciales bancarias 
* Monitorización GPS 
* Lectura de contactos del dispositivo 
* Fotografías con la cámara frontal y trasera 
* Extracción de las fotografías del dispositivo 
* Lectura de los SMS enviados y recibidos 
* Vídeos en tiempo real 

La aplicación, que se puede considerar un malware o troyano, fue 
realizada para Android ya que es el sistema operativo móvil más usado 
junto a iOS y sobre todo debido a la flexibilidad de crear aplicaciones 
para él. 

Antes de nada, el estudio sobre la vida social de Nacho Medina y el 
phishing donde se le pide que instale la nueva versión de su aplicación 
de Banca Online fue igualmente efectuado bajo estricta planificación y 
ejecución. El APK y la infraestructura del phishing fueron alojados en 
un servidor controlado por Hispasec. 

Interfaz 

En primer lugar, para la presentación de los datos recogidos del 
dispositivo se decidió crear una interfaz de usuario para hacer más 
visual la información recopilada del usuario. Algo necesario para 
mostrar al público en general la operativa de manera gráfica. En ésta se 
mostraban los contactos de la agenda del teléfono, los SMS enviados y 
recibidos, el mapa de posicionamiento de la víctima (en este caso Nacho 
Medina, el presentador) y un pequeño visor de las imágenes del 
dispositivo. La interfaz era completamente operacional. Agradecemos su 
diseño a nuestro compañero Daniel Vaca , 
ninja experto en Javascript. 

Registro de credenciales bancarias 

La primera característica que debería tener el malware era poder robar 
las credenciales bancarias de la víctima. Para ello copiamos la interfaz 
de usuario de su aplicación bancaria y redirigimos el envío de datos 
hacia nuestro servidor. Así, cuando Nacho introdujo sus credenciales las 
guardamos para posteriormente analizar todos sus movimientos bancarios 
(visible en la parte final del reportaje). Un esquema clásico del 
comportamiento del malware actual. Captura y "dropeo" de los datos 
robados. 

Monitorización GPS 

Otra de las características que se mostró fue la monitorización de la 
víctima geográficamente, es decir, dónde estaba en cada momento. Para 
esto utilizamos el GPS del teléfono móvil y una rutina en "background" 
en el dispositivo, que cada 5 segundos nos enviaba la ubicación GPS 
(longitud y latitud) junto con la exactitud de la misma. 

Con esta información se procedió a mostrarla de forma interactiva en un 
mapa para ver en qué posición se encontraba en cada momento. Como es 
lógico, la tecnología GPS no es totalmente exacta, y menos cuando se 
trata de un móvil que puede perder la cobertura cuando se encuentra en 
sitios cerrados, por eso en ciertas ocasiones durante el reportaje 
aparecen fluctuaciones en el mapa visualizado. Aunque esto último 
podríamos haberlo simulado parcialmente para evitar "rarezas", 
preferimos adherirnos a la realidad y mostrarlo con sus virtudes y 
defectos. 

Lectura de contactos del dispositivo 

Leer la agenda de la víctima es otro de los puntos de este reportaje, 
así se podía mostrar la peligrosidad de la aplicación en este aspecto, 
el robo de los contactos de cualquier víctima potencial. Este mecanismo 
en Android, hablando de la parte programática, es bastante simple, por 
lo que se recogió la agenda, con los números de teléfono y se envió al 
servidor para posteriormente visualizarlos en la interfaz de usuario, 
eso sí, con todos los datos alterados cuando se muestran en la interfaz. 

Fotografías con la cámara frontal y trasera 

Se quería enseñar cómo un malware puede tomar el control de las cámaras 
de nuestro dispositivo sin que nosotros seamos conscientes. Para ello se 
implementó un simple sistema que bajo demanda tomaba fotografías con la 
cámara frontal o trasera sin mostrar ningún tipo de aviso o pantalla al 
usuario. Estas fotografías, una vez tomadas, eran enviadas hacia nuestro 
servidor y posteriormente visualizadas en la interfaz. 

Extracción de las fotografías del dispositivo 

Muchas aplicaciones que tenemos instaladas en nuestro dispositivo tienen 
los permisos y la capacidad para acceder a nuestras fotos y vídeos, 
aunque no seamos conscientes. En este caso con la ayuda del malware 
desarrollado, justo después de instalarse en el dispositivo, se procedió 
a recorrer la galería de fotografías y enviarlas al servidor que 
preparamos para el evento. Posteriormente a través de la interfaz 
desarrollada se podía visualizar en un carrusel. 

Lectura de SMS enviados y recibidos 
La mayoría del malware bancario para Android realiza este tipo de 
acción. La razón es muy simple, muchas entidades bancarias recurren al 
envío de SMS como segundo método de autenticación para la emisión de 
transferencias u otras operaciones. Para poder capturar estos SMS y 
poder completar las transferencias fraudulentas los atacantes realizan 
este tipo de malware. En nuestro caso, en primer lugar recogimos todos 
los SMS que el usuario tenía en el teléfono y cada vez que enviaba o 
recibía uno, se volvía a contactar con el servidor para registrarlo. Así 
David y Jorge podían ver los SMS que Nacho Medina estaba enviando. 

Vídeos en tiempo real 

Otra de las características que tiene el malware es la del vídeo en 
tiempo real. Esto le da vistosidad a la grabación del reportaje, así que 
estuvimos realizando algunas pruebas en el laboratorio y vimos que 
técnicamente era posible, pero la conexión 3G (el móvil no soportaba 4G) 
hacía que la calidad del vídeo fuese muy baja y no lo suficientemente 
llamativa para ser mostrada en un reportaje televisivo. Finalmente 
decidimos simularlo grabando vídeos off-line y posteriormente 
insertándolos en la interfaz. Es decir, es posible grabar video y 
extraerlo, pero en el reportaje quedaba mejor ilustrar este concepto con 
videos de alta calidad. 

Tanto el código de la infraestructura como el de la aplicación móvil no 
van a ser liberados. Aunque quien sabe, igual Nacho lo envió a Koodous y 
ahora descansa perdido entre los ocho millones de muestras 

 

From: www.hispasec.com

By Antonio Sánchez


Feelpcs's News 
  • El ransomware SamSam ataca a entidades financieras peruanas  

    Desde Hispasec tenemos conocimiento de los ataques sufridos por entidades financieras peruanas, ataques que han tenido como objetivo principal la instalación del ransomware SamSam (también conocido como Samsa o Samas).

  • Destapada operación de blanqueo a través de juegos para móvil gracias a un MongoDB sin control de acceso  

    La organización utilizaba tarjetas de crédito robadas para comprar mejoras e ítems en los juegos para móvil de forma automatizada, que después revendían a cambio de dinero real en portales de compra-venta de recursos alternativos.

  • Cinco maneras de saber si tu empresa es vulnerable a ataques informáticos  

    Ninguna empresa está libre de ser víctima de un ataque informático y por ello la ciberseguridad ya no puede ser opcional en los negocios. Un ataque puede secuestrar información, detener durante días las actividades de una empresa, o alzarse con data confidencial de clientes, entre muchos otros perjuicios..

  • Más de 1'000,00 routers y dispositivos NAS afectados por VPNFilter  

    El equipo de investigadores de Cisco Talos se hacen eco de una nueva familia de malware muy destructiva: VPNFilter. Capaz de robar credenciales, exfiltrar información e incluso destruir el dispositivo afectado.

  • Un grupo de hackers crean una "llave maestra" que abre millones de habitaciones de hotel  

    A partir de hoy, piénselo dos veces antes de dejar pertenencias valiosas en su habitación de hotel. Esta puede ser desbloqueada por un extraño.

  • Who to trust: Different types of SSL certificates  

    A secure connection is encrypted and therefore safe; an unprotected one isn’t. Easy, right? But where do certificates come from, and what’s the difference between SSL and TLS? What does a digital certificate have to do with security, anyway?

  • Guía básica para entender de una vez qué es eso del ‘blockchain’  

    Cadena de bloques. ¿Harto de escuchar que el 'blockchain' va a suponer una revolución? Te explicamos por qué puede ser clave en el futuro

  • Seguridad: Cómo evitar que te pirateen el móvil  

    Guía básica contra virus y otras amenazas móviles. Para que no te timen. O para solucionarlo si ya has picado.

  • Alteryx data leak exposes 123 million households: What you need to know 

    More than 120 million U.S. households had information exposed in a data leak, potentially raising the risk of identity theft for the impacted American families.

  • Nueva campaña de vales regalo que recolecta tu tarjeta de crédito 

    Spam publicitando una nueva campaña fraudulenta, que está afectando a gran cantidad de firmas; utilizándolas como señuelo para recolectar los datos privados de los visitantes, e incluso, para estafarlos recabando sus datos bancarios

  • Mirai IoT Botnet: 5 Fast Facts You Need to Know 

    1. IoT Botnet ‘Mirai’ Targets Vulnerable ‘Smart’ IoT Technology and Turns Them into ‘Bots’
    2. ‘Mirai’ Took Out Amazon, Spotify, Twitter and More Websites in a DDOS Attack
    3. ‘Mirai’s Author Has an Avi of Anime Character Anna Nishikinomiya and Mirai Means “Future” in Japanese
    4. You Can Wipe Off the Malware From an IoT System But Recurrence is Likely
    5. Source Code for ‘Mirai’ Botnet was Released Publicly Which Opens the Door for Future Botnet Attacks

  • 5 reglas de oro para usuarios de redes sociales 

    .-No alimentar a los trolls .-No se debe publicar o volver a publicar nada ilegal .-No volver a publicar estafas .-Piense en las reacciones de los lectores .-No haga que sus datos privados sean publicos.

  • El "Cómo se hizo" del reportaje de "Soy Noticia" 

    Nacho Medina comprueba cómo pueden acceder a sus datos sin que se dé cuenta

  • Our Rising Dependency on Cyberphysical  

    Critical services we rely on are increasingly dependent upon cyberphysical interactivity. The scope of these critical services continues to broaden and deepen across industries, especially as the functionality and speed of devices is more widely understood.

  • What is spyware? 

    Because of its popularity, the internet has become an ideal target for advertising. As a result, spyware, or adware, has become increasingly prevalent. When troubleshooting problems with your computer, you may discover that the source of the problem is spyware software that has been installed on your machine without your knowledge.

  • Understanding Hidden Threats: Rootkits and Botnets 

    Attackers are continually finding new ways to access computer systems. The use of hidden methods such as rootkits and botnets has increased, and you may be a victim without even realizing it.

  • Phishing: Still a concern 

    Businesses often don’t realize how vulnerable their confidential data is until it’s exposed by a hack. By now, many are aware of external threats to data security and (hopefully) prepare accordingly, but breaches can still occur—despite taking the necessary security precautions. And with phishing, threats don’t need to sneak in the back door; sometimes they walk right through the front.

  • "Backoff" malware variants: Unskal, Saluchtra, Dexter and IeEnablerCby 

    Unskal
    Saluchtra
    Dexter
    IeEnablerCby

  • Avoiding Social Engineering and Phishing Attacks 

    What is a social engineering attack?
    What is a phishing attack?
    How do you avoid being a victim?
    What do you do if you think you are a victim?

  • The Dos and Don'ts of Online Safety 

    20 ways to keep your internet identity safe from hackers

  • Si no actualizas Java, estás infectado 

    Los applets de Java, unidos a una máquina virtual JRE vulnerable, son hoy por hoy la combinación perfecta para que los atacantes infecten a sus víctimas. No importa qué hábitos se sigan en el sistema: no tener actualizado JRE, es garantía de infección. Veamos por qué y cómo protegerse.

  • Descubren al espía "más complejo" del mundo 

    ¿Quién necesita a James Bond teniendo a Flame? Un malware que según expertos rusos lleva más de dos años robando todo tipo de información sensible bajo las órdenes de un gobierno no identificado.

  • Nuevos troyanos Spyeye orientados exclusivamente a entidades de Panamá y Honduras 

    Existen decenas de miles de versiones de Spyeye que atacan a cientos de entidades bancarias. Pero en nuestro laboratorio no habíamos visto aún una muestra orientada exclusivamente a bancos de Latinoamérica. Hasta ahora, estas entidades han sido atacadas por troyanos mucho más simples, pero parece que ya han entrado en el peligroso circuito de los troyanos más sofisticados.

  • Usted está en venta 

    Hasta hace poco, el software era un producto conocido, que se vendía en las tiendas en cajas envueltas en plástico transparente y, para comprarlo, sólo tenía que dar su número de tarjeta de crédito o unos cuantos billetes.

  • Microsoft publicará 16 boletines de seguridad el próximo martes 

    Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 14 de junio 16 boletines de seguridad, correspondientes a los boletines MS11-037 y MS11-052, con un número indeterminado de vulnerabilidades cada uno, pero que completarán 34 vulnerabilidades.

  • Que es Virus Informatico, Malware, Trojan Horse ? 

    Un tipico caso de virus informatico:

  • Cómo elegir un router, el dispositivo clave para armar una red Wi-Fi en casa 

    Una red inalámbrica hogareña permite acceder a Internet a través de notebooks, netbooks, tabletas o celulares desde cualquier ambiente de la casa. Y esto es posible gracias a los routers, equipos que se conectan al módem y son el corazón de las redes sin cables (Wi-Fi). Aquí, algunos datos y sugerencias que quieren ser útiles a la hora de elegir un router para el hogar.

  • RSA: Ataque de Virus - Ejemplo "Para Prevenir Incidentes" 

    El pasado 18 de marzo RSA confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID. En estos momentos ya se sabe cómo accedieron a la información los atacantes y, de paso, que RSA tardó varios días en hacer público el incidente.

  • Vídeo: Kit de creación de phishing "especial" 

    Nuevas formar de alterar paginas webs para recabar email e informacion de usuarios en Internet. Tener mucho cuidado antes de ingresar datos en Internet, muchas paginas de bancos son clonadas.

  • El código de una tarjeta de crédito se puede comprar por dos dólares 

    Los ciberdelincuentes venden las claves a terceros para evitar riesgos - Los especialistas detectan una media de 63.000 nuevas amenazas al día.

  • Virus y Actualizaciones de windows y software afines 

    Resumen del Año 2010 - Virus y Actualizaciones de windows y software afines

  • 10 estrategias principales de seguridad 

    ¿Es un admirador del código malicioso, el spam o el phishing? ¿Lee o sigue listas extensas y complejas de pasos y precauciones? Si su respuesta es no para alguna de estas preguntas o para ambas, revise estas diez estrategias básicas que le permitirán mantener las cosas nocivas lejos de la computadora de su hogar y oficina.

  • Cuidado con los falsos antivirus 

    Dentro del rogueware ha habido siempre varias tendencias. La más conocida sea quizás la de los falsos antivirus, pero existen otras. En estos momentos hemos detectado una nueva campaña muy elaborada de rogueware que simula ser una herramienta de sistema.

  • Peligro de phishing en iPhone 

    Nitesh Dhanjani, investigador de seguridad ha publicado en su blog una vulnerabilidad por la cual un atacante podría engañar al usuario haciéndole creer que están en páginas de confianza como bancos, tiendas online u otras páginas de carácter sensible, cuando en realidad no lo están..

  • Manual para protegerse de los últimos engaños en Internet 

    Los hackers ya se mueven en las redes sociales. En Facebook y Twitter abundan los perfiles falsos y las páginas con programas engañosos. Buscan robar las claves de acceso de los usuarios a los servicios. Consejos para evitar caer en las trampas.

How can we help
  • Virus Removal Experts
  • All Desktop & Notebook Repairs
  • Screens, Motherboards, Hard drives
  • Soldering Jobs
  • Networking
  • Custom Builds
  • Website Design
What We Do