Share this page!

Sergio de los Santos Profile picture
Twitter logo
8 Apr, 7 tweets, 2 min read
El malware para Android es siempre interesante. Incluso con sus limitaciones por las estrecheces del SO, consigue no solo hazañas sino colarse en Google Play cada poco. Esta nueva muestra intercepta las notificaciones de WhatsApp, las contesta y se propaga a esos contactos. Hilo¬
La muestra ha pasado las barreras de seguridad del market. La aplicación (un supuesto servicio falso para ver contenido de Netflix) se encargaba de esconderse como servicio una vez instalado. A partir de ahí se superpone sobre nuevas ventanas para intentar robar credenciales.
También ignora la optimización de betería para que se siga ejecutando siempre como servicio. Pero lo más interesante es que tiene el permiso de interceptar notificaciones. Y esto es un peligro, porque permite capturar las notificaciones de WhatsApp sin que nos demos cuenta.
Sabéis que las notificaciones se pueden responder "directamente" desde ellas mismas, ¿verdad? Suficiente para un "ok" o respuesta rápida. Ahí toma la muestra los datos necesarios para responder rápidamente a esa notificación y difundirse a sí mismo a los contactos de la víctima.
Les envía sobre la notificación un mensaje invitándoles a descargar de nuevo el malware desde un enlace. ¿Algo todavía más curioso? Este comportamiento no es nuevo, ya se observó una muestra a finales de enero que hacía lo mismo. La novedad es que otra haya llegado a Google Play.
Afortunadamente no tenía muchas descargas y el mensaje no estaba personalizado (siempre en inglés), aunque sí se comunica con un C&C para tomar parámetros. Pero una cosa está clara: volverán a intentarlo más y mejor. El malware para Android... siempre interesante.
Más info: t.me/cybersecurityp…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Sergio de los Santos

Sergio de los Santos Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @ssantosv

Sergio de los Santos Profile picture
13 Nov 20
¿Estás oyendo las noticias del ataque SAD DNS y te cuesta entenderlo? Tranquilo, es complejo entenderlo bien. Pero voy a intentar explicar desde mi punto de vista la parte interesante del ataque más importante a Internet desde el fallo de Kamisnky en 2008. Otro punto para 2020. ¬
Para falsear una petición DNS y devolverle al cliente una mentira, el atacante debe saber el TxID (transaction ID) y el puerto origen UDP desde el que la víctima realiza la consulta al servidor principal. Con esto bombardea al resolvedor, que creerá recibir la respuesta original.
Esto supone entropía de 32 bits (dos campos de 16). SAD DNS consiste (básicamente, porque el paper es muy complejo) en inferir el puerto UDP con un ingenioso método que se vale de los mensajes de vuelta de error ICMP. El atacante se enfrenta a una entropía de 16 bits, asumible.
Read 20 tweets
Sergio de los Santos Profile picture
11 Nov 20
112 vulnerabilidades ha corregido Microsoft este martes. Pero la noticia es que ha remodelado por completo su página web en las que anuncia las vulnerabilidades y, ojo, que se ha adaptado a los estándares ofreciendo el valor CVSS de cada CVE. Pero... algo ha hecho mal ¬ Image
Ha eliminado una explicación que siempre daba en cada fallo. Un pequeño párrafo en el que explicaba con un lenguaje natural cómo afectaba la vulnerabilidad, a qué componente, su gravedad, impacto y sus consecuencias. Algo que todos podían entender.
Cierto que a veces minimizaban el impacto, subestimaban los problemas, pero la explicación era correcta. Se echa de menos ahora. Ayudaba a contextualizar. Tanto como antes se echaba de menos el CVSS. Pero parece que les han obligado a elegir. En fin. Esperamos que vuelva.
Read 4 tweets
Sergio de los Santos Profile picture
14 Jul 20
Cosas chulas que tiene Conti, el ransomware más rápido del Oeste. 32 hilos de CPU en paralelo, pero… ¿para qué? Interesante la diferencia entre el ransomware "doméstico" y el "industrial". Hilo ¬
Ha sido Carbon Black quien ha analizado una nueva versión de Conti, descubriendo nuevos niveles de sofisticación. Conti utiliza 32 hilos simultáneos de CPU. Esto permite que cifre muy rápido todo el disco duro que se le ponga por delante, o en remoto a "vecinos de red".
Cuanto más rápido es el ransomware, antes puede pasar desapercibido ante cualquier sistema de alerta, desde los reactivos hasta los preventivos. Siempre será demasiado tarde. También le sirve para cifrar ficheros muy grandes de BBDD de servidores, que es donde se "agazapa".
Read 8 tweets
Sergio de los Santos Profile picture
4 Apr 20
En estos días, Zoom se está sintiendo un poco Windows. Analizado por todos los frentes, diana de todos los ataques. En tres meses ha pasado de 10 millones de reuniones diarias a más de 200. Si te has perdido un poco en todos sus fallos y ataques aparecidos, hilo con resumen ¬.
Por supuesto, aprovechar el tirón mediático para robar SEO. Check Point ha detectado en los últimos tiempos hasta 1700 dominios con la palabra “Zoom”. Al menos 70 maliciosos. Y también malware (ejecutables) que han renombrado también con esa palabra.
Y ante la popularidad, oportunistas. Practicar ZoomBombing o Zoom Raid está de moda gracias a la herramienta zWarDial, que permite simplemente buscar reuniones sin contraseña (o débiles, que también sirve) y colarse en ellas. Ahora pasamos a las vulnerabilidades.
Read 11 tweets
Sergio de los Santos Profile picture
30 Jun 19
Lo que está pasando con el ataque a OpenPGP es verdaderamente grave, un desastre en palabras de los afectados que mantienen el protocolo. Robert J. Hansen, que ha comunicado el incidente, ha calificado literalmente de “hijo de puta” al atacante. Más información abajo:
En la red de pares de certificados públicos, donde cualquiera puede encontrar la clave pública PGP de una persona, no se borra jamás nada, nunca. Esto se decidió así por diseño para resistir a los potenciales ataques de gobiernos que quisieran censurar.
Cualquiera puede firmar un cert público, dando fe de que pertenece a la persona que dice ser. Y lo puede firmar un número indeterminado de veces, alegando con su propia firma que el cert pertenece a quien dice. Esto añade una firma de ciertos bytes al cert para siempre
Read 12 tweets
Sergio de los Santos Profile picture
21 Jun 19
El informe que hace el Office of Inspector General de la NASA, de su propio JET (Jet Propulsion Laboratory) es demoledor. Tras denunciar su seguridad en marzo, se publica el informe que habla de intrusiones durante un año y unas prácticas pésimas de seguridad. Hilo👇
El JPL ha sufrido 6 incidentes de seguridad en los últimos 10 años. Quizás el más grave se mantuvo de abril del 18 hasta hace poco. Se llegó a la red por una Raspberry Pi ahí conectada a una red sin monitorización, plana y compartida. Hay ataques en 2009, 2011, 2014, 2016 y 2017.
Y eso que según ellos mismos, la seguridad de las unidades de red e la NASA está lejos de ser una tontería. Desde la seguridad nacional hasta infraestructuras críticas, pasando por robo de conocimiento crítico y tecnología punta.
Read 12 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @ssantosv has new unrolls!

Check out other threads from @ssantosv!

Read all threads by @ssantosv