Alerta de malware en dispositivos Android que suplanta la app de BBVA

Ha sido detectado un malware que infecta los dispositivos Android y cambia la pantalla de acceso de la app por otra que no es la oficial de BBVA, con el objetivo de robar los datos de los clientes.

Si intentas acceder a tu cuenta a través de la app y observas que inicialmente aparece la pantalla habitual, pero en seguida se produce un cambio de pantalla automático, sin pulsar en ningún botón, mantente alerta y no introduzcas ningún dato.

Para introducir este malware en los dispositivos, los ciberdelincuentes suelen utilizar técnicas de ingeniería social con las que intentan engañar y manipular a los usuarios. El origen puede ser un phishing o correo malicioso en el que incluyen un enlace para solicitar la descarga de alguna aplicación. También puede realizarse a través de un SMS o de aplicaciones fraudulentas que esconden este virus.

Algunos consejos para prevenir la instalación de software malicioso en tu dispositivo móvil:

• Descarga siempre las aplicaciones desde (Google Play y App store) y revisa detenidamente los permisos que solicitan.
• No descargues ninguna aplicación a través de enlaces incluidos en correos electrónicos, SMS o mensajes de WhatsApp.
• Verifica en la sección de “Aplicaciones”, dentro del apartado de “Ajustes”, que no tienes ninguna app desconocida para ti o que no has descargado e instalado tú manualmente en tu dispositivo.

Continúa leyendo en https://www.bbva.es/.

Ramsay: el malware que se aprovecha de las redes aisladas para realizar labores de ciberespionaje 

Ramsay, descubierto por los investigadores de ESET, es un malware utilizado para extraer y recolectar documentos con información confidencial y es capaz de operar aprovechándose de las redes aisladas.

Las redes aisladas son espacios, también conocidos como «pared de aire» son una medida de seguridad en la red empleadas en las computadoras para garantizar que la red informática sobre la que se aplica esté físicamente aislada de redes que no sean seguras, como podría ser la Internet pública o una red local no segura.

Los investigadores señalan que el conjunto de herramientas que supone este malware se encuentra en fase de desarrollo, y que sus vectores de distribución están siendo aun perfeccionados. La hipótesis se ve reforzada por el hecho de que son todavía pocas las víctimas de este malware, aunque esto último bien podría deberse a que los objetivos de Ramsay son muy específicos, encontrándose, como se ha señalado previamente, en redes aisladas.

Ramsay ha sido asociado al grupo Darkhotel. Dicho grupo es conocido por haber realizado operaciones de ciberespionaje (se presume que desde 2004 aproximadamente) contra entidades gubernamentales de China y Japón.  Continúa leyendo en https://unaaldia.hispasec.com/.

El malware COMpfun utiliza códigos de error HTTP como comandos  

Se ha detectado una nueva variante del troyano de acceso remoto (RAT) COMpfun que utiliza como comandos los códigos de error HTTP que el servidor de control le devuelve.

Esta familia de troyanos de acceso de remoto fue detectada por G-Data en 2014. Kaspersky detecto en 2019 otro troyano que mostraba muchas similitudes a nivel de código con respecto a COMpfun, y que permitía realizar ataques ‘man-in-the-middle’ en conexiones cifradas. Aunque este último fue bautizado como Reductor.

La última versión de COMpfun ha sido descubierta por Kaspersky, e implementa todas las funcionalidades que requiere un RAT. Este malware permite recopilar información sobre la geolocalización y sobre el sistema infectado. En cuanto al robo de información más sensible, el troyano permite registrar las pulsaciones de teclas (keylogger), además de realizar capturas de pantalla.

Además de robar información, este malware es capaz de infectar otros dispositivos. Para ello, monitoriza la conexión de dispositivos USB y se propaga en las memorias USB extraíbles.

Para la recepción y ejecución de comandos desde el servidor de control, el troyano comprueba los códigos de estado con los que responde el servidor. Continúa leyendo en https://unaaldia.hispasec.com/.

La vulnerabilidad de man-in-the-middle (mitm) afecta el firewall, switches y routers de Cisco y Palo Alto    

Los equipos de seguridad de Cisco y Palo Alto Networks han corregido dos vulnerabilidades críticas de omisión de autenticación presentes en sus soluciones de seguridad de redes. Al parecer, las fallas existen debido a una supervisión en la implementación del protocolo Kerberos y su explotación podría permitir a los actores de amenazas tomar control de los dispositivos afectados empleando ataques Man-in-The-Middle (MiTM).

Respecto a la implementación afectada, Kerberos es un protocolo de autenticación popular en entornos empresariales. Para proporcionar la máxima seguridad, el protocolo tiene tres pasos de autenticación:

• El usuario se autentica en el servidor
• El servidor se autentica en el cliente
• El centro de distribución de claves Kerberos (KDC) se autentica en el servidor

Los expertos mencionan que la autenticación de KDC en el servidor a menudo se pasa por alto, pues su implementación complica los requisitos de configuración. Continúa leyendo en https://noticiasseguridad.com/.

Si te interesan las noticias de seguridad, te recomendamos que accedas a nuestro foro de seguridad.

¡Hasta pronto!