Atrasos nas atualizações de software permitem que criminosos cibernéticos explorem aplicativos de dispositivos móveis;
Cavalo de Troia Pinkslipbot retorna com novos recursos
A Intel Security lançou seu Relatório de ameaças McAfee Labs: junho de 2016, que explica a dinâmica de conluio entre aplicativos de dispositivos móveis, em que os criminosos cibernéticos manipulam dois ou mais aplicativos para orquestrar ataques a proprietários de smartphones. A McAfee Labs observou esse comportamento em mais de 5056 versões de 21 aplicativos desenvolvidos para oferecer serviços úteis aos usuários, como streaming de vídeo, monitoramento de saúde e planejamento de viagens. Infelizmente, o fato de os usuários não realizarem regularmente as atualizações de software essenciais a esses 21 aplicativos aumenta a possibilidade de versões antigas serem apropriadas para atividades maliciosas.
Amplamente considerada como uma ameaça teórica por muitos anos, os conluios de aplicativos (app collusion) realizam atividades nocivas em equipe, aproveitando os recursos comuns de comunicação entre aplicativos de sistemas operacionais de dispositivos móveis. Esses sistemas operacionais incorporam muitas técnicas para isolar aplicativos em áreas restritas, restringir seus recursos e controlar quais permissões possuem, em um nível bastante detalhado. Infelizmente, as plataformas móveis também incluem formas totalmente documentadas de aplicativos se comunicarem uns com os outros entre os limites de área restrita. Trabalhando juntos, os aplicativos podem aproveitar esses recursos de comunicação entre aplicativos para fins maliciosos.
A McAfee Labs identificou três tipos de ameaça que podem ser resultantes do conluio entre aplicativos de dispositivos móveis:
- Roubo de informações: Um aplicativo com acesso a informações sensíveis ou confidenciais colabora voluntária ou involuntariamente com um ou mais aplicativos, para enviar informações fora dos limites do dispositivo.
- Roubo financeiro: Um aplicativo envia informações para outro aplicativo, o qual pode executar transações financeiras ou fazer chamadas de API financeiro para alcançar objetivos similares.
- Abuso de serviços: Um aplicativo controla um serviço do sistema e recebe informações ou comandos de um ou mais aplicativos para orquestrar uma variedade de atividades maliciosas.
A conspiração ou conluio entre aplicativos de dispositivos móveis exige pelo menos um aplicativo com permissão para acessar o serviço ou as informações restritas; um aplicativo sem essa permissão, mas com acesso fora do dispositivo e a capacidade de comunicação entre si. Um dos aplicativos pode estar colaborando intencional ou não intencionalmente, devido ao vazamento de dados acidental, ou inclusão de uma biblioteca maliciosa, ou kit de desenvolvimento de software malicioso. Esses aplicativos podem utilizar um espaço compartilhado (arquivos que podem ser lidos por todos) para trocar informações sobre privilégios concedidos e para determinar qual deles está posicionado de forma ideal para servir de ponto de entrada para comandos remotos.
“A detecção aprimorada requer maiores esforços para a fraude”, disse Vincent Weafer, VP do McAfee Labs da Intel Security. “Não é nenhuma surpresa que os adversários reagiram aos esforços na segurança de dispositivos móveis, com novas ameaças que tentam se esconder em plena vista. Nosso objetivo é dificultar cada vez mais a conquista inicial dos aplicativos maliciosos em nossos dispositivos pessoais, desenvolvendo ferramentas e técnicas mais inteligentes para detectar aplicativos conspiradores.”
O relatório da McAfee Labs discute uma pesquisa prospectiva para desenvolver ferramentas utilizadas inicialmente por pesquisadores de ameaças de forma manual, mas que no futuro serão automatizadas, para detectar aplicativos conspiradores. Uma vez identificados, os aplicativos podem ser bloqueados utilizando tecnologia de segurança de dispositivos móveis. O relatório sugere uma variedade de abordagens para minimizar o conluio entre aplicativos de dispositivos móveis, incluindo baixar aplicativos apenas de fontes confiáveis, evitar aplicativos com propaganda integrada, não fazer “jailbreak” em dispositivos móveis e o mais importante, sempre manter o sistema operacional e os aplicativos atualizados.
O relatório deste trimestre também documenta o retorno do Cavalo de Troia W32/Pinkslipbot (também conhecido como Qakbot, Akbot, QBot). Esse Cavalo de Troia de backdoor, com recursos tipo worm lançado inicialmente em 2007, obteve rapidamente a reputação de ser de uma família de malwares danosos e de alto impacto, capazes de roubar credenciais bancárias, senhas de e-mail e certificados digitais. O malware Pinkslipbot ressurgiu no final de 2015 com recursos melhorados, como criptografia em múltiplas camadas e antianálise, para frustrar os esforços dos pesquisadores de malwares de dissecar e fazer engenharia reversa nele. O relatório também dá detalhes sobre o mecanismo de autoatualização e exfiltração de dados do Cavalo de Troia e sobre o esforço da McAfee Labs de monitorar infecções e roubo de credenciais pelo Pinkslipbot em tempo real.
Por fim, a McAfee Labs avalia o estado das funções de hashing convencionais e insiste que as organizações mantenham os seus sistemas atualizados com os padrões de hashing mais recentes e mais fortes.
Estatísticas de ameaças do 1º trimestre de 2016
- Ransomware. Novas amostras de ransomware aumentaram 24% neste trimestre, devido à entrada contínua de criminosos relativamente pouco qualificados na comunidade de crimes cibernéticos por ransomware. Essa tendência é o resultado da adoção generalizada de kits de exploração para distribuir o malware.
- Dispositivos móveis. Novas amostras de malwares de dispositivos móveis cresceram 17% no 1º trimestre de 2016 em relação ao trimestre anterior. O total de amostras de malwares de dispositivos móveis cresceu 23% em relação ao último trimestre e 113% nos últimos quatro trimestres.
- Malwares de Mac OS. Malwares de Mac OS cresceram rapidamente no 1º trimestre devido principalmente a um aumento no adware VSearch. Embora o número absoluto de amostras de Mac OS ainda seja baixo, o número total de amostras aumentou 68% em relação ao último trimestre e 559% nos últimos quatro trimestres.
- Malware de macro. O malware de macro continua na trajetória de crescimento iniciada em 2015, com um aumento de 42% em relação ao último trimestre, apresentando novas amostras. A nova geração de malwares de macro continua a atacar redes corporativas principalmente por meio de campanhas de spam sofisticadas, que aproveitam as informações coletadas por meio de engenharia social para aparentar legitimidade.
- Rede de bots Gamut. A rede de bots Gamut se tornou a rede de bots de spam mais produtiva no 1º trimestre, aumentando o seu volume em quase 50%. As campanhas de spam predominantes oferecem esquema de enriquecimento e suprimentos farmacêuticos falsos. Kelihos, a rede de bots de spam mais prolífica durante o 4º trimestre de 2015 e um distribuidor de malwares generalizado, caiu para a quarta posição.
Para obter mais informações sobre esses tópicos ou mais estatísticas do panorama de ameaças referentes ao 1º trimestre de 2016, acessehttp:/www.mcafee.com/June2016ThreatsReport para ler o relatório completo.
Para obter orientações sobre como as organizações podem se proteger melhor das ameaças detalhadas no relatório deste trimestre, acesse o blog empresarial.
Sobre a McAfee Labs
A McAfee Labs é a divisão de pesquisa de ameaças do Intel Security Group da Intel Corporation e uma das principais fontes mundiais de pesquisa de ameaças, inteligência de ameaças e liderança voltada à segurança cibernética. A equipe de pesquisadores da McAfee Labs coleta dados de ameaça por meio de milhões de sensores nos principais vetores de ameaças – arquivo, web, mensagem e rede. Posteriormente, realiza uma análise de correlação de ameaças entre vetores e fornece uma inteligência de ameaça em tempo real, para os produtos de segurança de rede, conteúdo e endpoint altamente integrados da McAfee por meio de seu serviço McAfee Global Threat Intelligence com base em nuvem. A McAfee Labs também desenvolve tecnologias de detecção de ameaças fundamentais – como elaboração de perfis de aplicativos e gerenciamento de listas cinzas – que são incorporadas ao portfólio mais amplo de produtos de segurança do setor.
Sobre a Intel Security
A McAfee agora faz parte da Intel Security. Com sua estratégia de segurança conectada (Security Connected), seu enfoque inovador para a segurança aprimorada de hardware e tecnologia única de McAfee Global Threat Intelligence, a Intel Security está totalmente concentrada no desenvolvimento de soluções e serviços de segurança proativos e comprovados que protegem sistemas, redes e dispositivos móveis para empresas e para uso pessoal em todo o mundo. A Intel Security está combinando a experiência e a especialização da McAfee com o desempenho inovador e comprovado da Intel para fazer com que a segurança seja um ingrediente essencial em cada arquitetura e em todas as plataformas de computação. A missão da Intel Security é dar a todos a confiança necessária para viver e trabalhar de forma segura no mundo digital. www.intelsecurity.com
Intel, o logotipo Intel, McAfee e o logo tipo McAfee são marcas comerciais da Intel Corporation nos Estados Unidos e em outros países.
*Outros nomes e marcas podem ser reivindicados como propriedade de terceiros.