Durante el pasado mes de febrero los smartphones y otros dispositivos conectados pertenecientes al conocido como Internet de las Cosas han tenido un protagonismo especial, y no solo por la celebración en Barcelona del Mobile World Congress, sino por las amenazas que han sufrido.
Smartphones como un objetivo favorito
En febrero, el laboratorio de ESETdetectó las primeras muestras de Mazarbot, un malware para Android que se hace pasar por una aplicación para enviar MMS. Esta aplicación, sin embargo, es en realidad un troyano mediante el cual los delincuentes pueden tomar el control del dispositivo. Este troyano no es una excepción, tal y como se observa en la investigación realizada durante los últimos meses en Google Play y que ha demostrado que los troyanos del tipo “clicker” siguen campando a sus anchas en la tienda oficial de aplicaciones de Google. Se trata de troyanos que abren enlaces de webs con contenido pornográfico de forma invisible al usuario. De esta forma, los delincuentes consiguen sus beneficios aprovechándose de los móviles y del consumo de datos de los usuarios infectados.
Además en febrero volvía a aparecer una estafa bastante extendida durante la segunda mitad del año pasado: las falsas encuestas que se envían por WhatsApp suplantando a empresas de confianza y que, tras rellenarlas, nos prometen un premio en forma de cupón. Una vez rellenada la encuesta, también se observaron otras acciones que van desde la descarga de aplicaciones a la suscripción a números de tarificación especial, pasando por anuncios varios. Como peculiaridad, si el enlace se abría en un navegador que no fuese el de un smartphone, se redirigía al usuario a Facebook para que procediera a compartir una nueva estafa entre todos sus contactos. De esta forma, los delincuentes tratan de maximizar el esfuerzo y afectar al mayor número de usuarios posibles.
Coches, juguetes y relojes vulnerables
Entre otros dispositivos que se han visto afectados por vulnerabilidades denunciadas durante febrero se encuentran juguetes y relojes destinados a los más pequeños de la casa y uno de los coches eléctricos más vendidos actualmente.
El peluche de juguete Smart Toy de la empresa Fisher Price es un compañero “inteligente” que acompaña a los más pequeños en varias actividades de su día a día y que incorpora cierto grado de personalización conforme van aprendiendo los gustos del niño. Los padres pueden utilizar una aplicación móvil para configurar varios parámetros pero los investigadores de Rapid 7 descubrieron una vulnerabilidad en esta app que podría aprovecharse para acceder a detalles almacenados en el peluche. De esta forma, un atacante podría llegar a conocer el perfil del menor asociado con el peluche y averiguar su nombre, fecha de nacimiento, género, idioma utilizado y juguetes favoritos. Además, también se podría acceder a las compras realizadas desde la aplicación y los paquetes de juegos adquiridos a las puntuaciones obtenidas por el menor en esos juegos.
Otro caso similar afectó al reloj hereO, dispositivo que viene equipado con Wi-Fi, una tarjeta SIM y un conector USB con el que se permite a los padres obtener la ubicación de sus hijos desde un smartphone. La vulnerabilidad descubierta permitiría a un atacante introducirse en el grupo familiar y, por ende, acceder a la ubicación de cada uno de los miembros de la familia, poniendo así en peligro la privacidad de sus miembros.
Por último, el modelo de coche eléctrico Nissan Leaf fue uno de los protagonistas destacados en materia de seguridad al descubrirse una vulnerabilidad que permitía conectarse a cualquiera de estos vehículos en cualquier lugar del mundo tan sólo sabiendo el número de bastidor. Una vez conectado, el atacante podría activar o desactivar el sistema de aire acondicionado o conocer más sobre la vida privada del conductor al poder extraer los datos del GPS.
“Las vulnerabilidades y fallos de seguridad siguen suponiendo uno de los principales desafíos a los que se enfrenta el Internet de las Cosas” comenta Josep Albors, director del laboratorio de ESET España.
El ransomware no cesa su actividad
Durante los últimos meses las variantes de este malware que cifra los archivos del usuario y pide un rescate por ellos no solo han ido en aumento sino que no parece que, a corto plazo, la situación vaya a mejorar.
Una de las variantes analizadas durante el mes pasado fue 7ev3n, ransomware que deja inservible el sistema infectado además de cifrar archivos como documentos, imágenes, vídeos y otros. Por si fuera poco, este ransomware solicita la nada despreciable cantidad de 13 bitcoins como rescate, que al cambio actual son varios miles de euros y suponen un desembolso muy importante para tratar de recuperar sus archivos.
Otra variante propagada durante las últimas semanas fue Locky. Mediante una campaña de envío masivo de correos electrónicos se propagaba un documento de Word con macros infectadas que descargaban el código malicioso. A continuación se cifraban los archivos del usuario y se pedía un rescate, tal y como es habitual. Sin embargo, hay algo que caracteriza a Locky, pues se propaga utilizando técnicas y vectores de ataque similares al troyano bancario Dridex, como por ejemplo la utilización del kit de exploits Neutrino e incluso la misma cartera para ingresar los bitcoins de los rescates, algo que indicaría que ambas amenazas comparten la misma infraestructura.
Desde un punto de vista positivo, en febrero también se publicaron herramientas gratuitas para poder descifrar las variantes de ransomware conocidas como HydraCrypt y UmbreCrypt, con lo que los usuarios afectados pudieron recuperar sus archivos sin tener que ceder al chantaje de los delincuentes.
Vulnerabilidades en todos los sistemas
Es frecuente ver cómo se descubren agujeros de seguridad en otros sistemas operativos y aplicaciones. Un ejemplo de esto se encuentra en la vulnerabilidad en Linux descubierta a mediados de febrero y que afectaba a la librería glibc. La vulnerabilidad fue descubierta por casualidad por un ingeniero de Google y se demostró que podía ser explotada para ejecutar código malicioso remotamente en un dispositivo o aplicación. No obstante fue rápidamente solucionada y la mayoría de usuarios pudieron parchear sus sistemas sin mayores problemas.
Pero no fue el único ejemplo de amenazas en sistemas Linux durante febrero. La imagen de instalación de la conocida distribución Linux Mint resultó comprometida durante un breve espacio de tiempo. De esta forma, los usuarios que descargaron la imagen del sistema operativo el pasado 20 de febrero estaban en riesgo de tener una versión troyanizada que permitiría a un atacante usar su sistema para realizar ataques DDoS o robar ficheros del sistema.
El equipo de investigación de Google siguió dando sus frutos y publicó varias vulnerabilidades para sistemas Mac OS e iOS. De ser aprovechadas por un atacante en un equipo vulnerable, estas vulnerabilidades le permitirían conseguir ejecutar código en el sistema, escalar privilegios y llegar a tomar el control del mismo remotamente. Sin embargo, Apple reaccionó de forma rápida y publicó actualizaciones para sus sistemas que solucionan estos agujeros de seguridad.
Por su parte, Microsoft cumplió con su ciclo mensual de actualizaciones y publicó 13 boletines de seguridad que corregían un total de 67 vulnerabilidades. Entre estas vulnerabilidades se encuentra una que afecta a todas las versiones soportadas de Windows y que permitiría a un atacante la ejecución remota de código si el usuario abre un fichero del tipo Journal modificado.
Asimismo, Oracle anunció una actualización de seguridad para Java que soluciona una vulnerabilidad que, de ser aprovechada, permitiría obtener el control de la máquina vulnerable, siempre que el usuario fuese engañado para descargar ciertos archivos maliciosos en su sistema desde una web preparada por los atacantes. Oracle también fue la encargada de anunciar una buena noticia a todos los que nos preocupamos de la inseguridad de Java. A partir de marzo de 2017 abandonará definitivamente el complemento Java para navegadores, cerrando así una de las principales puertas de entrada del malware mediante el uso de kits de exploits.
