The team that runs AVAST Free for Education is excited to be attending this year’s Florida Educational Technology Conference (FETC 2014) in Orlando, Florida, but also a little nervous about what to expect. Here’s the top 5 things we have been alerted to about our trip to The Sunshine State – Florida, USA! 1. Everything […]
Hemos visto en otras ocasiones que el malware para Android intenta infectar los sistemas de Windows. Por ejemplo, Android.Claco descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.
Curiosamente, ahora Symantec encontró algo que funciona al revés: es decir, una amenaza de Windows que intenta infectar los dispositivos Android.
La infección comienza con un Troyano que se llama Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde el siguiente servidor remoto:
Después, analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada:
El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge).
Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android conectado a la computadora afectada:
Figura 1. Comando para instalar el APK malicioso
Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.
El APK malicioso es una variante de Android.Fakebank.B y se presenta como una aplicación de la tienda de aplicaciones de Google.
Figura 2. APK malicioso simulado en la tienda de aplicaciones de Google.
Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a la siguiente ubicación:
Figura 3. Fragmento del código APK malicioso
Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:
The name CryptoLocker makes the hairs on the back of our neck stand up, and now researchers tell us that something worse may be coming. You recall that CryptoLocker locks up users’ machines, encrypts the files, then demands a payment to unlock the encrypted files. Even if the actual malware is removed, the data remains […]
Windows システムへの感染を試みる Android マルウェアについては、以前にお伝えしたことがあります。たとえば Android.Claco は、autorun.inf ファイルと一緒に悪質な PE ファイルをダウンロードして SD カードのルートディレクトリに配置します。感染したモバイルデバイスが USB モードでコンピュータに接続されたときに、そのコンピュータで AutoRun 機能が有効になっていると、Windows は自動的に悪質な PE ファイルを実行してしまいます。
シマンテックが最近発見した例は、これと逆方向の動作をするという点で注目に値します。Windows 上の脅威が Android デバイスへの感染を試みるのです。
感染の段階は、Trojan.Droidpak という名前のトロイの木馬から始まります。Trojan.Droidpak は悪質な DLL(これも Trojan.Droidpak として検出されます)を投下し、システムサービスとして登録します。この DLL が以下のリモートサーバーから設定ファイルをダウンロードします。
次に、侵入先のコンピュータの以下の場所に悪質な APK をダウンロードするために、設定ファイルを解析します。
DLL は、Android Debug Bridge(ADB)などの必要なツールもダウンロードします。
次に ADB をインストールし、図 1 に示したコマンドを使って、侵入先のコンピュータに接続されている Android デバイスに悪質な APK をインストールします。
図 1. 悪質な APK をインストールするコマンド
接続時にモバイルデバイスに感染したことが確認されるまで、インストールは何度も試行されます。インストールに成功するには、Android デバイスで USB デバッグモードが有効になっている必要もあります。
この悪質な APK は Android.Fakebank.B の亜種であり、Google App Store という名前のアプリに偽装しています。
図 2. Google App Store という名前に偽装した悪質な APK
実際には、悪質な APK は侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求めます。また、Android.Fakebank.B は、侵入先のデバイスで SMS メッセージを傍受して、以下の場所に送信します。
図 3. 悪質な APK のコードの抜粋
この新しい感染経路による被害に遭わないために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
You may have seen media reports based on research by Proofpoint that hundreds of home devices such as entertainment systems and even a refrigerator had been sending spam. We refer to this collection of networked devices as the Internet of Things (IoT). Originally, the reports didn’t provide any evidence so we were unable to validate the claim. However, additional details have now been made available and we can confirm that your IoT devices, including your refrigerator, are not the source of this recent spam run.
From the information that was publicly provided, we have been able to determine that this specific spam run is being sent by a typical botnet resulting from a Windows computer infection. Symantec receives telemetry from a wide variety of sources including our endpoint security products, spam receiving honeypots, and botnet honeypots that await spam-initiating commands. All of these sources traced the spam to multiple Windows computers, some of which were verified to be infected with W32.Waledac (Kelihos). We have not seen this spam originate from any non-Windows computer systems and do not see any unaccounted volume of spam that may originate from other sources.
Even though the refrigerator was innocent, having IoT devices send spam isn’t impossible. Recently, we uncovered one of the first and most interesting IoT threats, Linux.Darlloz, which infects Linux-based IoT devices such as routers, cameras, and entertainment systems. Beyond its ability to infect IoT devices, what makes Darlloz interesting is that it is involved in a worm war with another threat known as Linux.Aidra. Darlloz checks if a device is infected with Aidra and if found, removes it from the device.
This is the first time we’ve seen worm writers fight an IoT turf war and is reminiscent of the 2004 worm wars. Considering these devices have limited processing power and memory, we’d expect to see similar turf battles in the future.
While malware for IoT devices is still in its infancy, IoT devices are susceptible to a wide range of security concerns. So don’t be surprised if, in the near future, your refrigerator actually does start sending spam. As with any computer system, keep the software on IoT devices up-to-date, place them securely behind a router, and change all default passwords to something more secure.
So, how did others incorrectly come to the conclusion that our refrigerators had gone rogue and started to send spam?
Unfortunately, confirming the make and model of an actual physical device on the Internet isn’t that easy. Many home devices sit behind a home router and use Network Address Translation (NAT). From the view point of an outsider, all the devices behind that router share the same IP address. This makes it difficult to determine whether a device behind the router or the router itself was the original source of the network traffic. Furthermore, if you probe the router for open ports the router may employ port forwarding, exposing one or more devices behind the router. You could be fooled into not even realizing a router is there and think that the exposed device is the sole device using that IP address.
Figure. What you see is not what you have
In this particular case, you have computers infected with malware sitting behind a home router along with a variety of other home devices, like an entertainment system or even a refrigerator. When the infected computer receives a new spam template from the bot controller, the spam will travel through the router and appear from a particular IP address. If you probe that IP address, instead of reaching the infected computer you will reach the router.
In addition, if your refrigerator uses a feature known as port forwarding and someone contacts the IP address on port 80, that traffic is allowed to reach your smart refrigerator. Viewed from outside, all you will see is the refrigerator and you may not even realize there is a router with potentially many other devices behind it, such as an infected computer. This misunderstanding was what led to reports of refrigerators sending spam. The truth is that those refrigerators just happened to be on the same network as an infected computer.
To validate how someone might be misled, we probed the public IP address of a Waledac infected computer. As expected, in many cases we ended up reaching entertainment systems and other home devices that happened to be exposed through the router and were just sharing the same network as a Waledac-infected computer.
So while IoT devices weren’t to blame this time, we expect they probably will be to blame in the future.
By now, we are all familiar with Facebook scams that claim to give your Newsfeed a designer look. Remember Facebook Red or Facebook Black? Those pretty themes ended up spreading spam and malicious links via online surveys and fake videos. Today, the AVAST Virus Lab experts discovered a unique variety– the Facebook Music Theme Scam. […]
SSL certificates do more than encrypt data, they also authenticate websites. This is an important and fundamental function because it builds trust. Website visitors see the SSL padlock or HTTPS and they believe that the site is genuine.
In the fight against fake sites, phishing and fraud, trustworthy SSL certificates are essential.
This is why domain-validated certificates can be dangerous.
What is domain validation?
Certificate Authorities (CAs) will issue a domain-validated certificate to anyone who is listed as the domain admin contact in the WHOIS record of a domain name. They just send an email to the contact email address and that’s it.
It is the lowest level of authentication used to validate SSL certificates. Higher levels include organisationally-validated and extended validation certificates which require more detailed checks.
Why can they be dangerous?
The problem with domain validation is that internet criminals can easily get SSL certificates for phishing sites with misspellings of a legitimate domain name. For example, if they were targeting BankOne.com they could register bank1.com and, using a free webmail account, get a domain validated SSL certificate for that site.
When a regular visitor is tricked into visiting the phishing site, they see the comforting https, SSL padlock and don’t necessarily spot the misspelled address.
How to spot a domain-validated certificate
It is actually very difficult to tell if a certificate is domain validated. Therefore users are equally likely to trust your site as the cloned phishing site, and when they find their details have been stolen, may well blame you.
Practices vary from CA to CA on how exactly they verify website owners, but Extended Validation certificates are certain to have higher levels of authentication, and this is shown to your visitors by turning their address bar green (see examples from the most popular browsers below).
The trusted alternative
With fake sites using easily-obtained SSL certificates becoming so common, website owners can’t afford to take a risk with domain-validated certificates. Especially if the site asks for particularly sensitive or personal user information, where users will be more likely to look for extra reassurance.
Choosing a certificate from a reputable CA, such as Symantec, and selecting a high-assurance validation method, such as Extended Validation, delivers a more trustworthy alternative. And certainly that can be better for your business than the alternative.
For more information about SSL, from how it works to how to set up on your servers, download our interactive resource, SSL Explained, now.
Have you received an email from WhatsApp? No? That’s because the company usually sends their users messages directly via the app itself, typically notifying them of updates. If you have received an email from WhatsApp recently, we urge you to not open it and to delete it immediately. The email is a hoax that contains […]
We’ve seen Android malware that attempts to infect Windows systems before. Android.Claco, for instance, downloads a malicious PE file along with an autorun.inf file and places them in the root directory of the SD card. When the compromised mobile device is connected to a computer in USB mode, and if the AutoRun feature is enabled on the computer, Windows will automatically execute the malicious PE file.
Interestingly, we recently came across something that works the other way round: a Windows threat that attempts to infect Android devices.
The infection starts with a Trojan named Trojan.Droidpak. It drops a malicious DLL (also detected as Trojan.Droidpak) and registers it as a system service. This DLL then downloads a configuration file from the following remote server:
http://xia2.dy[REMOVED]s-web.com/iconfig.txt
It then parses the configuration file in order to download a malicious APK to the following location on the compromised computer:
%Windir%\CrainingApkConfig\AV-cdk.apk.
The DLL may also download necessary tools such as Android Debug Bridge (ADB).
Next, it installs ADB and uses the command shown in Figure 1 to install the malicious APK to any Android devices connected to the compromised computer:
Figure 1. Command to install the malicious APK
The installation is attempted repeatedly in order to ensure a mobile device is infected when connected. Successful installation also requires the USB debugging Mode is enabled on the Android device.
The malicious APK is a variant of Android.Fakebank.B and poses as a Google APP Store application.
Figure 2. Malicious APK posing as Google APP Store
However, the malicious APK actually looks for certain Korean online banking applications on the compromised device and, if found, prompts users to delete them and install malicious versions. Android.Fakebank.B also intercepts SMS messages on the compromised device and sends them to the following location:
http://www.slmoney.co.kr[REMOVED]
Figure 3. Malicious APK code snippet
To avoid falling victim to this new infection vector, Symantec suggests users follow these best practices:
ベビーモニターが覗き見に悪用されるということはありえるでしょうか。テレビがユーザーの視聴傾向を監視したり、自動車が悪質な攻撃者によってハッキングされたりする可能性はあるでしょうか。はたまた、セットトップボックスやインターネットルーターのようにどう見ても無害そうなデバイスが、ホームコンピュータへの侵入口として利用されることはありえるでしょうか。
「モノのインターネット」(IoT)が実現するとともに、セキュリティ上の脅威の標的になるデバイスはますます増え続けています。「モノのインターネット」とは何でしょうか。簡単に言えば、インターネットに接続されているのがコンピュータだけではなくなる時代に向かっているということです。家電製品やセキュリティシステム、暖房、照明器具、そして自動車まですべてがインターネットに対応しつつあります。ほとんどあらゆるモノがインターネットに接続される世界という壮大な構想、それが「モノのインターネット」です。
刺激的で新しい変化が今まさに起ころうとしています。インターネットに対応した住宅では、終業後に会社を出る前にホームネットワークにログオンし、セントラルヒーティングやオーブンの電源を入れておくことができます。夜間の外出中にアラームが鳴り出した場合でも、スマートフォンからホームセキュリティシステムにログオンすれば、防犯カメラを確認し、異常がなければアラームをリセットすることが可能です。
問題なのは、新しいテクノロジの発展があるところには必ず、セキュリティ上の新しい脅威も生まれてくるということです。今や多くの消費者は、コンピュータがマルウェアの標的になりえることを強く認識しています。新世代のスマートフォンが攻撃に対して脆弱であるという認識も浸透しつつあります。しかし、それ以外のデバイスに対する脅威を認識している人はほとんどいません。
Linux ワーム
モノのインターネットはまだ生まれたばかりですが、脅威はすでに存在しています。たとえば、シマンテックの研究員である林薫は最近、Linux オペレーティングシステムが稼働しているコンピュータを標的にする新しいワームを発見しました。Linux に触れたことがある人は多くないかもしれませんが、Linux はビジネスの世界では大きな役割を果たしており、Web サーバーやメインフレームなどの運用に広く利用されています。
このワーム Linux.Darlloz に、当初それほど特異な点があるようには見えませんでした。Linux.Darlloz は、スクリプト言語 PHP に古くから存在する脆弱性を利用してコンピュータにアクセスし、一般によく使われている一連のユーザー名とパスワードを組み合わせて管理者権限の取得を試みたうえ、他のコンピュータを検索して自身を拡散します。侵入先のコンピュータでバックドアを開くので、攻撃者はそのコンピュータに対してコマンドを発行できるようになります。
このワームが悪用していたのは PHP の古い脆弱性であり、拡散するためにはパッチが適用されていないコンピュータを見つけなければなりません。機能がこれだけであれば特筆すべき点は何もありませんが、林がさらに Linux.Darlloz を調べた結果、興味深い事実が判明しました。実際に活動が確認されたバージョンは、PC やサーバーで広く使われている Intel x86 系のチップアーキテクチャを採用したコンピュータのみに感染するように設計されていましたが、その後、そのワームと同じサーバー上で、ARM、PPC、MIPS、MIPSEL の各チップアーキテクチャ用に設計されたバージョンがホストされていることが確認されました。これらのアーキテクチャのほとんどは、ホームルーター、セットトップボックス、防犯カメラといったデバイスや産業用制御システムで利用されています。つまり、攻撃者はいつでも、これらのデバイスに対する攻撃を開始できる状態だったことになります。
このワームの機能で注目に値するのが、Linux.Aidra という他の Linux ワームが存在しないかスキャンすることです。このワームに関連付けられているファイルが見つかると、Linux.Darlloz はそれらを削除しようとします。また、Linux.Aidra が使う通信ポートも遮断しようとします。他のワームを削除している背景に利他的な動機はありません。おそらく Linux.Darlloz を操る攻撃者は、Linux.Aidra に感染するようなデバイスはメモリも処理能力も制限されていることを知っており、そうしたリソースを他のマルウェアに使われたくはないと考えたのでしょう。
Linux.Darlloz が駆逐しようとしている Linux.Aidra 自体も、同じ新世代を代表する脅威です。シマンテックが発見した Darlloz の一部の亜種と同様に、Linux.Aidra は小型デバイス、具体的にはケーブルモデムや DSL モデムを標的にします。Linux.Aidra が小型デバイスをボットネットに追加すると、攻撃者はそれを利用して分散サービス拒否(DDoS)攻撃を実行できます。Darlloz の作成者が誰であれ、すでに感染が広がっている Aidra が Darlloz にとって脅威になる可能性があると判断したことは明らかです。
この手の脅威で特に懸念されるのは、デバイスで稼働しているオペレーティングシステムに対しても攻撃の恐れがあるという事実に、多くのエンドユーザーがまったく気付いていないことです。これは、ソフトウェアがデバイス上では目に見えないことがほとんどだからです。製造元によっては更新版が提供されないという別の問題もあります。これは、新しいバージョンのソフトウェアを実行できないなど、旧式の技術やハードウェアの制限が原因です。
脆弱な防犯カメラ
Linux.Darlloz も、モノのインターネットを取り巻くセキュリティ上の新たな脅威が際立った一連の事案のうち、最新の一例にすぎません。今年に入ってすぐ、米国連邦取引委員会は TRENDnet 社に対する訴えを和解で解決しました。同社は、インターネット対応の防犯カメラとベビーモニターを製造しているメーカーです。TRENDnet 社は安全性を謳って製品を販売していましたが、「実際には、同社のカメラはソフトウェアに問題があったため、カメラのインターネットアドレスさえわかればオンラインで自由な閲覧と、場合によっては傍聴も可能な状態だった。そのような欠陥があるため、数百人もの消費者のプライベートなカメラ映像がインターネット上で公開されるに至った」と FTC は指摘しています。
2012 年 1 月にあるブロガーがこの欠陥を公表したところ、700 台近いカメラのライブ映像のリンクが公開されてしまいました。「映像には、ベビーベッドで眠っている乳児や遊んでいる子どもの姿だけでなく、大人の日常生活まで写っていた」と FTC は述べています。FTC との調停の一環として、TRENDnet 社はデバイスのセキュリティ強化を余儀なくされ、今後の販促資料でセキュリティについて誤解がないよう図る旨を確約しました。
TRENDnet 社の事案で特筆すべきなのは、標的となったデバイスが何のマルウェアにも感染していなかったという点です。セキュリティ設定が原因で、方法さえわかれば誰でもアクセスできる状態になっていただけです。しかも、事案はこれだけで終わってはいません。今では、インターネット対応のさまざまなデバイスを検索できる SHODAN という検索エンジンまで登場しています。
SHODAN が検索するのは、Web サイトではなくモノです。防犯カメラなどの家庭用デバイスだけでなく、ビルの暖房制御システム、水処理プラント、自動車、信号、胎児の心音モニター、発電所の制御系まで検索することができます。SHODAN で検索できたからといって、必ずしもそのデバイスが脆弱であるとは限りませんが、このようなサービスがあれば、攻撃者は脆弱性の存在をつかんでいるデバイスをさらに容易に発見できるようになります。
あらゆるモノがつながる世界
懸念されるのは、セキュリティ上の脆弱性だけではありません。インターネット対応のテレビは今やごく一般的であり、ストリーミングビデオサービスや Web ブラウザなど便利な付加機能が豊富に用意されています。電子機器メーカーの LG 社は最近、同社のテレビのうち一部のモデルがユーザーの視聴状況を追跡し、集計データを同社に送信していることを認めました。LG 社は、ユーザーに提供する広告をカスタマイズすることが目的であると説明しましたが、この機能がオフになっていてもデータが収集され続けたことについては、システムに問題があったためとしています。同社によると、この問題を修正するファームウェア更新は現在準備中です。
図 1. 全世界のインターネット対応デバイスの増加予測(出典: Cisco 社)
モノのインターネットは、依然として黎明期にありますが、インターネット対応のデバイスは爆発的に増えつつあります。Cisco 社によれば、地球上には現在 100 億台を超えるインターネット対応デバイスが存在しています。世界の人口は 70 億を少し超えたところなので、今や人間の数よりインターネット対応デバイスのほうが多いということです。インターネット対応デバイスの数を記録してきた Cisco 社は、その数が 2020 年までに 500 億に達すると予測しています。注目すべきは、その増加のうちほぼ半数が、予測期間の最後の 3 年間に集中していることです。
これまでにも、さまざまな種類のインターネット対応デバイスが登場しています。たとえば、ただのサーモスタットでさえ今では Web 対応です。電球も同様で、スマートフォンで照明を調節できるようになりました。自動車業界もこの動向に大きく注目しており、リアルタイム情報のストリームを受信できるインターネット対応車の開発を確約しています。
これほどの爆発的な増加をもたらしている要因は何でしょうか。簡単に言うと、インターネット上に「余裕」が生まれ、デバイスの製造原価が下がり続けていることです。インターネットに接続されるどのデバイスも、他のデバイスと通信するためにはアドレスが必要です。これが、いわゆるインターネットプロトコル(IP)アドレスです。現行の IP アドレスシステムである IPv4(Internet Protocol Version 4)で使用できるアドレスはほぼ枯渇しており、現在は新しい IPv6 の採用が進んでいるところです。IPv6 では IP アドレスの数が膨大になり、地球上の 1 人 1 人に何十億もの IP アドレスを割り当てることができます。
その他の規格も進化が進んでいます。たとえば、無線通信の Bluetooth 規格を管理している業界団体は最近、Bluetooth の最新版を発表しました。同団体によれば、Bluetooth はモノのインターネットの発展も考慮に入れて進化しています。新しい Bluetooth 規格では、環境がますます輻輳する中でデバイス間の検出と通信が今より容易になるとされています。また、Bluetooth 対応のデバイスが IPv6 規格のインターネットにリンクするのも簡単になります。
このようにネットワーク空間が広がるとともに、インターネット対応デバイスの製造も容易になりつつあります。広く知られているとおり、ムーアの法則によればプロセッサの処理能力は 2 年ごとに 2 倍になります。必然的に、処理能力の低いチップは製造原価が常に安くなっていきます。Wi-Fi チップセットなど他の技術も、ここ数年で価格が大幅に下がっています。こうした要因がすべて重なり合った結果、インターネット対応デバイスの製造は容易に、しかも安価になっているのです。
安全のために
多くのデバイスはホームネットワークにつながっており、そのホームネットワークはインターネットにつながっています。ルーターやモデムは、デバイスと外の世界との間に置かれるデバイスであり、保護することが特に重要です。通常はファイアウォール機能が付随しているので、機能を有効にして適切に設定するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。