Malwares continuam evoluindo, mas erros humanos e de empresas ainda são alguns dos principais responsáveis por incidentes graves de segurança.
O que você vai ler hoje:
- Google remove da Play Store 17 aplicativos para Android infectados com malware
- Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados
- Novo malware Alien faz de tudo e mais um pouco com seus dispositivos
- O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam
Google remove da Play Store 17 aplicativos para Android infectados com malware
Esta semana, o Google removeu 17 aplicativos para Android da Play Store infectados com o malware Joker (também conhecido como Bread), de acordo com pesquisadores de segurança da Zscaler.
O Joker é um spyware projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos, junto com a inscrição da vítima em serviços premium de protocolo de aplicativos sem fio (WAP).
Os 17 aplicativos maliciosos haviam surgido na Play Store este mês baixados mais de 120.000 vezes até serem detectados.
Eram eles:
- All Good PDF Scanner
- Mint Leaf Message-Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF Converter – Photo to PDF
Seguindo seus procedimentos internos, o Google removeu os aplicativos da Play Store e usou o serviço Play Protect para desabilitar os aplicativos em dispositivos infectados, mas os usuários ainda precisam remover os aplicativos de seus dispositivos manualmente.
Essa recente remoção também marca a terceira ação da equipe de segurança do Google contra um lote de aplicativos infectados pelo Joker nos últimos meses.
No início do mês, o Google removeu seis desses aplicativos após eles terem sido detectados e denunciados por outros pesquisadores de segurança.
Antes disso, em julho, a empresa removeu outro lote de aplicativos infectados, que estava ativo desde março e conseguiu infectar milhões de dispositivos.
Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados
A empresa de hospedagem Airbnb pode ser responsável por um grave incidente de segurança, já que seus hosts relataram, na semana passada, que conseguem acessar inadvertidamente caixas de entrada privadas que não estão associadas às suas contas.
Na quinta-feira, os anfitriões do Airbnb inundaram o fórum Reddit para questionar o súbito aparecimento de caixas de entrada que não pertencem a eles quando fizeram login na plataforma.
Por meio de screenshots de uma dessas “caixas de entrada compartilhadas”, um usuário denunciou o ocorrido, alegando não ter "nenhuma associação com essas pessoas ou com seus apartamentos".
Embora nenhuma conta de hóspedes, até o momento, tenha relatado problemas semelhantes, os anfitriões podem ver os endereços de outras pessoas, bem como demais informações pessoais – como os códigos necessários para acessar uma propriedade -, o que significa que os problemas da caixa de entrada do Airbnb podem ser considerados um incidente de segurança extremamente grave, uma vez que compromete a segurança residencial de seus usuários.
Várias capturas de tela enviadas ao Imgur também mostram que dados como nomes completos, fotos de perfil, ganhos com reservas, número de reservas em um período de 30 dias e visualizações de propriedades podem ser acessados indevidamente por essas caixas de entrada compartilhadas.
Em nota oficial, o Airbnb disse que um "problema técnico" ocorreu às 9h30 do dia 25 de setembro e foi identificado dentro de uma hora, impactando as plataformas de desktop e acessos via navegador, mas não o aplicativo móvel do Airbnb.
O problema foi resolvido às 12h30. Embora o acesso inadvertido tenha sido concedido a alguns usuários, o Airbnb diz que eles não foram capazes de modificar nenhum dos dados vazados:
"Na quinta-feira, um problema técnico resultou em um pequeno grupo de usuários visualizando inadvertidamente quantidades limitadas de informações de contas de outros usuários", informou a empresa. "Corrigimos o problema rapidamente e estamos implementando controles adicionais para garantir que isso não aconteça novamente. Não acreditamos que nenhuma informação pessoal foi usada indevidamente e em nenhum momento as informações de pagamento foram comprometidas."
Novo malware Alien faz de tudo e mais um pouco com seus dispositivos
Pesquisadores de segurança descobriram e analisaram uma nova variedade de malware Android, caracterizado por uma ampla gama de recursos que permitem roubar as credenciais de 226 aplicativos.
Chamado de “Alien”, este novo trojan está ativo desde o início do ano e foi ofertado como um Malware-as-a-Service (MaaS) em fóruns de hackers clandestinos.
Em um relatório compartilhado esta semana com veículos de comunicação, os pesquisadores de segurança do ThreatFabric investigaram profundamente as postagens de um desses fóruns clandestinos, bem como as amostras do Alien para entender a evolução, truques e demais recursos do malware.
E, de acordo com os pesquisadores, o Alien não chega a ser uma novidade, mas sim uma nova versão baseada no código-fonte de uma gangue rival de malware chamada Cerberus.
De acordo com o ThreatFabric, a Cerberus morreu porque a equipe de segurança do Google encontrou uma maneira de detectar e limpar dispositivos infectados. Mas mesmo que o Alien tenha sido baseado em uma versão mais antiga de Cerberus, ele não parece ter esse problema, e seu MaaS vem justamente para preencher o vazio deixado pela gangue rival.
Além disso, os pesquisadores dizem que o Alien é ainda mais avançado do que o Cerberus, já que ele faz parte de uma nova geração de Trojans bancários para Android que também integraram recursos de acesso remoto em seus códigos-base.
Isso torna o Alien uma mistura excepcionalmente perigosa para os dispositivos infectados.
O malware não só pode mostrar telas de login falsas e coletar senhas para vários aplicativos e serviços, como também pode conceder aos hackers acesso a dispositivos para usar essas credenciais ou até mesmo realizar outras ações.
Atualmente, de acordo com ThreatFabric, o malware conta com os seguintes recursos:
- Pode sobrepor o conteúdo de outros aplicativos (recurso usado para coletar credenciais de login via phishing)
- Registrar o que está sendo digitado no teclado dos dispositivos
- Fornecer acesso remoto a um dispositivo após a instalação de uma instância TeamViewer
- Coletar, enviar ou encaminhar mensagens SMS
- Roubar lista de contatos
- Coletar detalhes de dispositivos e listas de aplicativos
- Coletar dados de geolocalização
- Fazer pedidos USSD
- Encaminhar chamadas
- Instalar e iniciar outros aplicativos
- Iniciar navegadores em páginas específicas
- Bloquear a tela (um recurso semelhante ao ransomware)
- Mostrar notificações sniff no dispositivo
- Roubar códigos 2FA gerados por aplicativos autenticadores
O malware é majoritariamente distribuído por sites de phishing via uma páginas falsas para “download de atualizações de software” ou com atualizações fakes sobre o coronavírus (um golpe comum no momento).
Outro método de proliferação do malware ao qual se deve estar atento é via SMS, pois, uma vez que infectado, é possível que o ALien colete a lista de contatos do dispositivos, que será reutilizada para espalhar a campanha de malware, alertam os pesquisadores.
O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam
Este ano, houve um aumento incomparável no número de ataques de ransomware, onde cibercriminosos não apenas criptografam as redes das vítimas e exigem um pagamento de seis dígitos em bitcoin para devolver os arquivos sequestrados, mas também ameaçam publicar informações corporativas confidenciais e outros dados roubados se a vítima não pagar o resgate.
Por outro lado, estão surgindo iniciativas como o projeto No More Ransom da Europol, que tenta combater esses criminosos oferecendo recursos gratuitos de descriptografia para centenas de famílias diferentes de ransomware – projeto que estima-se ter impedido que mais de quatro milhões de vítimas precisassem pagar pelo resgate.
Contudo, os mesmos responsáveis pela iniciativa ainda alertam que a melhor maneira de se proteger contra o dano potencial de um ataque de ransomware é garantir que as organizações, empresas e indivíduos tenham as medidas de segurança cibernética necessárias para se prevenir do ransomware antes de qualquer coisa.
O principal conselho é fazer o backup dos seus dados e mantê-los offline. Também é essencial que todos os sistemas operacionais e antivírus estejam devidamente atualizados e que as equipes de TI implementem qualquer patch disponível o mais rápido possível para mitigar quaisquer vulnerabilidades.
Também é importante que as organizações ensinem seus colaboradores a detectarem um ataque cibernético em potencial, para que não corram o risco de serem ludibriados, uma vez que são eles a superfície de ataque mais vulnerável.
