sábado, 31 de mayo de 2014

Unos estafadores utiliza la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

Hoy vengo a contar una historia curiosa y peculiar de cómo una persona haciendo uso de greyware es capaz de montarse un negocio robando los datos de personas que se descargan sus falsas apps de Google Play en un terminal Android. De cómo lo hace, y de cómo actúa una persona así. Para que quede claro, voy a comenzar la historia desde el principio, para que podáis seguir todo el hilo de investigación y al final me deis vuestra opinión. 
El Greyware y las apps en Google Play
Que en Google Play hay mucho adware no es algo que sea una novedad. Ya hace no mucho publiqué un artículo en el que creía que respecto al malware para Android ya se tiene el full-equip porque los estafadores han visto en él un canal propicio para llegar a las víctimas. Entre las cosas que campan por Google Play hay mucho greyware y adware. Muchas de ellas son aplicaciones que prometen cosas fantásticas de forma gratis, como cuando supuestamente Apple abrió una cuenta en Google Play para vender iWorks.

Figura 1: Un falso desarrollador vendiendo falsas apps de Apple

Es decir, software malicioso que roba datos engañando a los usuarios con unas políticas de privacidad y términos legales de difícil acceso y compresión, algo que se están encargando de hacer ilegal desde hace tiempo, para exigir más claridad y menos estafadores como estos.
Unapp.es se hace una base de datos con tus datos
Google, periódicamente va tirando estas apps de Google Play cuando sus procesos de revisión interna, las casas de antimalware, usuarios o empresas de seguridad van denunciando las apps y los developers maliciosos. Normalmente Google tira al día una buena cantidad de apps que puede rondar entre las 800 o las 2.000 - según el día -. Unas de ellas fueron las apps del desarrollador Wert Exchanger, que fueron tiradas por Google Play de su tienda  y que nos llevó a preguntarnos por qué.
Cuando fuimos a ver por qué Google Play las había tirado haciendo un poco de investigación interna pudimos confirmar que son apps que acceden a "demasiados" datos y que no hacen lo que prometen. Son fake apps que engañan al usuario. Saber a cuáles son los datos a los que acceden es fácil de comprobar, y mirando el código aparece esta sección que se publicó en el blog de Eleven Paths en el que se aprecia que se lleva datos del terminal para generar un buen fichero de datos personales que espero que tenga bien declarado en Agencia de Protección de Datos y con todas las medidas de seguridad pertinentes.

Figura 2: El código que se lleva los datos a un servidor llamado bd.unapp.es


Dicho esto, en el código se puede ver un dominio unapp.es así que bastaba con saber quién ponía este código que se lleva los datos haciendo una búsqueda Whois para ver que detrás de él está Santiago M.A.
La ofensa y amenaza
Cuando lo publicamos escribió a un compañero diciendo que está en sus términos legales la explicación de por qué se llevan esos datos - aunque no se notifica al usuario que se van a llevar esos datos en concreto de los terminales Andorid -. Lo que dice la política es genial, es justo esto:
" Los datos recabados son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de Usatek S.C"
Figura 3: Política de Google Play de acceso al IMEI

El número de apps que tiene haciendo esto, con este código es muy alto, actualmente unas decenas activas que al final del post os dejo con que desarrolladores las ha publicado.

El caso de una app falsa con la imagen de Menéame

Lo más gracioso, es que las apps que distribuye Santiago M.A. son falsas, ninguna hace lo que promete y utilizan técnicas agresivas para la difusión de la estafa. Uno de los usuarios activos que tiene ahora es Adrocia, donde se usa la imagen de Menéame, Google y un juego de niños.

Figura 4: El desarrollador Androcia mete el mismo código de fake app

En el caso de Menéate, que usa la imagen de Menéame - además de llevarse los datos con el código que os he dejado en la Figura 2 - fuerza al usuario a poner 5 estrellas sí o sí, para poder usar la app.

Figura 5: Menéate con Menéame. Una fake app que te roba tus datos.

Esto lo hace en todas las apps que publica, por ejemplo, bajo el desarrollador Androcia - uno de los que usa para este negocio -, y algunos usuario se han quejado abiertamente de esto en los comentarios que tienen que dejar.
Lo peor es que cuando te instalas una de sus apps, la política legal que te muestra es la que he explicado antes, y si no aceptas los términos legales, no pasa nada, a los 20 segundos da como que los has aceptado y NO se lleva los datos a su servidor. Ya sabes, tu nombre, email, IMEI, etcétera. Datos imprescindibles para ver el contenido según ellos.


Figura 7: A los 20 segundos te automáticamente da por aceptada la política

Sin embargo, como lo que interesa es ganar dinero, los datos de la persona sí que se envían al servidor de publicidad que está utilizando, tal y como se puede ver en esta captura hecha con Burp sobre una esta app corriendo sobre un emulador de Android.


Figura 8: Como se puede ver, se envían los datos a un servidor incluso sin aceptar la política

Por supuesto, una vez que la instalas, la app o no hace nada, o te muestra unas bonitas animaciones que no tienen desperdicio, como que está cargando algo. Lo más curioso es que encima de solo meter una cutre-animación para simular que hacen algo las apps, el tipo utiliza la misma en un buen montón de apps. Mirad este flash de apps para robar WiFi.


Figura 9: Una de las animaciones que usa en sus fake apps de hacking WiFi

Si miramos todos los dominios que usar para colgar estas animaciones, el chiringuito que tiene montado para ganar pasta con Adware haciendo fraude online es de un nivel de dispersión grande.

El resto de las apps que mantienen su negocio de greyware
Supongo que por este tipo de cosas, las apps son tiradas de Google Play, pero... el número de apps utilizadas en esa estafa es muy grande. Así, además del primer desarrollador que vinos antes que utilizaba esta estafa, hay muchos más y en Eleven Paths estuvimos buscándolos.

El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.


Figura 9: Las apps de Nave Real, un desarrollador que roba igualmente los datos

En Multimedia apps, - activo ahora mismo - tiene la siguiente lista de apps. La lista de marcas son Antena3, Xplora, TVE, NASA, etcétera.

En estas que quedan, es fácil ver en el código el mismo segmento que está publicado en la Figura 2 para llevarse los datos. Otro usuario que Google Play ya ha tirado, utilizaba apps con la imagen de La Sexta, RTVE, Antena 3, Televisión de Galicia, alguna que otra linterna, etcétera. Se pueden ver las apps de "Marica non chores" en la caché de Google.

Figura 11: Apps de Marica non chores que usaban el mismo código


Otro de las cuentas de desarrollador que está utilizando en esta recolección de datos con falsas apps es Ricardo Cholete, usando la imagen de Discovery Channel, ESPN, Canal Historia o TeleSur.

Figura 12: Apps de Ricardo Cholete


También tiene un desarrollador con nombre celeron que se ha sumado a la fiesta de las falsas apps de WhatsApp.



Otros desarrolladores que también uso fue Freida Ideal Desing & Program, Sestaapps, Sestao River The best, Piercing, Leti & Cia, Nay App, etcétera, que por suerte les han tirado ya todas las apps que publicaron. En la caché de Google puedes encontrar lo que hacían.
¿Para que robar todos estos datos?

La base de datos de tener asociado el IMEI, el número de teléfono y el correo electrónico puede venir bien para los que intentan meter un troyano bancario que robe los SMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.

En definitiva, las apps que genera la empresa de Santiago M.A. no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones fraudulentas hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.

Actualización: La historia de esto continúa en Adware & Política

Fuente

viernes, 30 de mayo de 2014

El repentino y misterioso fin de TrueCrypt

TrueCrypt ha sido durante años la herramienta de cifrado de código abierto por excelencia y casi un estándar de facto, aunque siempre ha esta envuelto en un halo de misterio, sobretodo porque sus desarrolladores son anónimos. Ésto junto con todas las filtraciones sobre el espionaje de la NSA han levantado muchas suspicacias acerca de la seguridad de la herramienta, provocando incluso el surgimiento de proyectos de crowdfunding para auditar su código.

En el blog ya comentamos los resultados de la primera fase del proyecto 'Is TrueCrypt Audited Yet?' en la que no se encontraron evidencias de backdoors o código malicioso intencionado, sólo algunas vulnerabilidades debidas a que no se siguieron buenas prácticas de programación segura (falta de comentarios, funciones obsoletas, tipos de variable inconsistentes, etc) y algunas debilidades en las comprobaciones de integridad de cabeceras de volumen (Volume Header integrity check).

A falta de la segunda fase de criptoanálisis, ayer nos sorprendió una actualización en la página oficial de TrueCrypt en Sourceforge en la que sus desarrolladores anunciaban su fin principalmente por dos motivos:
1. usar TrueCrypt no es seguro y podría contener fallos de seguridad no corregidos
2. TrueCrypt se desarrolló fundamentalmente porque Windows XP no tenía soporte de cifrado nativo y, ahora que Microsoft ha finalizado su soporte, aconsejan migrar a ¡¡Bitlocker!! (WTF!).

De hecho en la página del proyecto subrayan que la web sólo se mantiene para ayudar a migrar los datos cifrados con TrueCrypt, detallan los pasos para migrarlos y publican la versión 7.2 que sólo permite descifrar...

¿Por qué de repente anuncian que TrueCrypt es inseguro? ¿lo han descubierto justo ahora o "ya lo sabían"? ¿Cómo es posible que recomienden migrar a una herramienta que no es de código abierto? (¿sus desarrolladores trabajan ahora para M$?)

La primera impresión fue pensar que la página había sido comprometida y se trataba de un hoax. Sin embargo según pasan las horas todo apunta a que los cambios son legítimos, la versión 7.2 está firmada con la clave GPG de sus creadores y (al menos) el código fuente de la nueva versión parece no contener malware: 43 archivos cambiados, 1760 añadidos, 4112 borrados y mucho "AbortProcess ("INSECURE_APP");"...

Sea como fuere, lo digan sus desarrolladores o no, con todo este misterio y con todo el dolor de mi corazón creo que si ha llegado el momento de dejar de utilizar TrueCrypt, pero no necesariamente hacia BitLocker, existen otras alternativas libres como TcPlay, Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE, AxCrypt, AESCrypt, etc.


Y vosotros, ¿Cuál tienes pensado utilizar o ya utilizas alguna otra?



Fuente

lunes, 26 de mayo de 2014

Localizar direcciones e-mail en servidores PGP KeyServers

Cuando se plantea hacer un test de intrusión a una compañía, una de las pruebas habituales es probar la tolerancia que tiene la organización a ataques dirigidos en modo APT con alguna prueba de phishing. Algo similar a como decía yo que había que probar la seguridad de tu organización para saber si se necesita con urgencia un plan de concienciación interno para el personal y alguna solución de segundo factor. El objetivo es fácil: robar identidades internas para conseguir accesos privilegiados a la red.
Para ello se deben recopilar los posibles objetivos, para lo que hay que buscar las direcciones de correo de las posibles víctimas, que luego se podrán buscar por distintas redes sociales para interactuar con ellos y hacerles el ataque. 
Localizar esos correos puede hacerse de muchas formas, desde usar The Harvester o Maltego para localizarlos en los buscadores, hasta hacer un spidering & crawling al sitio para localizar las direcciones de correo electrónico publicadas en la web, pasando por buscar en las bases de datos de identidades dumpeadas, revisando con la FOCA para extraerlos de los metadatos o en los lugares de configuración well-know, como los registros SOA del DNS, los datos en los Certificados Digitales o la información histórica de las entradas de Whois. Todo vale para localizar datos.

Figura 1: Correos electrónicos de fbi.gov localizados por Maltego

Una de las cosas que se pueden utilizar también son los servidores de claves públicas PGP. Si una persona está utilizando PGP (Pretty Good Privacy) para firmar y/o cifrar sus correos es necesario que comparta su clave pública PGP para que alguien pueda cifrar el contenido del mensaje con ella y garantizar que sólo él puede ver el contenido.
Para que sea fácil la distribución de claves públicas PGP se crean servidores de claves públicas llamados KeyServers que pueden ser consultados con clientes para hacer búsquedas. Estos servidores se montan en las organizaciones normalmente en el puerto 11371, así que un sencillo escaneo de puertos nmap en la red por ese puerto debería dejarte localizarlos.
Lo bueno es que también hay servidores de claves PGP públicas que funcionan vía web, desde que se publicó OpenPGP HTTP Key Server en el MIT, que permiten hacer búsquedas usando comodines. Así, si la clave es pública, puedes buscar direcciones de correo de cualquier organización.

Figura 2: El servidor OpenPGP del MIT

Algunas de esas claves son creadas y publicadas con cierto trolleo, porque al buscar las del FBI me han salido algunos resultados, que parecen cuanto menos sospechosos de haber sido inyectados como claves fake. Al final uno se crea el certificado digital que quiere y lo distribuye, incluso sin tener que ser suya la dirección de correo electrónico.

Figura 3: Resultados obtenidos al buscar fbi.gov

Este servidor del MIT no es el único, en España hay un servidor de claves PGP públicas en RedIris que también puede usarse para buscar datos en los certificados públicos PGP de, especialmente, dominios de la universidad.

Figura 4: Servidor de claves PGP públicas en RedIris

También tiene un servidor de claves públicas PGP el propio dominio de PGP.com donde aparecen otras bases de datos. Recordar que PGP es un software comercial también, y es quién ofrece este servidor.

Figura 5: Servidor de claves PGP públicas en PGP.com

Buscando por Internet pueden aparecer más servicios de claves públicas PGP en la web, como este que está en Alemania. Al final, cualquier pieza de información puede ser útil en un ataque, y nosotros en nuestro sistema de pentestig persistente Faast - que también cuida de que no se caduquen los certificados digitales como el gran FAIL que le ha pasado a Apple - buscamos en todos ellos para poder el mayor número posible de información a la hora de lanzar los plugins de pentesting contra los servicios.

YaCy: un motor de búsqueda distribuido y libre que utiliza P2P

YaCy es un motor de búsqueda gratuito que cualquiera puede utilizar para crear un portal de búsqueda para su intranet o para ayudar a buscar en la Internet pública. Al contribuir a la red P2P global, la escala de YaCy sólo está limitada por el número de usuarios en todo el mundo y es posible indexar miles de millones de páginas web. Es totalmente descentralizado, todos los usuarios de la red de motores de búsqueda son iguales, la red no almacena las solicitudes de búsqueda de los usuarios y no es posible que nadie pueda censurar el contenido de los índices compartidos.

El objetivo es lograr la libertad de información a través de una búsqueda en la Web libre distribuida y desarrollada por usuarios de todo el mundo.



Descentralización

Imagina que, en vez de depender de un propietario de software o de un gran motor de búsqueda profesionalizado, tu motor de búsqueda fuera operado por muchos ordenadores que no estan bajo el control de ninguna compañía o persona. Bueno, ¡eso es lo que YaCy hace! El resultado de la busqueda web descentralizada actualmente tiene alrededor de 1.4 mil millones de documentos en su índice (y continua creciendo) y mas de 600 operadores de peer contribuyen cada mes. Alrededor de 130.000 solicitudes de búsqueda son realizadas con esta red cada dia.


Imagen en vivo de la red “mundo libre”


Instalación sencilla
 
Su instalación sólo te llevará tres minutos. Sólo tienes que descargar la versión, descomprimir el paquete y ejecutar el script de inicio. En linux necesita OpenJDK7. No es necesario instalar las bases de datos externas o un servidor web, todo está ya incluido en YaCy.


Página del proyecto: http://yacy.net/en/index.html