Un grupo de 'hackers' crea aplicaciones en Google Play para rastrear desertores

Según advierte la compañía McAfee, el grupo de hackers Sun Team estaría detrás de la propagación de 'malware' en aplicaciones de Google Play para rastrear a desertores de Corea del Norte y sus contactos.

Investigadores de la compañía McAfee Labs han descubierto que un completo escuadrón de hackers de Corea del Norte habría utilizado aplicaciones con malware en la Google Play Store para localizar a desertores que abandonaron Corea del Norte. Una vez que el malware es descargado y se instala en los dispositivos, procede con la copia de contactos, fotos y mensajes de texto del dispositivo de la víctima y los envía al grupo de piratas informáticos de Corea del Norte. Se trata de tres aplicaciones infectadas, dos de ellas relacionadas con la seguridad del dispositivo, las cuales se denominan AppLockFree y Fast AppLock, y una tercera que ofrece información relacionada con los ingredientes de la comida.

Los medios surcoreanos ya informaron el pasado mes de enero a los piratas informáticos que utilizaban la aplicación de mensajería KakaoTalk y falsas cuentas de Facebook para enviar objetivos a los enlaces URL Goo.gl de Google, los cuales llevaron a las víctimas a aplicaciones de cebos que podrían ser de interés para desertores y periodistas norcoreanos. Estos incluyen "Ore por Corea del Norte" y una aplicación de atención médica llamada "Asistente de Sangre".

Los analistas de la compañía McAfee que investigan los informes que descubrieron una carpeta en las cuentas de Dropbox y Yandex llamada "Sun Team Folder", lo que les lleva a la llamada del grupo "Sun Team". Después de que el ataque fuese descubierto, se alentó a los aspirantes a desertores a instalar solo aplicaciones de Android de Google Play.

Según McAfee , el mismo grupo ahora habría actuado valiéndose de la tienda de aplicaciones Google Play para engañar a las víctimas para que instalaran aplicaciones maliciosas. Los atacantes todavía usan cuentas falsas de Facebook para propagar enlaces, pero en lugar de llevar a las víctimas a un sitio web al azar, las víctimas se dirigen a una parte oficial de Google Play.

La pasada semana, nos hacíamos eco de la noticia que la red social Facebook, habría eliminado más de 583 millones de cuentas identificadas como falsas de su plataforma a lo largo del primer trimestre del año. Facebook dice que 200 aplicaciones también fueron suspendidas tras el informe que revela que 3 millones de usuarios se vieron afectados por otra aplicación de captura de información. La técnica explota una función diseñada para ayudar a los desarrolladores de Android a lanzar aplicaciones beta en Google Play para que los usuarios puedan indicar sus comentarios.

Google eliminó las aplicaciones tras recibir una notificación de McAfee. Si bien, cada una de las tres aplicaciones solo tenía 100 descargas, los desertores de Corea del Norte que instalaron las aplicaciones maliciosas habrían enviado automáticamente solicitudes de instalación a sus contactos, lo que podría brindar al atacante una idea de sus conexiones.

Enlace | CSO Computer World

Segurinfo Argentina 2015 por @chemaalonso

Nuevamente un Domingo, colaborando y compartiendo información para que mientras planifican la semana tengan la posibilidad de compartir alguna conferencia de seguridad. Para el día de hoy vuelve Chema Alonso con otra interesante propuesta.

En el cierre de Segurindo Argentina 2015, Chema Alonso nos muestra como desde 11Paths intentan lidiar y colaborar pro-activamente junto a sus investigaciones en el cibercrimen de Google Play y para ello nos presenta Tacyt como plataforma Cloud de investigación.

Sin mucho más para comentar, les dejo la conferencia aquí.

Saludos!

Estrictamente secreto y confidencial.pdf.jar

Esta es una crónica que se remonta a principios del 2015, cuando el 18 de Enero de este año, Argentina quedaba conmocionada por la noticia de que el Fiscal Alberto Nisman apareció muerto en su departamento.

Hasta ese momento, todo un trasfondo político, social y que a día de hoy continúan las investigaciones del hecho, sin embargo en el último evento BlackHat USA 2015, realizado el 1 de Agosto, el investigador Morgan Marquis­ Boire realizó una presentación donde explicaba que un posible virus había infectado el teléfono del ex Fiscal Nisman.

En una entrevista que publica el diario La Nación, contó que Nisman fue blanco de un Remote Access Tooklit (RAT), que es un "software que permite a un hacker o a un espía acceder de forma remota a la computadora o el dispositivo móvil de alguien".

Ya se encuentra disponible el paper de Morgan presentado en BlackHat "BIG GAME HUNTING: THE PECULIARITIES IN NATION­STATE MALWARE RESEARCH" y quizas dentro de unos meses podamos contar con el video de su presentación completa.

Por otro lado, este último fin de semana, el periodista Jorge Lanata, denunció que le infiltraron el mismo virus que a Nisma, con lo cuál si esto se comprueba, es una pista más quizás para ir esclareciendo todo este caso judicial que por momentos parece tan confuso y lleno de problemas.

Este fin de semana, el periodista decía lo siguiente:



Con todo esto que estamos viviendo, podemos llegar a pensar lo siguiente. Hoy no existe delito ni crimen si que la tecnología este presente, el mercado del "cibercrimen" requiere cada vez más de profesionales Informáticos Forenses con la capacidad de acercar y recopilar pruebas tan valiosas como la de este investigador.

Saludos!