redseguridad 080

red seguridad primer trimestre 2018 77 forense opinión sis forense, que suele durar poco más de tres horas. No obstante, el dispositivo se encuentra totalmen- te operativo mientras se realiza el mismo. Transcurrido el tiempo de análisis se realiza un dictamen y se elabora un detallado informe forense sobre el mismo, tras el cual ya se puede desinstalar la aplicación del dispositivo. Pero, ¿qué debemos hacer si el resultado del forense determina que nuestro terminal está infectado? Dependiendo del tipo de malware que haya infectado nuestro dispo- sitivo, éste actuará de una forma u otra. Si es de tipo bancario, normal- mente nos suele solicitar los datos de nuestras tarjetas de crédito o cuen- tas bancarias. Es muy importante desconfiar siempre de pantallas mal diseñadas o cuando notemos una superposición de pantallas entre las aplicaciones de tipo bancario. Aunque los ataques son cada vez más sofisticados, siempre existen conductas que nos permiten evitar- los y mantener los dispositivos libres de malware , como son: O Instalar solo apps de sitios ofi- ciales, en el caso de Android. O Desconfiar de las aplicaciones que solicitan permisos excesivos. O Instalar solo las aplicaciones que vamos a utilizar. O Es muy importante mantener actualizadas las aplicaciones y el software del fabricante. O No está de más usar un antivirus en tu dispositivo. Los hay gratui- tos y la instalación es inmediata. O Cuidado con las páginas de dudo- sa legalidad, como pueden ser las webs para ver el futbol online, descargas de torrents o sitios con calificación para adultos. Marcher, Maza-bot y Charger Antes hicimos referencia a tres malwares que afectaban a entida- des bancarias: Marcher, Maza-bot y Charger. Este tipo de malwares , localizados a través de Android Forensics Analytics, se han conver- tido en los enemigos silenciosos de los dispositivos Android. Todos ellos tienen un funcionamiento similar: buscan una sobreposición sobre una aplicación legítima mostrando un phishing . A pesar de que las entidades bancarias envían men- sajes de texto a los móviles de sus clientes con las OTP (contraseñas de un solo uso), estos malwares tienen implementadas diferentes soluciones que logran su objetivo: leer esa clave OTP remotamente. En los análisis se detecta que los teléfonos infectados envían datos a sus respectivos paneles de control, con localizaciones normalmente en Europa del Este. Marcher y Maza-bot tienen en su código los nombres de las aplicacio- nes a las que van a suplantar. En el command and control (C&C) existen páginas web de phishing para cada uno de sus objetivos, que se cargan al iniciar la aplicación que se desea infectar. Al mismo tiempo, el móvil infectado deja de recibir SMS de cara al usuario y los mensajes recibidos son interceptados por el malware y reenviados al C&C sin dejar rastro de ellos en el terminal, por lo que pasa totalmente inadvertido. Sin embargo, Charger actúa de una forma diferente. Este malware realiza una recopilación de las apli- caciones instaladas en el móvil y las envía al C&C. Posteriormente, se envía al móvil el código para mostrar el phishing y, tras recibir a través de esta técnica fraudulenta las credenciales, se inserta una pantalla de bloqueo (habitualmen- te una pantalla con el muñeco de Android y la excusa de actualizar las aplicaciones en el móvil) que impide al usuario realizar cualquier tipo de acción mientras los ciberde- lincuentes realizan las operaciones bancarias. Dependiendo del malware , existen distintas tendencias para lograr la instalación en los dispositivos. Si nos referimos a Marcher y Maza- bot, lo más habitual es encontrarlos en páginas de dudosa legalidad. En estos casos, las aplicaciones llevan nombres destinados a confundir al usuario con actualizaciones, jue- gos gratuitos o cualquier otro tipo de nombre capaz de engañar a la víctima, como por ejemplo: Flash Player 10 Update, MobileConnect o Android Security Update 16.2.1. En los casos detectados de Charger, la infección resulta mucho más sencilla. Estos malwares son capaces de evadir los sistemas de detección de Play Store, por lo que estas aplicaciones, que tienen un tiempo de vida estimado de alrededor de 15 días, están dispo- nibles y cualquier usuario las puede descargar. En los casos analiza- dos de Charger, se ha observado que entre 1.000 y 5.000 usuarios han descargado e instalado estas aplicaciones, según los datos que ofrece Play Store. La mayoría de las aplicaciones disponibles en esta plataforma con el malware Charger suele estar relacionada con linter- nas. Normalmente, estas aplicacio- nes nos piden unos permisos de ejecución que poco tienen que ver con su funcionalidad. Por ejemplo, en el caso de las linternas, suelen pedir el acceso a la lectura y envío de SMS, cosa que debería hacernos sospechar de su legitimidad. Por lo tanto, ante estos nuevos malwares , lo principal es usar el sentido común y siempre desconfiar de cualquier cosa que nos resulte sospechosa o fuera de lo normal.