Malware Android disfrazado de actualización del sistema

Malware Android disfrazado de actualización del sistema

Investigadores de Zimperium zLabs han descubierto una nueva aplicación maliciosa con múltiples funcionalidades que se hace pasar por una actualización del sistema.

Este nuevo troyano enfocado al robo de información cuenta con múltiples funcionalidades, desde la recopilación de búsquedas en el navegador hasta la grabación de audio y llamadas telefónicas. A continuación dejamos una lista con las características.

Funcionalidades

Robo de mensajes de aplicaciones de mensajería.
Robo de archivos de base de datos de las aplicaciones de mensajería instantánea.
Inspeccionar los marcadores y las búsquedas del navegador predeterminado.
Inspeccionar el historial de marcadores y búsquedas de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung.
Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx).
Inspeccionar los datos del portapapeles.
Inspeccionar el contenido de las notificaciones.
Grabación de audio.
Grabación de llamadas telefónicas.
Tomar fotografías periódicamente (ya sea a través de la cámara frontal o trasera).
Listar las aplicaciones instaladas.
Robar imágenes y vídeos.
Monitoreo de la ubicación GPS.
Robo de mensajes SMS.
Robo de contactos telefónicos.
Robo del registro de llamadas.
Extracción de información del dispositivo (por ejemplo, aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento).
Ocultar su presencia ocultando el icono.

Si bien el malware en Android anteriormente se ha disfrazado de aplicaciones legítimas esta nueva aplicación maliciosa se hace pasar por una actualización del sistema para tomar el control de los dispositivos comprometidos.

«El software espía crea una notificación si la pantalla del dispositivo está apagada usando el servicio de mensajería Firebase», dijeron los investigadores de Zimperium. Esta notificación nos notifica una búsqueda de actualizaciones falsa.

Una vez instalada, la aplicación espía comienza su tarea registrando el dispositivo en un servidor de comando y control (C2) de Firebase con información como el porcentaje de batería, estadísticas de almacenamiento y si el teléfono tiene WhatsApp instalado, seguido de la acumulación y exportación de cualquier dato de interés para el servidor en forma de archivo ZIP cifrado.

«La funcionalidad del software espía y la exfiltración de datos se activan bajo múltiples condiciones, como un nuevo contacto agregado, un nuevo SMS recibido o una nueva aplicación instalada haciendo uso de los receptores contentObserver y Broadcast de Android«, dijeron los investigadores.

Además, el malware no solo organiza los datos recopilados en varias carpetas dentro de su almacenamiento privado, sino que también elimina cualquier rastro de actividad sospechosa al eliminar los archivos ZIP tan pronto como recibe un mensaje de «éxito» del servidor C2 después del envío de los datos robados.

Aunque la aplicación «System Update» nunca se ha distribuido a través de la tienda oficial de Google Play, la investigación destaca una vez más cómo las tiendas de aplicaciones de terceros pueden albergar malware peligroso. La identidad de los autores de este malware y el objetivo o motivo final de la campaña aún no están claros.

Fuentes

New Advanced Android Malware Posing as “System Update”

https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/embed/#?secret=Xq5ZcQIDbg
https://thehackernews.com/2021/03/watch-out-that-android-system-update.html
Linux – Comprimir carpeta o archivos desde consola

Linux – Comprimir carpeta o archivos desde consola

Es muy fácil y útil comprimir archivos y sobre todo carpetas enteras desde consola. Es útil a la hora de realizar backups o copias de seguridad de directorios, ya que permite comprimir un directorio entero y descargarlo de forma más segura y más cómoda.

El comando te tienes que ejecutar desde la consola es el siguiente:
tar -zcvf nombre-archivo.tar.gz nombre-directorio

Donde,

-z: Comprimir archivos usando gzip
-c: Crear un nuevo archivo
-v: Verbose, es decir, mostrar el proceso durante la creacion del archivo
-f: nombre de archivo
Ahora bien, Como Descomprimir un archivo .tar.gz.

El comando necesario para descomprimir sería el mismo pero cambiando algunos atributos.

tar -xvzf miarcho.tar.gz

Donde,

-x: extrae el contenido del archivo comprimido
-v: Verbose, es decir, mostrar el proceso durante la creacion del archivo
-f: nombre de archivo
Otros formatos y comandos para comprimir y descomprimir mas usados

Ficheros gz
Comprimir
gzip -9 fichero

Descomprimir
gzip -d fichero.gz

Ficheros bz2

Comprimir
bzip fichero

Descomprimir
bzip2 -d fichero.bz2

Tanto gzip como bzip2 solo comprimen ficheros. No son capaces de empaquetar carpetas, para esto se utiliza el comando tar que he indicado anteriormente.

Ficheros zip

Comprimir
zip archivo.zip ficheros

Descomprimir
unzip archivo.zip

Ficheros rar

Comprimir
rar -a archivo.rar ficheros

Descomprimir
rar -x archivo.rar

Tags de búsquedas:

comprimir carpeta linux, comprimir carpeta en linux, comprimir una carpeta en linux, linux comprimir carpeta, comprimir carpetas linux, comprimir directorio linux, comprimir carpeta tar gz, comprimir carpetas en linux, comprimir carpeta tar, comprimir una carpeta linux

IPTables – Como desbanear una ip

IPTables – Como desbanear una ip

Cuando necesitemos ver las IP’s que se encuentran baneadas en el server, simplemente ejecutamos el siguiente comando:

iptables -vnL

Nos aparece algo parecido a la imagen siguiente, hay que fijarse en la información que nos indica fail2ban-SERVICIO para borrar el que nos interesa.

iptables

Si nuestra intención es desbanear la IP 14.141.36.216 del servicio ssh, debemos ejecutar el siguiente comando:

iptables -D fail2ban-ssh 2

Si ven en el comando anterior pusimos el número 2 el cual nos indica que del listado queremos desbanear la línea número 2, que es donde se encuentra la IP antes mencionada.

 

Saludos 😀

Linux – Comprimir carpeta o archivos desde consola

Linux / UNIX Generar nombre de usuario y contraseña con el comando htpasswd en htaccess

En varias ocasiones he tenido que utiliar el comando htpasswd para que el sitio web solicite nombre de usuario y contraseña a quienes deseen ver el sitio desde fuera de una red interna.

Para comenzar el htpasswd se utiliza para crear y actualizar los ficheros planos usados para almacenar nombres de usuario y contraseña para la autenticación básica de usuarios HTTP.  Forma de uso.


Crear un nuevo archivo de contraseñas asignando un usuario

# htpasswd -c /var/claves/claves_sitio vusano
New password: 
Re-type new password: 
Adding password for user vusano


Siguiente comando es para actualizar la password del usuario vusano.  Si el archivo existe y no se puede leer, o no se puede escribir, no se podrá guardar la nueva contraseña y htpasswd mostrará un mensaje de error.

# htpasswd /var/claves/claves_sitio vusano
New password: 
Re-type new password: 
Updating password for user vusano

 

Espero les sirva, saludos!! 😀

Apple – MAC como forzar el cierre de una aplicación

Apple – MAC como forzar el cierre de una aplicación

Soy nuevo en el mundo apple, bueno con respecto al uso de los MAC, ya que tengo iphone y ese si lo manejo jeje.

Durante el día estuve instalando las aplicaciones a mi mac para hacer correr lo que necesito para trabajar en el día a día, hasta que tuve un problema con una aplicación que se quedo pegada, no tenía problemas con las demas aplicaciones abiertas pero me molestaba el hecho de ver esa ahí molestando y que no se podía cerrar.  Entonces comencé a buscar como podría “Terminar el Proceso” (Como en Windows) y no encontre la forma hasta que di con una web que no recuerdo la dirección y me indicaba que simplemente presionando ALT+CMD+ESC entonces se abrirá una ventana como se ve en la imagen que esta a continuación, seleccionas la aplicación presionas en Forzar Salida, y estamos listo.
Buenaaa eeh! (Y)

 

forzar cierre

 

Saludos! 😀