texto:   A-   A+
eliax

Nuevo troyano roba tarjetas de crédito que dictes por tu celular Android
eliax id: 8433 josé elías en ene 21, 2011 a las 05:27 AM (05:27 horas)
Android OSUn grupo de investigadores de seguridad de Hong Kong y EEUU acaban de crear un software conceptual para atacar al sistema operativo Android OS que debería dejar a todo el mundo preocupado...

Se trata de un software al que han bautizado como "Soundminer" ("Minador de Sonidos"), que se instala de forma totalmente legal en celulares con el sistema operativo Android OS de Google, y con tan solo pedir permiso para el módulo de llamadas, se puede robar tu número de tarjeta de crédito.

¿Cómo? Pues de una manera bastante astuta, y tan simple que sin duda muchos se preguntarán como algo como esto no surgió antes...

Lo que Soundminer hace es sencillamente escuchar constantemente las conversaciones telefónicas, pero utilizando un software que entiende cuando se mencionan números, efectivamente captando todos los números que hables por el teléfono (como cuando llamas a una institución y les describes tu número de tarjeta de crédito a alguien para pagar por teléfono).

El software es incluso tan inteligente, que detecta cuando del otro lado de la linea te piden tu número de tarjeta para que la escribas con el teclado de tu celular, pudiendo también detectar los tonos de entrada por esa vía.

Posteriormente, el software envía todos los números coleccionados a una dirección controlada por el atacante (y el resto ya se lo saben: Misteriosamente un día después tu tarjeta llega a su límite sin tu haber comprado nada).

Afortunadamente, por el momento esto es solo un proyecto de investigación, pero pueden estar seguros que mucho antes de lo que nos imaginamos veremos esto siendo operado por ciber-criminales, y lo bueno de esto es que al menos estos investigadores ofrecen una solución al problema: El sistema operativo debe hacer el rol de este software, escuchando constantemente por lo que decimos o escribimos en el teclado, y si de casualidad lo que decimos o escribimos menciona una tarjeta de crédito, entonces bloquear el acceso completo a otras aplicaciones.

Mientras tanto, recomiendo prudencia como siempre a la hora de descargar aplicaciones de fuentes desconocidas...

fuente

Video a continuación, en donde la acción inicia al minuto con 27 segundos (enlace YouTube)...


autor: josé elías

Comentarios

  • yo reviso y hago trasferencia vía internet banking en un iphone me imagino que ahí no hay problema verdad?

    • Por el momento no, pero cuidado en un futuro cercano si tienes tu iPhone liberado (jailbroken) e instalas aplicaciones no oficiales de Cydia en vez del App Store, pues no dudemos que esta técnica eventualmente se extenderá mucho más allá de Android al resto de todas las plataformas móviles...

      • Lo más preocupante para mi en el iphone no es si está liberado sino lo sencillo que es a veces.

        Se hacía mediante una página web, ¿verdad? O sea que una persona podría visitar una página que sin saberlo, le haga el jailbreak al teléfono, le instale un programa malicioso, y tal vez hasta deshaga el jailbreak para dejar el programa malicioso totalmente protegido contra cualquier intento de deshacerse de él.

        • anv,

          En realidad, no es como lo imaginas. :)

          El truco de visitar una página web no es solo del iPhone, es de cualquier arquitectura. pues lo único que buscan los hackers es causar un error de "buffer overflow", un tipo de error que causa un error de un modo tal, que permite que código sea inyectado en tiempo real (en este caso, via navegador web) a la aplicación que se ataca.

          El mismo método es utilizado para atacar a los lectores PDF, a Flash, a otros navegadores web, a sistemas operativos (más notablemente Windows), e incluso a consolas de video-juegos.

  • Veo complicada la solución que han dado, si el programa ya tarda 12 segundos en reconocer el audio, android tendría que hacerlo en tiempo real para bloquear el acceso y no creo que halla tanta potencia y en el caso de que la halla me imagino que se comería la batería en 2 o 3 horas o menos.

    Lo único que se me ocurre así es que las compañías bancarias o centros comerciales se identifiquen de alguna forma especial (Algún tipo de metadato) de forma que android sepa que en esa conversación no puede ser grabada.

    • Lo de tiempo real se puede resolver fácilmente con un chip dedicado para ese fin (que quizás agregue apenas unos 3 dólares adicionales al costo de fabricación de una unidad). Otra opción es ver si es factible (creo que si) implementar los algoritmos necesarios en los GPU cada vez más potentes en celulares para acelerar el cálculo a tiempo real.

  • Muy interesante. Me imagino que aun no tan estricta como la de Apple, la tienda de aplicaciones (y la comunidad online) de Android hiciera un buen trabajo para "flag" un programa de esa magnitud, quizas tarde para ciertas personas, pero al final se pudiera eliminar cierta amenaza al mismo tiempo que instituciones reaccionan a las mismas.

    Seria un programa "mas" genial, si se pudiese instalar por tan solo visitar una pagina web usando el celular. No teniendo que instalar y aprobar desde una tienda de aplicaciones donde pueda ser "flagged". En lo personal, hay algo bien funny sobre una persona que escribe un "malware" que tiene que pasar por un proceso de autorizacion :)

    Ademas, para eso es que tenemos un telefono inteligente, para no tener que llamar y dar ciertas informaciones usando voz? Verdad?

    Despues de cada "exploit" vienen los updates, y eso es bueno, tambien seria bueno tener en mente que lo mismo puede pasar con una tienda de aplicaciones para telefonos (Android y iPhones)que no sea oficial, como instalar de terceros como se hace con telefonos que han sido jailbroken/rooted.

    • Android cuenta con las restricciones propias de Linux que no permiten la instalación de aplicaciones simplemente al visitar una página web (otra cosa es que consiguieran una escalada de privilegios mediante el navegador algo que sinceramente dudo).
      Teniendo en cuenta que android tiene el navegador más seguro (Chrome, aunque no sea el mejor) y se basa en uno de los más seguros (Linux, pues hay quien dice que los BSD, como openBSD es más seguro), por lo tanto no veo tanto peligro como aquí dicen. Solución real: no hacer tonterías como decir números de tarjeta por teléfono.
      Saludos

      • No es una vulnerabilidad de Android. Está claro que el usuario tiene que instalar voluntariamente el troyano para que esto pase.
        Ante esos supuestos peligros, no se justifica coartar la libertad de instalar aplicaciones homebrew en estos dispositivos, ni hace falta aplicar políticas estrictas para adquirir aplicaciones como Apple con su App Store.

        • superoptimo, el problema en realidad es de android. tu puedes subir esa aplicacion al appmarket y si nadie se da cuenta nunca quitar esa aplicacion. en cambio en las demas tiendas de aplicaciones las aplicaciones son testeadas para ver lo que realmente hacen y este tipo de aplicacion no lleven a consumidores.

  • Android se esta convirtiendo en el nuevo Windows :(

    • o así lo quieren hacer ver... dado ha demostrado un mayor crecimiento la competencia...

    • En Win, todos ejecutan e instalan "exe's". En Linux, necesitas la cuenta del administrador, y si el admin no sabe de seguridad, pues, no existe antivirus contra la ignorancia (tu no llevas tu automovil a dos, tres mecanicos de barrio, esperando que siga funcionando bien... la clave "root" es darle las llaves al mecanico que te recomendaron mientras comprabas verduras en tu barrio)

    • barbaro, comparar android con windows, a causa de un unico virus especializado, no echo en un patio,tanbien han echo virus para iphone y eso no lo hace otro windows.

    • En windows los troyanos y virus se instalan por si solos, sin que el usuario pueda hacer algo para evitarlo.

      En Android, el usuario tiene que instalar manualmente los troyanos. No es una vulnerabilidad del sistema, sino una acción irresponsable del usuario.

      Cómo pueden comparar Windows con Android?

  • Lo que deberían hacer es no permitir que ninguna aplicación tenga acceso a las llamadas telefónicas! Yo no me sentiría nada cómodo sabiendo que hay una aplicación en mi teléfono grabando y analizando todo lo que hablo. Menos mal que uso un iPhone.

  • Pero para que este troyano se instale se requiere "Ingeniería Social".
    No es lo mismo que pasa en sistemas windows, que el sistema se infecta por si mismo con tan solo meterle una memoria USB, o navegar en Internet Exploter 7.

  • Era de esperarse pues siempre va haber personas que usen la ingenieria inversa de tal manera probocar un daño, cualquier plataforma puede colapsar con estas vunerabilidades, me recuerda a http://www.eliax.com/index.cfm?post_id=8143

    • Pero cuál "ingeniería inversa"?? No es una vulnerabilidad del sistema Android. Está claro que para que el troyano haga de las suyas hay que instalarlo, y esto se logra solo a traves de la ingenuidad del usuario que instala aplicaciones de dudosa procedencia. Solo funciona mediante "Ingenería Social".

  • Pero no pasa por un proceso de pruebas la aplicación para ser validada como "segura" antes de entrar en la Android Store? No revisan las aplicaciones? Ponen cualquier cosa? o.O

  • aqui todos hablan como si Android fuera un tipo de Dios, super poderoso y que nadie puede con el.
    si ellos pudieron hacer eso otros pueden, cuando es de dinero que se habla podo es posible ellos encontraran la forma de que el troyano actue por su cuenta, lo que se debe de hacer es buscar la forma de resolver el problema

  • Hola Eliax! Llegaste a escuchar de la noticia del cambio de CEO en Google por Larry Page? Cuál es tu opinión?

  • Una pena, esperemos se solucione, mientras vamos a hacer lo siguiente cuando queramos dar un número crítico, por ejemplo: 1231-6532:ti - ti ti- ti ti ti - ti - ti ti ti ti ti ti - ti ti ti ti ti - ti ti ti - ti ti.

    Joder Eliax espero con muchas ansias tu artículo del transplante neuronal de modo no clonativo.

    Saludos.

  • Este mes voy por un WP7 .. xP

    • Y windows no será mas inseguro que IOS y Android juntos?

      • Android tiene el problema de que es TAN libre que bueno, ahí tienen.. Por si no sabes, WP7 esta montado sobre el framework, lo que es algo más seguro que Symbian digamos, o cualquier otro SO que deje ejecutar aplicaciones nativas.

Añadir Comentario

tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
1 + 8 = requerido (control anti-SPAM)
 

"Me hizo llorar :( te extrañaremos mucho eliax, siempre seras un gran ejemplo para mi :)!!! muchas gracias por este blog."

por "Rafe" en feb 10, 2014


en camino a la singularidad...

©2005-2014 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax