Uma falha crítica de segurança, descoberta no chipset de smartphone da UNISOC, pode ser potencialmente utilizada para interromper as comunicações de rádio de milhões de smartphones Android, por meio de um pacote malformado.

A UNISOC, uma empresa de semicondutores com sede em Xangai, é a quarta maior fabricante de processadores móveis do mundo depois da Mediatek, Qualcomm e Apple, respondendo por 11% de todas as remessas de SoC no terceiro trimestre de 2021, de acordo com a Counterpoint Research. 

“Deixado sem correção, um hacker ou uma unidade militar pode aproveitar essa vulnerabilidade para neutralizar as comunicações em um local específico”, disse a empresa israelense de segurança cibernética Check Point em um relatório compartilhado com o The Hacker News. "A vulnerabilidade está no firmware do modem, não no próprio sistema operacional Android." 

O problema, agora corrigido, recebeu o identificador CVE-2022-20210 e é classificado com 9,4 de 10 para gravidade no sistema de pontuação de vulnerabilidade CVSS. Em poucas palavras, a vulnerabilidade — descoberta após uma engenharia reversa da implementação da pilha de protocolos LTE da UNISOC — está relacionada a um caso de vulnerabilidade de estouro de buffer no componente que lida com mensagens Non-Access Stratum (NAS) no firmware do modem, resultando em negação de serviço. 

Para mitigar o risco, é recomendável que os usuários atualizem seus dispositivos Android para o software mais recente disponível, conforme e quando ele estiver disponível como parte do boletim de segurança do Android do Google para junho de 2022. 

"Um invasor pode ter usado uma estação de rádio para enviar um pacote malformado que redefiniu o modem, privando o usuário da possibilidade de comunicação", disse Slava Makkaveev, da Check Point.

Investigadores da Kaspersky detectaram um novo malware brasileiro, chamado "Bizarro", que já afetou 70 bancos em vários países da América do Sul e da Europa, incluindo a Itália.

Em comunicado, o grupo explicou como os autores do crime cibernético estão adotando métodos diferentes para evitar a análise e detecção do trojan bancário que está atuando, além da Itália e Brasil, na Argentina, Alemanha, Chile, Espanha, França e Portugal.

O “Bizarro” é distribuído principalmente através de pacotes Microsoft Installer (MSI), sendo descarregados pelas vítimas através de links enviados em e-mails de spam.

O que acontece?

Uma vez que o usuário clica na mensagem é baixada automaticamente uma pasta zip de um site comprometido para implementar as suas funcionalidades maliciosas.

De acordo com os pesquisadores, o vírus bancário contém mais de 100 comandos, a maioria dos quais é usada para mostrar mensagens pop-up falsas aos usuários. Alguns deles, inclusive, são estruturados de forma que se pareçam com notificações enviadas por sistemas de banco online.

"Hoje, estamos testemunhando uma tendência revolucionária na distribuição de cavalos de troia bancários. Os cibercriminosos locais atacam ativamente os usuários não apenas em sua área geográfica, mas também em todo o mundo", explicou Fabio Assolini, especialista em segurança da Kaspersky.

Segundo o pesquisador, "com a implementação de novas técnicas, as famílias brasileiras de malware começaram a distribuir malware a outros continentes, e o Bizarro, que se dirige principalmente a utilizadores europeus, é um claro exemplo disso".

"Este malware deveria servir como um sinal para darmos mais atenção à análise dos atacantes regionais e das informações sobre ameaças locais, já que estes podem rapidamente converter-se num problema mundial", finalizou Assolini.

Para se defender contra essas ameaças crescentes, os especialistas recomendam que as empresas bancárias atualizem constantemente suas práticas de segurança, implementem soluções antifraude e eduquem seus clientes sobre os truques que podem ser usados pelos invasores, enviando regularmente conselhos sobre como identificar fraudes e como agir nessas situações.

Da Ansa

De acordo com a empresa de segurança Malwarebytes, a última atualização do aplicativo de leitura de código de barras Barcode Scanner (Lavabird Ltd.), que ocorreu em dezembro de 2020, transformou o software em um malware e infectou mais de 10 milhões de usuários.

A suspeita foi levantada após usuários relatarem na rede social Reddit o recebimento de diversos anúncios publicitários em seus celulares. Após analisar o ocorrido, a Malwarebytes constatou que todos os dispositivos possuíam o Barcode Scanner instalado e, de imediato, alertou a Google para remover o aplicativo da loja Play Store.

Segundo a companhia de segurança, a última atualização do aplicativo inseriu um arquivo que potencializava o envio de propagandas. A Malwarebytes também constatou que a nova instrução utilizava métodos que ocultavam sua identificação.

As propagandas não só surgiam apenas durante o uso do Barcode Scanner, mas também invadiam o navegador de internet do Android. Apesar do aplicativo ter sido removido da loja da Play Store, muitos usuários ainda não estão cientes do ocorrido e possuem o software instalado em seus dispositivos.

O YouTube passou a exibir mensagens de alerta para usuários que cliquem em links colocados na descrição de vídeos postados no site de streaming. A atitude faz parte das inciativas para tornar a internet mais segura para os usuários dos recursos do Google, como o Gmail ou Google Drive. Porém, a gigante das buscas colocou em sua lista de sites perigosos ou com conteúdo impróprio Facebook Twitter e o site da Casa Branca.

Após notificações no Twitter, os desenvolvedores perceberam que milhares de sites legítimos estão provocando alertas semelhantes quando redirecionados a partir de serviços Google. Ao clicar no link o usuário é notificado que “o site para ou qual está sendo direcionado pode conter vírus, malware ou phishing, além de conteúdo perturbador”, conforme a mensagem de aviso. De acordo com o site The Next Web, a empresa pode estar conduzindo testes com as ferramentas de notificação, já que nem todos recebem a mesma notificação ao tentar acessar os mesmos sites.

Os avisos parecem ser mais frequentes nos vídeos de canais com menos de 10 mil pessoas inscritas, segundo o The Next Web. A ferramenta de bloqueio de sites mal-intencionados está em uso desde outubro na página de pesquisas do Google e começou a ser implantada em outros serviços no começo de 2018.

A unidade de pesquisa da Palo Alto Networks identificou uma campanha de spam malicioso especialmente desenvolvida para afetar vítimas brasileiras. Usando boletos falsos, criminosos podem roubar dados dos computadores das vítimas, incluindo senhas e nomes de usuários. O golpe já distribuiu 261.098 e-mails desde junho de 2017.

Estas mensagens chegam à caixa de entrada do usuário títulos como "Envio de Boleto – URGENTE". Ao clicar em um link presente no e-mail, a vítima cria uma conexão entre o seu computador e um servidor usado pelos criminosos. Nesse momento, um arquivo também é baixado no PC, e instala, silenciosamente, um malware que vai roubar seus dados.

Algumas vezes, esses e-mails mal-intencionados trazem também anexos PDF. Ao clicar no arquivo para acessar o suposto boleto que precisa ser pago com urgência, o usuário dá de cara com uma mensagem de erro que informa ser preciso acessar um link para continuar o processo. É nesse momento que o golpe acontece. A conexão direciona para uma URL que instala o malware.

LeiaJá também

--> Brasileiros são alvo de golpe que rouba senhas de 7 bancos

O grupo hacker Malware Hunter Team, dedicado a encontrar software malicioso pela web, cruzou com um vírus no mínimo bizarro. Uma nova ameaça virtual do tipo ransomware bloqueia o PC do usuário, mas em vez de exigir dinheiro para liberar o computador, pede que a vítima envie nudes aos hackers.

Ao ser infectado, o usuário recebe uma alerta na tela. O aviso é bem claro e informa que a única maneira de revogar o acesso ao computador novamente é enviar dez fotos íntimas aos hackers. Os cibercriminosos afirmam ainda que de alguma forma conseguem verificar se esses nudes realmente pertencem à pessoa afetada.

Segundo os pesquisadores, o vírus afeta apenas os usuários do Windows. O blog da fabricante de antivírus russa Kaspersky nota que os criminosos planejam usar as imagens para envergonhar suas vítimas e extorquir dinheiro delas com isso.

"Como sempre, aconselhamos você a não pagar o resgate se seu computador estiver infectado. A palavra pagar neste caso é tão legítima quanto em qualquer outro. A informação privada não vale menos do que seu dinheiro", informa a Kaspersky, em um post de blog.

LeiaJá também

--> Golpe via WhatsApp usa imagem de Neymar para roubar dados

O britânico Marcus Hutchins, de 23 anos, famoso por ter parado os ataques do WannaCry, vírus causador de ciberataque mundial, foi detido pelo FBI na última quarta-feira (2). Segundo o Departamento de Justiça dos Estados Unidos, Hutchins teria participado da criação e distribuição do vírus Kronos.

Os crimes do britânico teriam sido cometidos entre julho de 2014 e julho de 2015. Ele é acusado de conspiração para cometer fraude e abuso em computador, distribuição e anúncio de dispositivo de interceptação de comunicação eletrônica, tentativa de interceptar comunicações eletrôncios e tentativa de acessar computador sem autorização. 

Ainda segundo o Departamento de Justiça, informações públicas apontavam que o Kronos havia aparecido primeiro através de certos fóruns da internet no início de 2014 e distribuído através do Alphabay, um serviço escondido na rede Tor. O Alphabay foi fechado no dia 20 de julho deste ano.

Desde que foi criado, há informações de que o Kronos roubou informações bancárias em países como Canadá, Alemanha, Polônia, França e Reino Unido. Hutchins estava nos Estados Unidos para uma conferência e foi preso no aeroporto.

O jovem acabou recebendo a fama de herói em maio, após conseguir bloquear o vírus WannaCry acidentalmente a partir de informações contidas no código do malware. O WannaCry chegou a infectar cerca de 200 mil usuários em pelo menos 150 países.

LeiaJá também

--> Investigadores buscam autores de ciberataque mundial  

--> Ciberataque afeta instituições da Rússia e Ucrânia 

--> Honda paralisa produção no Japão após ataque cibernético

O serviço de streaming de música Spotify foi acusado de distribuir propagandas com vírus para usuários da versão gratuita do seu site. O ataque foi relatado por vários internautas nas mídias sociais nesta quarta-feira (5). Alguns deles informaram que janelas com publicidade tentavam instalar um tipo de malware em seus computadores. O Spotify confirmou o problema.

"Nós identificamos um problema em que um pequeno número de usuários estava enfrentando um problema em seus navegadores como resultado de uma questão isolada com um anúncio em nossa versão gratuita", informou a empresa, que foi rápida no gatilho e afirmou ter resolvido a falha. "Vamos continuar a monitorar a situação", completou.

Enquanto o relatório original sugeriu que a vulnerabilidade ocorreu apenas em computadores com Windows 10, outros usuários relataram que o problema persiste em outros sistemas, incluindo o Ubuntu e MacOS. A prática de distribuição de vírus através de anúncios não é inédita e já atingiu usuários de grandes sites, incluindo o Yahoo, New York Times e BBC.

Esta também não é a primeira vez que o gigante da música tem lidado com este tipo de controvérsia. Em 2011, o serviço de streaming emitiu um pedido de desculpas público após exibir anúncios maliciosos para alguns de seus usuários, contornando rapidamente a situação.

Pelo menos 10 milhões de dispositivos Android foram infectados por um malware chamado "HummingBad", de acordo com um relatório publicado na última sexta-feira (1º) pela fabricante de software de segurança cibernética Check Point, que vem monitorando a ameaça desde que ela foi descoberta, em fevereiro. Durante meses, o número de infecções era constante, mas o índice aumentou exponecialmente em maio.

De acordo com a Check Point, o que torna o malware "HummingBad" particularmente interessante é o grupo por trás dele – uma equipe de desenvolvedores da Yingmob, uma agência de publicidade e análise com sede em Pequim (China). A ameaça foi projetada para simular ou forçar cliques em anúncios no navegador do smartphone infectado, baixando também aplicativos fraudulentos.

Se o ataque for bem sucedido, os cibercriminosos podem obter acesso total a um dispositivo. A partir daí, o aparelho é usado para gerar receita de publicidade fraudulenta. Este, no entanto, não é o único problema. Além de gerar cliques, o malware também rouba informações pessoais da vítima, que posteriormente são comercializadas pela quadrilha.

A empresa de segurança estima que mais de 85 milhões de smartphones tenham aplicações do grupo chinês instaladas em seus telefones, sendo que 10 milhões deste montante possua o software malicioso. A maior parte das vítimas é residente na China e Índia. Estima-se que os Estados Unidos têm pelo menos 280 mil dispositivos infectados.