viernes, 4 de mayo de 2012

El troyano NotCompatible para Android

Los usuarios de smartphones Android tienen que estar alertas por los sitios web hackeados que descargan automáticamente aplicaciones en sus teléfonos para instalar código malicioso.

En lo que sería el primer caso de este tipo, los analistas de Lookout Mobile Security están advirtiendo de un supuesto ataque “drive-by” diseñado específicamente para afectar dispositivos Android. El ataque usa sitios web infectados para instalar un troyano llamado NotCompatible a tu teléfono. De instalarse, el malware podría permitir a los hackers usar el teléfono como un punto de acceso intermedio, o proxy, para infiltrarse en redes privadas de computadoras. También se cree que NotCompatible podría sumar tu teléfono a una botnet.

Sin embargo, aunque NotCompatible suena como algo temible, no es una amenaza real si usas el sentido común y evitas instalar cualquier cosa en tu teléfono que no te parezca confiable o no recuerdes haber descargado por tu cuenta. Esto es lo que los usuarios de Android tienen que saber sobre NotCompatible:

Cómo fue descubierto NotCompatible

El troyano salió a la luz por primera vez cuando un usuario de Reddit llamado “georgiabiker” descubrió NotCompatible por casualidad y llevó el malware a la vista de la comunidad de Reddit, un sitio social de noticias y tablero de mensajes.

Quiénes corren peligro

NotCompatible sólo puede afectar a personas que tienen sideloading -la capacidad de descargar aplicaciones de fuentes distintas a la Google Play Store- habilitado en sus dispositivos, de acuerdo a Lookout. El sideloading se puede activar o interrumpir dirigiéndote a “Ajustes > Aplicaciones” y cambiando la casilla “Orígenes desconocidos“.

Ten en cuenta que aún cuando tengas sideloading habilitado, todavía es necesaria una acción explícita del usuario para infectarte.

Cómo puedes infectarte

Imágenes cortesía de georgiabiker (en Reddit).


Cualquier usuario de Android que llegue a un sitio infectado usando el navegador del teléfono descargará automáticamente un archivo llamado “Update.apk“.

Si has habilitado el sideloading, aparecerá una ventana emergente preguntándote si deseas instalar una actualización llamada com.Security.Update o un nombre similar. Cualquier usuario que instale la aplicación a continuación quedará infectado.

Si no tienes la posibilidad de instalar aplicaciones de orígenes desconocidos, no podrás instalar el troyano, de acuerdo a Lookout. Por lo general, los teléfonos Android vienen de fábrica con la opción de sideloading desactivada.

Cómo afecta a tu teléfono

No sabemos hasta el momento si hay algún efecto a largo plazo en tu teléfono y otro dispositivo, pero lo que sí nos dice Lookout es que lo único que te puede pasar es que tu teléfono sea usado como proxy por un tercero.

Qué tan difundido está

Lookout no ha ofrecido cifras exactas, pero la compañía dice que ha encontrado el malware en “numerosos” sitios, como parte de un ‘iframe’ (un segmento de ventana del navegador que puede mostrar contenidos correspondientes a una tercera ubicación). Lookout espera que el impacto general de NotCompatible sea bajo.

Los sitios hackeados sin conocimientos de sus propietarios y que actualmente distribuyen NotCompatible parecen ser sitios web de bajo tráfico y pertenecientes a negocios de escala local, como clubes, tiendas de reparación de computadoras y exterminadores de plagas.

Qué hacer si estoy infectado

Lookout no ha dado información sobre qué hacer en caso de encontrarte infectado con NotCompatible, así que no sabemos si instalar el software antivirus de Lookout removerá en realidad el software malicioso.

Aún cuando el troyano está hecho específicamente para dispositivos Android, siempre que estés atento a la hora de autorizar nuevas apps y evitar descargas no deseadas, tu dispositivo debería estar a salvo.

jueves, 3 de mayo de 2012

Que es svchost.exe



Según Microsoft, svchost.exe es el nombre de proceso genérico que se ejecuta de librerías dinámicas enlazadas.
Te preguntarás porqué hay tantos procesos svchost.exe corriendo.
Quizás ya has visto en el Administrados de tareas de Windows varios procesos svchost.exe en ejecución.
Cómo saber qué proceso está detrás de cada svchost.exe
tasklist /SVC



Las librerías dinámicas, como arcihvos .DLL, no pueden ser ejecutados directamente, por lo que necesitan a un archivo ejecutable que los llame. Ahí es donde aparece el archivo svchost.exe.
Para cada servicio de Windows que funcione en base a una librería DLL determinada, se ejecuta un proceso de svchost.exe independiente.
Siendo así, si tienes activado el servicio de impresión, del servidor de audio, de DHCP o de temas para Windows, estás ejecutando varios procesos svchost.exe.
Para saber qué servicios están corriendo bajo un archivo svchost.exe puedes usar el comando

Para saber en detalle qué es cada servicio, podemos ir a Administrador de tareas de Windows y seleccionar un svchost.exe. Le das con el botón derecho o secundario y selecciona “Go to service”.