Dinero robado a través del malware Android.

Navega tus respuestas
1

Como fondo, mi cuenta bancaria empresarial se vio comprometida. El compromiso también implicó el reenvío de llamadas de un teléfono inteligente. Así que obtuvieron credenciales bancarias y credenciales de teléfonos celulares.

Inicialmente sospeché que los registradores de teclas en equipos portátiles comprometidos, equipos de redes comprometidos en el hogar u oficina, o ingeniería social. Pero finalmente me di cuenta de que mi teléfono con Android era otra posible fuente de la brecha.

Anoche, utilizando un escáner de red Android, escaneé mi red doméstica y vi que mi Droid Turbo tenía dos servicios en funcionamiento, uno para el Puerto 4000 y creo que el otro era el Puerto 4500. El Puerto 4000 era "Remote Anything slave" y un rápido Google me hizo saber que esto le da a un hacker el control completo de mi dispositivo. Otros teléfonos Android en la familia no tenían estos servicios en ejecución. Rápidamente apago el teléfono y voy a comprar un teléfono nuevo esta mañana.

En este punto, mi suposición es que el truco telefónico les permitió obtener el código de acceso de mi compañía de telefonía celular que les permitió reenviar los códigos de activación bancaria; El banco y la compañía telefónica confirman que esto sucedió.

Supongo que mi pregunta es si es probable que cada computadora y teléfono en mis redes (empresas y hogares) tengan malware. Desde el teléfono, ¿puede el malware ir al enrutador y luego colocar el malware en otros dispositivos? ¿Es probable que haya malware en el enrutador? Estoy tratando de entender lo que necesita ser reemplazado. Debo agregar que no recuerdo haber ido al sitio web del banco desde mi teléfono celular, pero es posible. No tengo la aplicación del banco, pero es posible que haya iniciado sesión en el tren para volver a casa para hacer algo.

Todos los consejos son apreciados. Sorprendentemente, el banco, la compañía de teléfonos celulares y Google no parecen estar tan interesados en investigar, así que supongo que estoy por mi cuenta.

    
pregunta user1883779 07.03.2016 - 17:01
fuente

2 respuestas

1

Cosas como estas pasan todos los días. No es una sorpresa que ninguna de las empresas quiera investigar. Es una escala demasiado pequeña y no les conviene hacerlo. Ahora en cuanto a tus preguntas ...

  • Dispositivos de red: los dispositivos de red domésticos / de consumo no suelen mantenerse como actualizaciones seguras o de firmware lanzadas con tanta frecuencia. Lo mejor sería consultar el sitio web del fabricante de su enrutador / AP / switch para ver si está ejecutando el firmware más reciente. Sería prudente realizar un reinicio por hardware o de fábrica del dispositivo. Si bien es poco probable que el malware en el teléfono pueda infectar tu enrutador de alguna manera, no es imposible. Además, si el enrutador de su hogar le permite implementar políticas, considere bloquear el tráfico saliente innecesario. Esto puede impedir que las aplicaciones de malware alcancen su host si no están utilizando un puerto http / https predeterminado.
  • Otras computadoras / teléfonos: debe comenzar cambiando las contraseñas de administrador en cada dispositivo y ejecutando exploraciones AV completas. Si utiliza algún servicio de intercambio de archivos basado en la nube (es decir, Google Drive, Dropbox, etc.) también querrá escanearlos. Sin duda, primero intente y apunte a los servicios que utilizó en su teléfono infectado. Todas las cuentas que estuvieran vinculadas a su teléfono deberían cambiar sus credenciales, incluido el nombre de usuario, si es posible. Si aún no lo está haciendo, asegúrese de estar ejecutando un firewall de software en cada una de sus máquinas.
  • Gmail: asumo que tienes una cuenta de Gmail y que varios de tus servicios están vinculados a esta cuenta. Considere usar el servicio Google Authenticator que Google proporciona. Requiere un PIN de 6 dígitos cada vez que intente usar su cuenta de Google para CUALQUIER COSA que aún no esté aprobada. Su cuenta de correo electrónico generalmente es el vértice de muchas otras cuentas. Establezca una contraseña que sea diferente de todas las demás cuentas (que siempre debe hacer de todos modos) e implemente la máxima seguridad que le permita su proveedor.
  • Seguridad adicional en adelante: para tarjetas de crédito y cuentas bancarias, configure notificaciones de correo electrónico / texto para notificarle cuándo se realizan los cargos o cuando se utilizan nuevos dispositivos para acceder a sus cuentas. La mayoría de los bancos ofrecen esto. Además, tenga mucho cuidado con las aplicaciones que instala en su teléfono. Es posible que la infección provenga de una aplicación que usted instaló para empezar.
respondido por el Jack Bahou 07.03.2016 - 17:21
fuente
1

RemoteAnyThing es en realidad una aplicación de administración de SMS diseñada para permitirle descargar el control sobre SMS a una computadora (para leer / enviar SMS sin usar su teléfono). No es en sí mismo un virus, pero obviamente es muy útil para un atacante que utiliza códigos de bancos que se envían a los teléfonos por SMS. Esto también les permitiría (dependiendo de si su proveedor hace esto a través de SMS) configurar el desvío de llamadas. Por último, usted (o un atacante, desafortunadamente) puede implementarlo a través de la tienda Google Play, por lo que el ataque real probablemente comenzó como un compromiso de su cuenta de Google, y los llevó a su teléfono, que a través del uso inteligente de las aplicaciones les permitió robar la autenticación de dos factores. tokens

Segundo la otra respuesta, usar 2FA en tu cuenta de Google es una idea REALMENTE buena, fortalece las cuentas que básicamente encapsulan toda tu vida (especialmente si usas un teléfono con Android) y es imposible subestimar la necesidad. tomar todas las precauciones al proteger el acceso.

Editar: para responder más completamente a tu pregunta final: RemoteAnyThing parece funcionar a través de una conexión directa a una computadora, por lo tanto, la disponibilidad del puerto. Por lo tanto, se comprometió su computadora de escritorio para ejecutar el software en secreto, o se comprometió su enrutador para transferir la conexión del software que se ejecuta en otro lugar (en la computadora de los atacantes o un intermediario zombie).

    
respondido por el Jeff Meden 07.03.2016 - 17:35
fuente

Lea otras preguntas en las etiquetas

¿Es el navegador la única aplicación que puede establecer supercookies? Recuperar información de informes de malware de la red de malware