Foi divulgado hoje o relatório da McAfee, o McAfee Threats Report, que faz um balanço do primeiro trimestre de 2012 e foi constatado que houve uma explosão de malwares para mobile.

Para o sistema Android, 7 mil malwares foram detectados apenas no início deste ano, enquanto no quarto trimestre de 2011, esse número era de apenas 600 amostras. Isso equivale a um aumento de 1.200%.

O sistema iOS não aparece como vulnerável, ou seja, não foi detectado vírus algum destinado ao sistema.

Também foram coletadas informações de vírus para computadores e encontradas 8 milhões de novas amostras no mesmo período. Esse número é o maior nos últimos quatro anos e dentre esses malwares 400 estão os destinados a Macs.

Clique aqui para ver o relatório na íntegra.

A Trend Micro, empresa de segurança na internet, divulgou um relatório em que foi detectado, só no primeiro trimestre de 2012, cerca de 5.000 apps para a plataforma Android infectados com códigos maliciosos. Especialistas já esperavam que ataques do tipo aumentassem em 2012. O número, que pode assustar alguns usuários, é compreensível levando em consideração que todos os crackers (hacker especializado em quebrar sistemas de segurança e obter informações sigilosas) estão concentrando esforços na plataforma, que apresenta o maior crescimento do mundo - cerca de 300 milhões de usuários e média de 850 novos aparelhos ativados por dia.

Em seu relatório, a Tend Micro afirma que “uma grande razão para a popularidade dos aplicativos é a sua facilidade de uso (...) A principal coisa a lembrar é pensar antes de dar acesso dos seus dados aos aplicativos instalados (…) Se você tem alguma dúvida sobre dar informação sensível, apenas não instale“, escreveu Robert McArdle, um pesquisador de Malwares Sênior da empresa.

Ainda segundo o relatório da Trend Micro, os malwares estão vindo também pelas principais redes sociais, como o Facebook e o Twitter, que torna mais fácil ainda a infecção por malwares.
Então, é importante frisar que as fontes seguras para você fazer download de aplicativos para Android são o Google Play Store, Amazon App Store e o Getjar, lojas reconhecidamente com menor índice de arquivos infectados com malwares.

O malware Stuxnet foi criado na mesma plataforma usada em 2007 para desenvolver uma família de malwares, incluindo o recentemente descoberto Duqu, de acordo com uma análise dos pesquisadores da empresa de segurança Kaspersky.

Alexander Kaspersky Gotsev e Igor Soumenkov reuniram evidências para provar que ambos malware foram criados usando um kernel que eles chamam de "tilded".

As pistas que levam à relação entre Stuxnet e Duqu parecem convincentes e, em parte, já haviam sido mencionadas pela empresa. Ambos compartilham um projeto comum, com uma divisão idêntica dos programas em partes que exercem funções semelhantes.

No entanto, ao analisar um driver recém-descoberto em um computador chinês, que continha arquivos do Duqu, os pesquisadores descobriram o que parecia ser uma versão modificada de um driver usado no Stuxnet. A modificação utiliza o mesmo certificado e tem a data e assinatura iguais, o que levou à conclusão de que os dois malwares devem ter as mesmas origens.

No banco de dados da empresa, a equipe encontrou sete outros drivers com características semelhantes, incluindo três - rndismpc.sys, rtniczw.sys e jmidebs.sys - que ainda não podem ser relacionados a malwares específicos.

Esses arquivos não podem interagir com qualquer versão conhecida do Stuxnet, o que levou os pesquisadores a concluir que eles eram ligados a uma versão anterior do Duqu ou representam fragmentos de malwares não-identificados que foram criados pela mesma equipe.

"Houve uma série de projetos que envolvendo programas baseados nessa plataforma 'tilded' durante todo o período entre 2007 e 2011. O Stuxnet e o Duqu são dois deles. Pode haver outros, mas que por enquanto permanecem desconhecidos", afirmou Alexander Gotsev, da Kaspersky .

As evidências da equipe não são conclusivas, mas as conexões circunstanciais entre o Stuxnet e o Duqu parecem mais firmes agora, Já os céticos sugerem que a relação está sendo exagerada como parte de uma moda de conspirações geopolíticas.

Na análise da Kaspersky, os programas fazem parte de um esforço comum de uma única equipe que remonta há pelo menos quatro anos. A evolução do malware sugere que este desenvolvimento continua e tem afetado seus objetivos de forma ainda não detectada ou divulgada.

O que a análise não pôde responder é quem está por trás do que agora é amplamente considerado como malware mais potente já descoberto, o Stuxnet, que provavelmente também é responsável pelo Duqu. Já foi congitada a possibilidade do Stuxnet estar ligado ao worm Conficker, de 2008.

A opinião de popular aponta Israel como culpado, que também teria contado com ajuda dos EUA, mas isso é especulação. O programa nuclear do Irã foi a vítima mais clara do Stuxnet, mas Israel e os EUA estão longe de serem os únicos interessados em ver o país prejudicado.

"A plataforma continua a se desenvolver, o que só pode significar uma coisa: provavelmente veremos mais modificações no futuro", concluíram os pesquisadores.

Pesquisadores descobriram um novo ataque, promovido por um malware já bastante disseminado: o SpyEye. Ele destrói sistemas de proteção que enviam mensagens de texto para que os usuários confirmem transações financeiras.

Segundo a companhia de segurança Trusteer, a praga permite a criminosos alterar o número de telefone inscrito em uma conta bancária, de modo que o alerta seja encaminhado a eles em vez de chegar ao cliente legítimo. Assim, é possível realizar compras sem que o internauta descubra que algo está errado.

De acordo com os especialistas, a ofensiva funciona da seguinte maneira: primeiro, o malware compromete as informações de login da conta, a fim de que o cracker consiga acessá-la sem ser identificado pelo usuário ou pelo banco. Em seguida, ele envia um e-mail para que o dono do celular abra uma página corrompida no aparelho. Essa página finge ser um alerta do banco, pedindo ao internauta que digite sua senha, necessária para "implantar o novo método de segurança".

Assim, o código é capturado e, com ele em mãos, o criminoso entra na conta e altera o número de telefone vinculado a ela. Enquanto o usuário não perceber a movimentação, transações ilegais poderão ser feitas, causando enorme prejuízo.

“Essa estratégia do SpyEye prova que mesmo formas alternativas de autenticação, inclusive aquelas que usam mensagens de texto, não estão livre de falhas”, afirmaram os pesquisadores. “Sem uma segurança baseada em camadas, mesmo o método mais alternativo torna-se irrelevante frente a um golpe bem formulado”.

Uma nova e melhorada botnet (rede de micros zumbis) gigante que infectou mais de 4,5 milhões de computadores é “praticamente indestrutível”, de acordo com pesquisadores de segurança.

O “TDL-4”, nome do bot Trojan que infecta as máquinas e do conjunto resultante de computadores comprometidos, é “a ameaça mais sofisticada da atualidade”, diz o pesquisador da empresa de segurança Kaspersky Labs, Sergey Golovanov, em uma análise detalhada publicada no início da semana.

E ele não é o único a pensar dessa forma.

“Eu não diria que ela é perfeitamente indestrutível, mas é praticamente indestrutível”, afirma o especialista e diretor de pesquisas da Dell SecureWorks, Joe Stewart. “Ela faz um ótimo trabalho em manter-se de pé.”

Golovanov e Stewart basearam seus julgamentos em uma variedade de características do TDL-4, as quais o tornam um caractere extremamente difícil de ser detectado, apagado, suprimido ou erradicado.

Por uma coisa, disse Golovanov, o TDL-4 infecta o MBR (Master Boot Record) do computador com um rootkit – malware que se esconde ao subverter o sistema operacional. O MBR é o primeiro setor – setor 0 – do disco rígido, onde o código é armazenado para o sistema após a BIOS da máquina realizar suas verificações iniciais.

Como o TDL-4 instala seu rootkit no MBR, ele é invisível para o sistema operacional e, mais importante, para programas de segurança desenvolvidos para encontrar códigos maliciosos.

Mas essa não é a arma secreta do TDL-4.

O que torna a botnet indestrutível é a combinação de criptografia avançada e o uso de uma rede pública peer-to-peer (P2P) para as instruções emitidas para o malware pelos servidores command-and-control (C&C).

“A maneira como o peer-to-peer é usado para o TDL-4 vai fazer com que seja extremamente difícil derrotar essa botnet”, afirma o pesquisador sênior de malware da Kaspersky, Roel Schowenberg. “Os caras do TDL estão fazendo o seu máximo para não serem a próxima gangue a perdeu sua botnet.”

Schowenberg também citou vários casos de captura de botnets grandes – que variam de esforço coordenado que acabou com a Conficker em 2010 até o take-down da Coreflood liderado pelo FBI neste ano – como a motivação para hackers desenvolverem novas maneiras de manter em campo seus exércitos de computadores sequestrados.

“Toda vez que uma botnet é derrubada aumenta o nível de exigência para a próxima vez”, diz Schowenberg. “Os cibercriminosos realmente profissionais estão assistindo e trabalhando em suas botnets para torná-las mais resistentes contra essas tentativas de derrubá-las.”

Os responsáveis pelo TDL-4 criaram seu próprio algoritmo de criptografia, explica Golovanov, e a botnet usa os nomes de domínio dos servidores C&C como as chaves da criptografia.

A botnet também usa a rede pública PSP Kad para um de seus dois canais para se comunicação entre os PCs infectados e os servidores C&C, afirma a Kaspersky. Anteriormente, as botnets que se comunicavam via PSP usavam uma rede fechada que haviam criado. Ao usar uma rede pública, os criminosos asseguram que sua botnet vai sobreviver a qualquer esforço para derrubá-la.

Stewart apontou que os contra-ataques do TDL-4 contra outros malware como outra razão para seu sucesso. “Isso é tão esperto”, diz, completando que desabilitar malwares concorrentes – que provavelmente são muito mais fáceis de detectar – significa que ele tem uma chance maior de continuar no computador.

Os criadores do TDL-4 usam a botnet para plantar malware adicional nas máquinas, alugá-lo para outros para esse propósito e distribuição de ataques denial-of-service (DDoS), e para conduzir campanahs de phishing e spam. Segundo a Kaspersky, o TDL-4 instalou cerca de 30 tipos diferentes de programas maliciosos nos PCs que controla.

Mas ele consegue remover todos a qualquer momento. “O TDL-4 não deleta a si próprio após a instalação de outro malware”, diz Golovanov. “A qualquer momento ele pode apagar malware que tiver baixado.”

Esse é um consumidor perigoso, conclui Stewart.

“Para todos os propósitos, o TDL-4 é muito difícil de ser removido”, diz. “É definitivamente uma das botnets mais sofisticadas existentes.”