SophosLabs reforça estratégia de proteção em dispositivos móveis

Postado em: 6 de novembro de 2015 - Por: Alberto Martins

seguranca-mobile

 

Entre os dias 30 de setembro e 2 de outubro, aconteceu em Praga, na República Tcheca, a 25ª conferência internacional anual Virus Bulletin (VB 2015), onde os especialistas de segurança da informação se reuniram para compartilhar pesquisas e dialogar com profissionais do setor.

A SophosLabs, laboratório de pesquisas da Sophos, representada por cinco dos seus pesquisadores, apresentou quatro novos artigos sobre temas diversos, de segurança móvel sobre malware bancário a ameaças persistentes avançadas.

Após o fim da VB 2015, a SophosLabs descreveu em seu blog um pouco mais detalhadamente sobre cada um dos artigos e os pesquisadores por trás deles, e mostrou como aprender mais sobre seus estudos.

Ameaça de multiplataforma malware móvel

O malware móvel está se tornando muito popular entre os cybercriminosos por conta do grande número de pessoas que atualmente usam dispositivos móveis para tarefas cotidianas, como enviar e receber emails, navegação na web, aplicativos bancários e mídia social, tornando nossos smartphones e tablets alvos cada vez mais valiosos.

A própria Sophos, em seu blog de segurança, publicou um artigo sobre novas ameaças de malware para Android e iOS. Durante as análises, seus pesquisadores descobriram que o malware está presente até mesmo na App Store, a loja de aplicativos da Apple.

Os pesquisadores da SophosLabs, William Lee e Xinran Wu, descobriram que os desenvolvedores de malware estão introduzindo ferramentas que lhes permitem criar novas espécies de softwares mal-intencionados para todas as principais plataformas móveis do mercado.

Como eles explicam no artigo “Cross-Platform Mobile Malware: Write Once, Run Everywhere“: “os pesquisadores de segurança atualmente estão enfrentando desafios maiores na análise e detecção de malware móvel, pois as ferramentas multiplataforma permitem também ocultar seu código malicioso”.

William e Xinran analisaram as estruturas de pacotes de algumas amostras de malwares de diversas plataformas mobile, e apresentaram uma solução para a identificação desse tipo de framework, quando um aplicativo escreve assinaturas de detecção de malware com base nesses frameworks.

Novos métodos para testar efetivamente as defesas do APT

Sobre o parecer de “ameaças persistentes avançadas” (APTs),  tem sido gerada uma grande controvérsia nos círculos de segurança.

De acordo com o texto publicado, muitas soluções de segurança como as da Sophos entre outras, oferecem proteção contra APTs. Todavia, mesmo que um APT não deva ser considerado “avançado” ao ponto de comprometer um alvo, os atacantes APT serão “persistentes” e irão continuar tentando até encontrar uma brecha de segurança para contornar as defesas, relataram os pesquisadores.

Como os ataques APT são ameaças dinâmicas, medir e comparar as defesas do APT é um problema para os testadores independentes.

A SophosLabs e o Dennis Technology Labs, do Instituto de Tecnologia da Flórida, apresentaram uma solução descrita no artigo Effectively Testing APT Defences.

Nele, os pesquisadores falam sobre alguns potenciais caminhos a seguir que podem ajudar os testadores a desenvolver cenários de ataque do mundo real para testar as defesas do APT.

Analisando recursos de segurança no Android 5.0 Lollipop

No período que antecedeu a conferência VB 2015, foram feitas pesquisas baseadas na atual versão do Google Android, que apresenta uma série de novos recursos de segurança.

Os pesquisadores da SophosLabs mergulharam profundamente no Android 5.0 (Lollipop) para descobrir se o SEAndroid e a conteinerização poderiam ser a resposta às preocupações de segurança em um ambiente empresarial cada vez mais “BYOD” (Bring Your Own Device), que é o uso de dispositivos pessoais no ambiente de trabalho.

Conforme explicado no documento, SEAndroid significa “Aprimoramentos de Segurança para o Android”, o que reforça as políticas de segurança de todo o sistema. E “conteinerização” refere-se à separação de dados em uma zona criptografada no dispositivo, e à capacidade de gerenciar o acesso à zona.

No entanto, William Rowland analisando profundamente o panorama do malware Android (PUA), o identificou como “aplicação potencialmente indesejada”, e demonstra que o SEAndroid e a conteinerização têm seus limites e ainda podem ser explorados, e parecem estar seguindo os passos do já conhecido malware de sistemas operacionais Windows.

Usando um sistema automatizado para analisar malwares bancários

Em seu documento final, apresentado pela SophosLabs no VB 2015, o pesquisador de ameaças sênior James Wyke detalha como desenvolveu um sistema para automatizar a extração de dados de vários malwares bancários como Vawtrak, Dyreza e Dridex.

No trabalho de pesquisa intitulado Breaking the Bank(er): Automated Configuration Data Extraction from Banking Malware, James explica que a extração de dados é uma tarefa demorada e repetitiva, e que é melhor deixar para os sistemas, permitindo que os analistas de segurança concentrem-se na parte mais complexa de análise.

Ele descreve o sistema automatizado, construído sobre um programa chamado sandboxing Cuckoo, e como ele extrai e processa os dados antes de enviá-lo a outros sistemas para análise.

James dá exemplos de como a extração automatizada de dados ajuda a compreender informações sobre diversos malwares, e como podemos usá-las para detectar as variantes futuras e construir uma proteção mais robusta.

E, então, ficou curioso para saber mais sobre todos os desenvolvimentos e descobertas da SophosLabs? Acesse a página da SophosLabs.

Você sabe que a InfoLink é especializada em segurança corporativa e parceira Sophos na América Latina?

Solicite agora mesmo  o contato de um de nossos consultores para conhecer mais sobre as soluções de EndPoint, UTM, entre outras.

Leia também