Los investigadores descubren el servicio Darknet que permite a los piratas informáticos trojonizar aplicaciones legítimas de Android


08 de diciembre de 2022Ravie LakshmanánSeguridad móvil / Malware de Android

Los investigadores han arrojado luz sobre una nueva campaña de malware híbrido dirigida a los sistemas operativos Android y Windows en un intento por expandir su grupo de víctimas.

Los ataques implican el uso de diferentes programas maliciosos como ERMAC, erbioAurora y Laplas, según un Informe Threat Fabric compartido con The Hacker News.

“Esta campaña resultó en miles de víctimas”, dijo la compañía holandesa de ciberseguridad, y agregó: “El ladrón de erbio extrajo con éxito datos de más de 1300 víctimas”.

La seguridad cibernética

Las infecciones de ERMAC comienzan con un sitio web fraudulento que afirma ofrecer un software de autorización de Wi-Fi para Android y Windows que, cuando se instala, viene con funciones para robar frases iniciales de billeteras criptográficas y otros datos confidenciales.

Software malicioso de Android
Software malicioso de Android

ThreatFabric dijo que también encontró una serie de aplicaciones maliciosas que eran versiones troyanizadas de aplicaciones legítimas como Instagram, y los operadores las usaban como goteros para entregar la carga maliciosa ofuscada.

Se dice que las aplicaciones maliciosas, denominadas Zombinder, se desarrollaron utilizando un servicio de vinculación de APK anunciado en la web oscura por un conocido actor de amenazas desde marzo de 2022.

Estas aplicaciones zombi se han utilizado para distribuir troyanos bancarios de Android como SOVA y Xenomorph dirigidos a clientes en España, Portugal y Canadá, entre otros.

Curiosamente, la opción de descarga para Windows en el sitio web trampa explosiva que distribuye ERMAC está diseñada para implementar los ladrones de información Erbium y Aurora en el sistema comprometido.

erbioque es un malware como servicio (MaaS) con licencia por $ 1,000 por año, no solo roba contraseñas e información de tarjetas de crédito, sino que también se ha observado que actúa como un conducto para dejar caer el clipper Laplas que se usa para secuestrar transacciones criptográficas.

“La presencia de una variedad tan amplia de troyanos también podría indicar que la página de inicio maliciosa es utilizada por múltiples actores y se les proporciona como parte de un servicio de distribución de terceros”, teorizaron los investigadores.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57