Un nuevo troyano de acceso remoto (RAT) de código abierto llamado DogeRAT se dirige a los usuarios de Android ubicados principalmente en la India como parte de una sofisticada campaña de malware.
El malware se distribuye a través de redes sociales y plataformas de mensajería bajo la apariencia de aplicaciones legítimas como Opera Mini, OpenAI ChatGOT y versiones Premium de YouTube, Netflix e Instagram.
«Una vez instalado en el dispositivo de una víctima, el malware obtiene acceso no autorizado a datos confidenciales, incluidos contactos, mensajes y credenciales bancarias», firma de seguridad cibernética CloudSEK. dicho en un informe del lunes.
«También puede tomar el control del dispositivo infectado, permitiendo acciones maliciosas como enviar mensajes de spam, realizar pagos no autorizados, modificar archivos e incluso capturar fotos de forma remota a través de las cámaras del dispositivo».
DogeRAT, como muchas otras ofertas de malware como servicio (MaaS), es promovida por su desarrollador con sede en India a través de un canal de Telegram que tiene más de 2100 suscriptores desde que se creó el 9 de junio de 2022.
Esto también incluye una suscripción premium que se vende a precios muy económicos ($30) con capacidades adicionales como tomar capturas de pantalla, robar imágenes, capturar contenido del portapapeles y registrar pulsaciones de teclas.
En un nuevo intento de hacerlo más accesible para otros actores criminales, la versión gratuita de DogeRAT está disponible en GitHub, junto con capturas de pantalla y tutoriales en video que muestran sus funciones.
«No respaldamos ningún uso ilegal o poco ético de esta herramienta», afirma el desarrollador en el archivo README.md del repositorio. «El usuario asume toda la responsabilidad por el uso de este software».
Tras la instalación, el malware basado en Java solicita permisos intrusivos para realizar sus objetivos de recopilación de datos, antes de filtrarlo a un bot de Telegram.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«Esta campaña es un claro recordatorio de la motivación financiera que impulsa a los estafadores a desarrollar continuamente sus tácticas», dijo el investigador de CloudSEK, Anshuman Das.
«No solo se limitan a crear sitios web de phishing, sino que también distribuyen RAT modificados o reutilizan aplicaciones maliciosas para ejecutar campañas de estafa que son de bajo costo y fáciles de configurar, pero que generan altos rendimientos».
Los hallazgos se producen cuando Mandiant, propiedad de Google, detalló una nueva puerta trasera de Android llamada LEMONJUICE que está diseñada para permitir el control remoto y el acceso a un dispositivo comprometido.
«El malware es capaz de rastrear la ubicación del dispositivo, grabar el micrófono, recuperar listas de contactos, acceder a registros de llamadas, SMS, portapapeles y notificaciones, ver aplicaciones instaladas, descargar y cargar archivos, ver el estado de conectividad y ejecutar comandos adicionales desde el servidor C2. «, investigador Jared Wilson dicho.
En un desarrollo relacionado, Doctor Web descubrió más de 100 aplicaciones que contiene un componente de software espía llamado SpinOk que se ha descargado colectivamente más de 421 millones de veces a través de Google Play Store.
El móduloque se distribuye como un kit de desarrollo de software (SDK) de marketing, está diseñado para recopilar información confidencial almacenada en los dispositivos y copiar y sustituir el contenido del portapapeles.
Algunas de las aplicaciones más populares que contienen el troyano SpinOk son Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM y Tick.