Una campa\u00f1a de malware para Android dirigida a bancos iran\u00edes ha ampliado sus capacidades e incorporado t\u00e1cticas de evasi\u00f3n adicionales para pasar desapercibidas.<\/p>\n
Esto es seg\u00fan un nuevo informe de Zimperium, que descubri\u00f3 m\u00e1s de 200 aplicaciones maliciosas<\/a> asociado con la operaci\u00f3n maliciosa, y tambi\u00e9n se observ\u00f3 que el actor de amenazas llevaba a cabo ataques de phishing contra las instituciones financieras objetivo.<\/p>\n La campa\u00f1a sali\u00f3 a la luz por primera vez a finales de julio de 2023, cuando Sophos detall\u00f3 un grupo de 40 aplicaciones de recolecci\u00f3n de credenciales dirigidas a clientes de Bank Mellat, Bank Saderat, Resalat Bank y el Banco Central de Ir\u00e1n.<\/p>\n El objetivo principal de las aplicaciones falsas es enga\u00f1ar a las v\u00edctimas para que les otorguen amplios permisos, as\u00ed como recopilar credenciales de inicio de sesi\u00f3n bancarias y detalles de tarjetas de cr\u00e9dito abusando de los servicios de accesibilidad de Android.<\/p>\n “Las correspondientes versiones leg\u00edtimas de las aplicaciones maliciosas est\u00e1n disponibles en Cafe Bazaar, un mercado iran\u00ed de Android, y tienen millones de descargas”, dijo en ese momento el investigador de Sophos, Pankaj Kohli.<\/p>\n “Por otro lado, las imitaciones maliciosas estaban disponibles para descargar desde una gran cantidad de dominios relativamente nuevos, algunos de los cuales los actores de amenazas tambi\u00e9n utilizaban como servidores C2”.<\/p>\n Curiosamente, tambi\u00e9n se ha observado que algunos de estos dominios ofrecen p\u00e1ginas HTML de phishing dise\u00f1adas para robar credenciales de usuarios m\u00f3viles.<\/p>\n Los \u00faltimos hallazgos de Zimperio<\/a> ilustran la evoluci\u00f3n continua de la amenaza, no s\u00f3lo en t\u00e9rminos de un conjunto m\u00e1s amplio de bancos espec\u00edficos y aplicaciones de billeteras de criptomonedas, sino tambi\u00e9n de la incorporaci\u00f3n de caracter\u00edsticas no documentadas previamente que la hacen m\u00e1s potente.<\/p>\n Esto incluye el uso del servicio de accesibilidad para otorgarle permisos adicionales para interceptar mensajes SMS, evitar la desinstalaci\u00f3n y hacer clic en elementos de la interfaz de usuario.<\/p>\n Tambi\u00e9n se ha descubierto que algunas variantes del malware acceden a un archivo README dentro de los repositorios de GitHub para extraer una versi\u00f3n codificada en Base64 del servidor de comando y control (C2) y las URL de phishing.<\/p>\n “Esto permite a los atacantes responder r\u00e1pidamente a los sitios de phishing que est\u00e1n siendo eliminados actualizando el repositorio de GitHub, asegurando que las aplicaciones maliciosas siempre obtengan el \u00faltimo sitio de phishing activo”, dijeron los investigadores de Zimperium, Aazim Yaswant y Vishnu Pratapagiri.<\/p>\n Otra t\u00e1ctica digna de menci\u00f3n es el uso de servidores C2 intermedios para alojar archivos de texto que contienen cadenas codificadas que apuntan a sitios de phishing.<\/p>\n Si bien hasta ahora la campa\u00f1a ha centrado sus ojos en Android, hay evidencia de que el sistema operativo iOS de Apple tambi\u00e9n es un objetivo potencial debido al hecho de que los sitios de phishing verifican si la p\u00e1gina se abre mediante un dispositivo iOS y, de ser as\u00ed, dirigen el v\u00edctima de un sitio web que imita la versi\u00f3n iOS de la aplicaci\u00f3n Bank Saderat Iran.<\/p>\n Actualmente no est\u00e1 claro si la campa\u00f1a de iOS se encuentra en etapas de desarrollo o si las aplicaciones se distribuyen a trav\u00e9s de una fuente a\u00fan no identificada.<\/p>\n Las campa\u00f1as de phishing no son menos sofisticadas y se hacen pasar por sitios web reales para filtrar credenciales, n\u00fameros de cuenta, modelos de dispositivos y direcciones IP a dos canales de Telegram controlados por actores.<\/p>\n “Es evidente que el malware moderno se est\u00e1 volviendo m\u00e1s sofisticado y los objetivos se est\u00e1n expandiendo, por lo que la visibilidad y la protecci\u00f3n del tiempo de ejecuci\u00f3n son cruciales para las aplicaciones m\u00f3viles”, dijeron los investigadores.<\/p>\n El desarrollo se produce poco m\u00e1s de un mes despu\u00e9s de que Fingerprint demostrara un m\u00e9todo mediante el cual aplicaciones maliciosas de Android pueden acceder y copiar sigilosamente los datos del portapapeles aprovechando el SISTEMA_ALERT_WINDOW<\/a> permiso para ocultar la notificaci\u00f3n del sistema que se muestra cuando una aplicaci\u00f3n en particular lee datos del portapapeles.<\/p>\n “Es posible sobregirar un brindis ya sea con un brindis diferente o con cualquier otra vista, ocultar completamente el brindis original puede evitar que el usuario sea notificado de las acciones del portapapeles”, Fingerprint dicho<\/a>. “Cualquier aplicaci\u00f3n con el permiso SYSTEM_ALERT_WINDOW puede leer los datos del portapapeles sin notificar al usuario”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Mas-de-200-aplicaciones-maliciosas-de-Android-dirigidas-a-bancos.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n