Una falla de seguridad de d\u00eda cero en la aplicaci\u00f3n m\u00f3vil de Telegram para Android llamada EvilVideo hizo posible que los atacantes crearan archivos maliciosos disfrazados de videos de apariencia inofensiva.<\/p>\n
El exploit apareci\u00f3 a la venta por un precio desconocido en un foro clandestino el 6 de junio de 2024, seg\u00fan inform\u00f3 ESET. Tras una divulgaci\u00f3n responsable el 26 de junio, Telegram abord\u00f3 el problema en la versi\u00f3n 10.14.5, publicada el 11 de julio.<\/p>\n
“Los atacantes podr\u00edan compartir cargas \u00fatiles maliciosas de Android a trav\u00e9s de canales, grupos y chats de Telegram, y hacer que aparezcan como archivos multimedia”, dijo el investigador de seguridad Luk\u00e1\u0161 \u0160tefanko dicho<\/a> en un informe.<\/p>\n Se cree que la carga \u00fatil se crea utilizando la interfaz de programaci\u00f3n de aplicaciones de Telegram (API<\/a>), que permite subir archivos multimedia de forma programada a chats y canales. De esta forma, permite a un atacante camuflar un archivo APK malicioso como un video de 30 segundos. <\/p>\n A los usuarios que hacen clic en el v\u00eddeo se les muestra un mensaje de advertencia que indica que el v\u00eddeo no se puede reproducir y se les insta a intentar reproducirlo con un reproductor externo. Si contin\u00faan con el paso, se les solicita posteriormente que permitan la instalaci\u00f3n del archivo APK a trav\u00e9s de Telegram. La aplicaci\u00f3n en cuesti\u00f3n se llama “xHamster Premium Mod”.<\/p>\n “De forma predeterminada, los archivos multimedia recibidos a trav\u00e9s de Telegram est\u00e1n configurados para descargarse autom\u00e1ticamente”, explic\u00f3 \u0160tefanko. “Esto significa que los usuarios que tengan activada esta opci\u00f3n descargar\u00e1n autom\u00e1ticamente el contenido malicioso una vez que abran la conversaci\u00f3n en la que se comparti\u00f3”.<\/p>\n Si bien esta opci\u00f3n se puede desactivar manualmente, el payload a\u00fan se puede descargar tocando el bot\u00f3n de descarga que acompa\u00f1a al supuesto video. Vale la pena se\u00f1alar que el ataque no funciona en los clientes de Telegram para la web ni en la aplicaci\u00f3n dedicada para Windows.<\/p>\n Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s del exploit y cu\u00e1n ampliamente se utiliz\u00f3 en ataques del mundo real. Sin embargo, el mismo actor anunci\u00f3 en enero de 2024 un encriptador de Android totalmente indetectable (tambi\u00e9n conocido como cryptor) que, seg\u00fan se informa, puede eludir Google Play Protect.<\/p>\n El desarrollo se produce mientras los ciberdelincuentes est\u00e1n sacando provecho del juego de criptomonedas basado en Telegram. Kombat de h\u00e1mster<\/a> para obtener ganancias monetarias, con ESET descubriendo tiendas de aplicaciones falsas que promocionan la aplicaci\u00f3n, repositorios de GitHub que alojan Lumma Stealer para Windows bajo la apariencia de herramientas de automatizaci\u00f3n para el juego y un canal de Telegram no oficial que se utiliza para distribuir un troyano de Android llamado Ratel.<\/p>\n El popular juego, que se lanz\u00f3 en marzo de 2024, es estimado<\/a> Seg\u00fan el desarrollador del juego, Telegram tiene m\u00e1s de 250 millones de jugadores. Pavel Durov, director ejecutivo de Telegram, llamado<\/a> Hamster Kombat es el “servicio digital de m\u00e1s r\u00e1pido crecimiento en el mundo” y que “el equipo de Hamster acu\u00f1ar\u00e1 su token en TONELADA<\/a>presentando los beneficios de blockchain a cientos de millones de personas”.<\/p>\n Ratel, que se ofrece a trav\u00e9s de un canal de Telegram llamado “hamster_easy”, est\u00e1 dise\u00f1ado para hacerse pasar por el juego (“Hamster.apk”) y solicita a los usuarios que le concedan acceso a las notificaciones y se configuren como la aplicaci\u00f3n de SMS predeterminada. Posteriormente, inicia el contacto con un servidor remoto para obtener un n\u00famero de tel\u00e9fono como respuesta.<\/p>\n En el siguiente paso, el malware env\u00eda un mensaje SMS en ruso a ese n\u00famero de tel\u00e9fono, probablemente perteneciente a los operadores del malware, para recibir instrucciones adicionales por SMS.<\/p>\n “Los actores de amenazas luego pueden controlar el dispositivo comprometido a trav\u00e9s de SMS: el mensaje del operador puede contener un texto que se enviar\u00e1 a un n\u00famero espec\u00edfico o incluso indicarle al dispositivo que llame al n\u00famero”, dijo ESET. dicho<\/a>El malware tambi\u00e9n es capaz de comprobar el saldo actual de la cuenta bancaria de la v\u00edctima en Sberbank Rusia enviando un mensaje con el texto \u0431\u0430\u043b\u0430\u043d\u0441 (traducci\u00f3n: saldo) al n\u00famero 900.<\/p>\n Ratel abusa de sus permisos de acceso a las notificaciones para ocultarlas de no menos de 200 aplicaciones seg\u00fan una lista codificada integrada en ellas. Se sospecha que esto se hace con el objetivo de suscribir a las v\u00edctimas a varios servicios premium y evitar que reciban alertas.<\/p>\n La empresa de ciberseguridad eslovaca dijo que tambi\u00e9n detect\u00f3 tiendas de aplicaciones falsas que afirmaban ofrecer Hamster Kombat para descargar, pero que en realidad dirig\u00edan a los usuarios a anuncios no deseados, y repositorios de GitHub que ofrec\u00edan herramientas de automatizaci\u00f3n de Hamster Kombat que implementaban Lumma Stealer en su lugar.<\/p>\n “El \u00e9xito de Hamster Kombat tambi\u00e9n ha hecho que aparezcan los cibercriminales, que ya han empezado a distribuir malware contra los jugadores del juego”, afirman \u0160tefanko y Peter Str\u00fd\u010dek. “La popularidad de Hamster Kombat lo convierte en un juego propicio para el abuso, lo que significa que es muy probable que el juego atraiga a m\u00e1s actores maliciosos en el futuro”.<\/p>\n M\u00e1s all\u00e1 de Telegram, los archivos APK maliciosos dirigidos a dispositivos Android tambi\u00e9n han tomado la forma de BadPack, que se refieren a archivos de paquetes especialmente dise\u00f1ados en los que la informaci\u00f3n del encabezado utilizada en el formato de archivo ZIP ha sido alterada en un intento de obstruir el an\u00e1lisis est\u00e1tico.<\/p>\n Con esto, la idea es evitar que el archivo AndroidManifest.xml (un archivo crucial que proporciona informaci\u00f3n esencial sobre la aplicaci\u00f3n m\u00f3vil) se extraiga y analice correctamente, lo que permitir\u00eda instalar artefactos maliciosos sin generar ninguna alarma.<\/p>\n Esta t\u00e9cnica fue documentada extensamente por Kaspersky a principios de abril en relaci\u00f3n con un troyano para Android conocido como SoumniBot que ha atacado a usuarios de Corea del Sur. Los datos de telemetr\u00eda recopilados por la Unidad 42 de Palo Alto Networks desde junio de 2023 hasta junio de 2024 han detectado casi 9200 muestras de BadPack en circulaci\u00f3n, aunque ninguna de ellas se ha encontrado en Google Play Store.<\/p>\n “Estos encabezados alterados son una caracter\u00edstica clave de BadPack, y dichas muestras suelen representar un desaf\u00edo para las herramientas de ingenier\u00eda inversa de Android”, dijo el investigador de la Unidad 42, Lee Wei Yeong. dicho<\/a> En un informe publicado la semana pasada se afirma que “muchos troyanos bancarios basados \u200b\u200ben Android, como BianLian, Cerberus y TeaBot, utilizan BadPack”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Falla-en-la-aplicacion-Telegram-es-explotada-para-propagar-malware.png\")
<\/a><\/center><\/section>\nEl \u00e9xito viral de Hamster Kombat genera un imitador malicioso<\/h3>\n
<\/a><\/div>\nEl malware para Android BadPack se cuela entre las grietas<\/h3>\n