Se ha observado una nueva campa\u00f1a maliciosa que utiliza aplicaciones maliciosas de Android para robar mensajes SMS de los usuarios desde al menos febrero de 2022 como parte de una campa\u00f1a a gran escala.<\/p>\n
Las aplicaciones maliciosas, que abarcan m\u00e1s de 107.000 muestras \u00fanicas, est\u00e1n dise\u00f1adas para interceptar contrase\u00f1as de un solo uso (OTP) utilizadas para la verificaci\u00f3n de cuentas en l\u00ednea para cometer fraude de identidad.<\/p>\n
“De esas 107.000 muestras de malware, m\u00e1s de 99.000 de estas aplicaciones son\/eran desconocidas y no est\u00e1n disponibles en repositorios generalmente disponibles”, dijo la empresa de seguridad m\u00f3vil Zimperium. dicho<\/a> En un informe compartido con The Hacker News, se afirma que “este malware estaba monitoreando mensajes de contrase\u00f1as de un solo uso en m\u00e1s de 600 marcas globales, y algunas de ellas contaban con cientos de millones de usuarios”.<\/p>\n Se han detectado v\u00edctimas de la campa\u00f1a en 113 pa\u00edses, con India y Rusia encabezando la lista, seguidos de Brasil, M\u00e9xico, Estados Unidos, Ucrania, Espa\u00f1a y Turqu\u00eda.<\/p>\n El punto de partida del ataque es la instalaci\u00f3n de una aplicaci\u00f3n maliciosa que enga\u00f1a a la v\u00edctima para que la instale. instalando en su dispositivo<\/a> ya sea a trav\u00e9s de anuncios enga\u00f1osos que imitan los listados de aplicaciones de Google Play Store o cualquiera de los 2.600 bots de Telegram que sirven como canal de distribuci\u00f3n haci\u00e9ndose pasar por servicios leg\u00edtimos (por ejemplo, Microsoft Word).<\/p>\n Una vez instalada, la aplicaci\u00f3n solicita permiso para acceder a los mensajes SMS entrantes, tras lo cual se comunica con uno de los 13 servidores de comando y control (C2) para transmitir los mensajes SMS robados.<\/p>\n “El malware permanece oculto y monitorea constantemente los nuevos mensajes SMS entrantes”, dijeron los investigadores. “Su objetivo principal son los OTP utilizados para la verificaci\u00f3n de cuentas en l\u00ednea”.<\/p>\n Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la operaci\u00f3n, aunque se ha observado que los actores de la amenaza aceptan varios m\u00e9todos de pago, incluida la criptomoneda, para impulsar un servicio llamado Fast SMS (fastsms).[.]su) que permite a los clientes comprar acceso a n\u00fameros telef\u00f3nicos virtuales.<\/p>\n Es probable que los n\u00fameros de tel\u00e9fono asociados a los dispositivos infectados se est\u00e9n utilizando sin el conocimiento del propietario para registrarse en varias cuentas en l\u00ednea mediante la recopilaci\u00f3n de las OTP necesarias para la autenticaci\u00f3n de dos factores (2FA).<\/p>\n A principios de 2022, Trend Micro arroj\u00f3 luz sobre un servicio similar con motivaciones financieras que acorralaba dispositivos Android en una botnet que pod\u00eda usarse para “registrar cuentas desechables en masa o crear cuentas verificadas por tel\u00e9fono para realizar fraudes y otras actividades delictivas”.<\/p>\n “Estas credenciales robadas sirven como trampol\u00edn para otras actividades fraudulentas, como la creaci\u00f3n de cuentas falsas en servicios populares para lanzar campa\u00f1as de phishing o ataques de ingenier\u00eda social”, dijo Zimperium.<\/p>\n Los hallazgos resaltan el continuo abuso de Telegram, una popular aplicaci\u00f3n de mensajer\u00eda instant\u00e1nea con m\u00e1s de 950 millones de usuarios activos mensuales, por parte de actores maliciosos con diferentes prop\u00f3sitos que van desde la propagaci\u00f3n de malware hasta C2.<\/p>\n A principios de este mes, Positive Technologies revel\u00f3 dos familias de ladrones de SMS denominadas SMS Webpro y NotifySmsStealer que apuntan a usuarios de dispositivos Android en Bangladesh, India e Indonesia con el objetivo de desviar mensajes a un bot de Telegram mantenido por los actores de la amenaza.<\/p>\n La empresa rusa de ciberseguridad tambi\u00e9n identific\u00f3 cepas de malware ladrones que se hacen pasar por TrueCaller y ICICI Bank, y son capaces de exfiltrar fotos de los usuarios, informaci\u00f3n del dispositivo y notificaciones a trav\u00e9s de la plataforma de mensajer\u00eda.<\/p>\n “La cadena de infecci\u00f3n comienza con un t\u00edpico ataque de phishing en WhatsApp”, afirma la investigadora de seguridad Varvara Akhapkina dicho<\/a>“Con pocas excepciones, el atacante utiliza sitios de phishing que se hacen pasar por bancos para lograr que los usuarios descarguen aplicaciones de ellos”.<\/p>\n Otro malware que utiliza Telegram como servidor C2 es TgRAT<\/a>un troyano de acceso remoto de Windows que recientemente se actualiz\u00f3 para incluir una variante de Linux. Est\u00e1 equipado para descargar archivos, tomar capturas de pantalla y ejecutar comandos de forma remota.<\/p>\n “Telegram se utiliza ampliamente como mensajer\u00eda corporativa en muchas empresas”, Doctor Web dicho<\/a>“Por lo tanto, no es sorprendente que los actores de amenazas puedan usarlo como un vector para distribuir malware y robar informaci\u00f3n confidencial: la popularidad del programa y el tr\u00e1fico rutinario a los servidores de Telegram hacen que sea f\u00e1cil disfrazar el malware en una red comprometida”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Los-cibercriminales-implementan-mas-de-100000-aplicaciones-de-malware-para.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n