{"id":1353167,"date":"2024-09-09T09:18:16","date_gmt":"2024-09-09T09:18:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-malware-spyagent-para-android-utiliza-ocr-para-robar-claves-de-recuperacion-de-billeteras-criptograficas\/"},"modified":"2024-09-09T09:18:20","modified_gmt":"2024-09-09T09:18:20","slug":"el-nuevo-malware-spyagent-para-android-utiliza-ocr-para-robar-claves-de-recuperacion-de-billeteras-criptograficas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-malware-spyagent-para-android-utiliza-ocr-para-robar-claves-de-recuperacion-de-billeteras-criptograficas\/","title":{"rendered":"El nuevo malware SpyAgent para Android utiliza OCR para robar claves de recuperaci\u00f3n de billeteras criptogr\u00e1ficas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>9 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad m\u00f3vil \/ Criptomonedas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los usuarios de dispositivos Android en Corea del Sur se han convertido en el objetivo de una nueva campa\u00f1a de malware m\u00f3vil que ofrece un nuevo tipo de amenaza denominada Agente esp\u00eda<\/strong>.<\/p>\n

El malware “se enfoca en las claves mnemot\u00e9cnicas al escanear im\u00e1genes en su dispositivo que puedan contenerlas”, dijo el investigador de McAfee Labs, SangRyol Ryu. dicho<\/a> En un an\u00e1lisis, se agreg\u00f3 que la cobertura de la focalizaci\u00f3n se ha ampliado para incluir al Reino Unido.<\/p>\n

La campa\u00f1a utiliza aplicaciones falsas de Android que se hacen pasar por aplicaciones bancarias, de servicios p\u00fablicos, de streaming y de servicios p\u00fablicos aparentemente leg\u00edtimas, con el fin de enga\u00f1ar a los usuarios para que las instalen. Desde principios de a\u00f1o se han detectado hasta 280 aplicaciones falsas.<\/p>\n

Todo comienza con mensajes SMS con enlaces enga\u00f1osos que instan a los usuarios a descargar las aplicaciones en cuesti\u00f3n en forma de archivos APK alojados en sitios enga\u00f1osos. Una vez instaladas, est\u00e1n dise\u00f1adas para solicitar permisos intrusivos para recopilar datos de los dispositivos.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Esto incluye contactos, mensajes SMS, fotos y otra informaci\u00f3n del dispositivo, todo lo cual luego se filtra a un servidor externo bajo el control del actor de la amenaza.<\/p>\n

\"Programa<\/a><\/div>\n

La caracter\u00edstica m\u00e1s notable es su capacidad de aprovechar el reconocimiento \u00f3ptico de caracteres (OCR) para robar claves mnemot\u00e9cnicas, que se refieren a una frase de recuperaci\u00f3n o semilla que permite a los usuarios recuperar el acceso a sus billeteras de criptomonedas.<\/p>\n

Por lo tanto, el acceso no autorizado a las claves mnemot\u00e9cnicas podr\u00eda permitir a los actores de amenazas tomar el control de las billeteras de las v\u00edctimas y desviar todos los fondos almacenados en ellas.<\/p>\n

McAfee Labs dijo que la infraestructura de comando y control (C2) sufr\u00eda graves fallas de seguridad que no s\u00f3lo permit\u00edan navegar al directorio ra\u00edz del sitio sin autenticaci\u00f3n, sino que tambi\u00e9n dejaban expuestos los datos recopilados de las v\u00edctimas.<\/p>\n

El servidor tambi\u00e9n alberga un panel de administrador que act\u00faa como una ventanilla \u00fanica para controlar de forma remota los dispositivos infectados. La presencia de un dispositivo Apple iPhone con iOS 15.8.2 y el idioma del sistema configurado en chino simplificado (“zh”) en el panel es una se\u00f1al de que tambi\u00e9n puede estar apuntando a usuarios de iOS.<\/p>\n

\"Programa<\/a><\/div>\n

“Originalmente, el malware se comunicaba con su servidor de comando y control (C2) a trav\u00e9s de simples solicitudes HTTP”, dijo Ryu. “Si bien este m\u00e9todo era efectivo, tambi\u00e9n era relativamente f\u00e1cil para las herramientas de seguridad rastrearlo y bloquearlo”.<\/p>\n

“En un cambio t\u00e1ctico significativo, el malware ha adoptado ahora conexiones WebSocket para sus comunicaciones. Esta actualizaci\u00f3n permite interacciones bidireccionales, en tiempo real y m\u00e1s eficientes con el servidor C2 y lo ayuda a evitar ser detectado por las herramientas tradicionales de monitoreo de red basadas en HTTP”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

El desarrollo se produce poco m\u00e1s de un mes despu\u00e9s de que Group-IB expusiera otro troyano de acceso remoto (RAT) de Android conocido como RATA de Craxs<\/a> Los ataques se han dirigido a usuarios bancarios en Malasia desde al menos febrero de 2024 mediante sitios web de phishing. Cabe se\u00f1alar que tambi\u00e9n se ha descubierto que las campa\u00f1as de CraxsRAT se han dirigido a Singapur a m\u00e1s tardar en abril de 2023.<\/p>\n

“CraxsRAT es una notoria familia de malware de herramientas de administraci\u00f3n remota (RAT) de Android que incluye control remoto de dispositivos y capacidades de software esp\u00eda, incluyendo registro de teclas, realizaci\u00f3n de gestos, grabaci\u00f3n de c\u00e1maras, pantallas y llamadas”, dijo la compa\u00f1\u00eda de Singapur. dicho<\/a>.<\/p>\n

“Las v\u00edctimas que descargaron las aplicaciones que contienen el malware para Android CraxsRAT experimentar\u00e1n fuga de credenciales y retiro ileg\u00edtimo de sus fondos”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n