{"id":1374562,"date":"2024-09-24T19:17:34","date_gmt":"2024-09-24T19:17:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/se-encuentra-malware-necro-para-android-en-aplicaciones-de-camara-y-navegador-populares-en-play-store\/"},"modified":"2024-09-24T19:17:40","modified_gmt":"2024-09-24T19:17:40","slug":"se-encuentra-malware-necro-para-android-en-aplicaciones-de-camara-y-navegador-populares-en-play-store","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/se-encuentra-malware-necro-para-android-en-aplicaciones-de-camara-y-navegador-populares-en-play-store\/","title":{"rendered":"Se encuentra malware Necro para Android en aplicaciones de c\u00e1mara y navegador populares en Play Store"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad m\u00f3vil \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Se-encuentra-malware-Necro-para-Android-en-aplicaciones-de-camara.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se han utilizado versiones alteradas de aplicaciones leg\u00edtimas de Android asociadas con Spotify, WhatsApp y Minecraft para distribuir una nueva versi\u00f3n de un cargador de malware conocido llamado Necro.<\/p>\n<p>Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/necro-trojan-is-back-on-google-play\/113881\/\" target=\"_blank\">dicho<\/a> Algunas de las aplicaciones maliciosas tambi\u00e9n se han encontrado en Google Play Store. Se han descargado 11 millones de veces en total. Entre ellas se incluyen:<\/p>\n<ul>\n<li>Wuta Camera &#8211; Nice Shot Always (com.benqu.wuta) &#8211; M\u00e1s de 10 millones de descargas<\/li>\n<li>Max Browser-Private &#038; Security (com.max.browser): m\u00e1s de 1 mill\u00f3n de descargas<\/li>\n<\/ul>\n<p>Al momento de escribir este art\u00edculo, Max Browser ya no est\u00e1 disponible para descargar desde Play Store. Wuta Camera, por otro lado, se ha actualizado (versi\u00f3n 6.3.7.138) para eliminar el malware. La \u00faltima versi\u00f3n de la aplicaci\u00f3n, 6.3.8.148, se lanz\u00f3 el 8 de septiembre de 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727076560_257_El-nuevo-malware-PondRAT-oculto-en-paquetes-Python-ataca-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Actualmente no est\u00e1 claro c\u00f3mo ambas aplicaciones fueron comprometidas con el malware en primer lugar, aunque se cree que un kit de desarrollo de software (SDK) fraudulento para integrar capacidades publicitarias es el culpable.<\/p>\n<p>Necro (que no debe confundirse con una botnet del mismo nombre) fue descubierto por primera vez por la empresa rusa de ciberseguridad en 2019 cuando estaba oculto dentro de una popular aplicaci\u00f3n de escaneo de documentos llamada CamScanner.<\/p>\n<p>CamScanner m\u00e1s tarde <a rel=\"nofollow noopener\" href=\"https:\/\/thenextweb.com\/news\/malware-found-in-document-scanning-android-app-with-100-million-downloads\" target=\"_blank\">culpado<\/a> el problema estaba en un SDK de publicidad proporcionado por un tercero llamado AdHub que, seg\u00fan dec\u00eda, conten\u00eda un m\u00f3dulo malicioso para recuperar malware de la siguiente etapa desde un servidor remoto, actuando esencialmente como un cargador para todo tipo de malware en los dispositivos de las v\u00edctimas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727205451_492_Se-encuentra-malware-Necro-para-Android-en-aplicaciones-de-camara.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727205451_492_Se-encuentra-malware-Necro-para-Android-en-aplicaciones-de-camara.png\" alt=\"Malware Necro para Android\" border=\"0\" data-original-height=\"537\" data-original-width=\"728\" title=\"Malware Necro para Android\"\/><\/a><\/div>\n<p>La nueva versi\u00f3n del malware no es diferente, aunque incorpora t\u00e9cnicas de ofuscaci\u00f3n para evadir la detecci\u00f3n, aprovechando en particular la esteganograf\u00eda para ocultar sus cargas \u00fatiles.<\/p>\n<p>&#8220;Las cargas \u00fatiles descargadas, entre otras cosas, podr\u00edan mostrar anuncios en ventanas invisibles e interactuar con ellos, descargar y ejecutar archivos DEX arbitrarios e instalar las aplicaciones descargadas&#8221;, dijo el investigador de Kaspersky, Dmitry Kalinin.<\/p>\n<p>Tambi\u00e9n puede &#8220;abrir enlaces arbitrarios en ventanas WebView invisibles y ejecutar cualquier c\u00f3digo JavaScript en ellas, ejecutar un t\u00fanel a trav\u00e9s del dispositivo de la v\u00edctima y potencialmente suscribirse a servicios pagos&#8221;.<\/p>\n<p>Uno de los principales veh\u00edculos de distribuci\u00f3n de Necro son las versiones modificadas de aplicaciones y juegos populares que se encuentran alojados en sitios no oficiales y tiendas de aplicaciones. Una vez descargadas, las aplicaciones inicializan un m\u00f3dulo llamado Coral SDK, que, a su vez, env\u00eda una solicitud HTTP POST a un servidor remoto.<\/p>\n<p>Posteriormente, el servidor responde con un enlace a un supuesto archivo de imagen PNG alojado en adoss.spinsok.[.]com, despu\u00e9s de lo cual el SDK procede a extraer la carga \u00fatil principal (un archivo Java (JAR) codificado en Base64).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727205452_207_Se-encuentra-malware-Necro-para-Android-en-aplicaciones-de-camara.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727205452_207_Se-encuentra-malware-Necro-para-Android-en-aplicaciones-de-camara.png\" alt=\"Malware Necro para Android\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Malware Necro para Android\"\/><\/a><\/div>\n<p>Las funciones maliciosas de Necro se realizan a trav\u00e9s de un conjunto de m\u00f3dulos adicionales (tambi\u00e9n conocidos como complementos) que se descargan desde el servidor de comando y control (C2), lo que le permite realizar una amplia gama de acciones en el dispositivo Android infectado.<\/p>\n<ul>\n<li>NProxy: crea un t\u00fanel a trav\u00e9s del dispositivo de la v\u00edctima<\/li>\n<li>isla &#8211; Genera un n\u00famero pseudoaleatorio que se utiliza como intervalo de tiempo (en milisegundos) entre las visualizaciones de anuncios intrusivos<\/li>\n<li>web &#8211; Contacta peri\u00f3dicamente a un servidor C2 y ejecuta c\u00f3digo arbitrario con permisos elevados al cargar enlaces espec\u00edficos<\/li>\n<li>Cube SDK: un m\u00f3dulo auxiliar que carga otros complementos para gestionar anuncios en segundo plano<\/li>\n<li>Tap &#8211; Descarga c\u00f3digo JavaScript arbitrario y una interfaz WebView del servidor C2 que se encarga de cargar y ver anuncios de forma encubierta<\/li>\n<li>Happy SDK\/Jar SDK: un m\u00f3dulo que combina NProxy y m\u00f3dulos web con algunas diferencias menores<\/li>\n<\/ul>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El descubrimiento de Happy SDK ha planteado la posibilidad de que los actores de amenazas detr\u00e1s de la campa\u00f1a tambi\u00e9n est\u00e9n experimentando con una versi\u00f3n no modular.<\/p>\n<p>&#8220;Esto sugiere que Necro es altamente adaptable y puede descargar diferentes iteraciones de s\u00ed mismo, quiz\u00e1s para introducir nuevas caracter\u00edsticas&#8221;, dijo Kalinin.<\/p>\n<p>Los datos de telemetr\u00eda recopilados por Kaspersky muestran que bloque\u00f3 m\u00e1s de diez mil ataques de Necro en todo el mundo entre el 26 de agosto y el 15 de septiembre de 2024, siendo Rusia, Brasil, Vietnam, Ecuador, M\u00e9xico, Taiw\u00e1n, Espa\u00f1a, Malasia, Italia y Turqu\u00eda los que representaron la mayor cantidad de ataques.<\/p>\n<p>&#8220;Esta nueva versi\u00f3n es un cargador de m\u00faltiples etapas que utiliza esteganograf\u00eda para ocultar la carga \u00fatil de la segunda etapa, una t\u00e9cnica muy rara para el malware m\u00f3vil, as\u00ed como ofuscaci\u00f3n para evadir la detecci\u00f3n&#8221;, dijo Kalinin.<\/p>\n<p>&#8220;La arquitectura modular ofrece a los creadores del troyano una amplia gama de opciones para la entrega masiva y dirigida de actualizaciones del cargador o nuevos m\u00f3dulos maliciosos dependiendo de la aplicaci\u00f3n infectada&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/necro-android-malware-found-in-popular.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de septiembre de 2024\ue804Ravie LakshmananSeguridad m\u00f3vil \/ Malware Se han utilizado versiones alteradas de aplicaciones leg\u00edtimas de<\/p>\n","protected":false},"author":1,"featured_media":1374563,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8514,8343,4661,3238,4664,5194,4667,4669,239182,931,255046,4654,239508,4658,4659,4653,18,8667,18676,246983,4665,246984,1542,246982,239484],"class_list":["post-1374562","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-aplicaciones","tag-ataques-ciberneticos","tag-camara","tag-como-hackear","tag-encuentra","tag-las-noticias-de-los-hackers","tag-malware","tag-malware-ransomware","tag-navegador","tag-necro","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-play","tag-populares","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-store","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1374562","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1374562"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1374562\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1374563"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1374562"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1374562"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1374562"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}