{"id":1472894,"date":"2024-12-05T16:30:33","date_gmt":"2024-12-05T16:30:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/este-troyano-de-android-de-3-000-dolares-esta-dirigido-a-bancos-y-casas-de-cambio-de-criptomonedas\/"},"modified":"2024-12-05T16:30:38","modified_gmt":"2024-12-05T16:30:38","slug":"este-troyano-de-android-de-3-000-dolares-esta-dirigido-a-bancos-y-casas-de-cambio-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/este-troyano-de-android-de-3-000-dolares-esta-dirigido-a-bancos-y-casas-de-cambio-de-criptomonedas\/","title":{"rendered":"Este troyano de Android de 3.000 d\u00f3lares est\u00e1 dirigido a bancos y casas de cambio de criptomonedas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Criptomoneda \/ Seguridad M\u00f3vil<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Hasta 77 instituciones bancarias, intercambios de criptomonedas y organizaciones nacionales se han convertido en el objetivo de un troyano de acceso remoto (RAT) de Android recientemente descubierto llamado DroidBot<\/strong>.<\/p>\n

“DroidBot es un RAT moderno que combina VNC oculto y t\u00e9cnicas de ataque de superposici\u00f3n con capacidades similares a las del software esp\u00eda, como el registro de teclas y la supervisi\u00f3n de la interfaz de usuario”, afirman los investigadores de Cleafy Simone Mattia, Alessandro Strino y Federico Valentini. dicho<\/a>.<\/p>\n

“Adem\u00e1s, aprovecha la comunicaci\u00f3n de doble canal, transmitiendo datos salientes a trav\u00e9s de MQTT<\/a> y recibir comandos entrantes a trav\u00e9s de HTTPS, lo que proporciona mayor flexibilidad y resistencia operativa”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La empresa italiana de prevenci\u00f3n de fraudes dijo que descubri\u00f3 el malware a finales de octubre de 2024, aunque hay evidencia que sugiere que ha estado activo desde al menos junio, operando bajo un modelo de malware como servicio (MaaS) por una tarifa mensual de $3,000.<\/p>\n

\"Troyano<\/a><\/div>\n

Se han identificado no menos de 17 grupos de afiliados que pagan por el acceso a la oferta. Esto tambi\u00e9n incluye el acceso a un panel web desde donde pueden modificar la configuraci\u00f3n para crear archivos APK personalizados que incorporen el malware, as\u00ed como interactuar con los dispositivos infectados emitiendo varios comandos.<\/p>\n

Se han observado campa\u00f1as que aprovechan DroidBot principalmente en Austria, B\u00e9lgica, Francia, Italia, Portugal, Espa\u00f1a, Turqu\u00eda y el Reino Unido. Las aplicaciones maliciosas est\u00e1n disfrazadas de aplicaciones de seguridad gen\u00e9ricas, Google Chrome o aplicaciones bancarias populares.<\/p>\n

Si bien el malware se basa en gran medida en abusar de los servicios de accesibilidad de Android para recopilar datos confidenciales y controlar de forma remota el dispositivo Android, se destaca por aprovechar dos protocolos diferentes de comando y control (C2).<\/p>\n

\"Troyano<\/a><\/div>\n

Espec\u00edficamente, DroidBot emplea HTTPS para los comandos entrantes, mientras que los datos salientes de los dispositivos infectados se transmiten mediante un protocolo de mensajer\u00eda llamado MQTT.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Esta separaci\u00f3n mejora su flexibilidad operativa y resiliencia”, dijeron los investigadores. “El corredor MQTT utilizado por DroidBot est\u00e1 organizado en temas espec\u00edficos que categorizan los tipos de comunicaci\u00f3n intercambiados entre los dispositivos infectados y la infraestructura C2”.<\/p>\n

Se desconocen los or\u00edgenes exactos de los actores de amenazas detr\u00e1s de la operaci\u00f3n, aunque un an\u00e1lisis de las muestras de malware ha revelado que hablan turco.<\/p>\n

“El malware presentado aqu\u00ed puede no brillar desde un punto de vista t\u00e9cnico, ya que es bastante similar a familias de malware conocidas”, se\u00f1alaron los investigadores. “Sin embargo, lo que realmente destaca es su modelo operativo, que se parece mucho a un esquema de malware como servicio (MaaS), algo que no se ve com\u00fanmente en este tipo de amenaza”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n