{"id":1519683,"date":"2025-01-06T20:42:44","date_gmt":"2025-01-06T20:42:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-firescam-para-android-se-hace-pasar-por-telegram-premium-para-robar-datos-y-controlar-dispositivos\/"},"modified":"2025-01-06T20:42:49","modified_gmt":"2025-01-06T20:42:49","slug":"el-malware-firescam-para-android-se-hace-pasar-por-telegram-premium-para-robar-datos-y-controlar-dispositivos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-firescam-para-android-se-hace-pasar-por-telegram-premium-para-robar-datos-y-controlar-dispositivos\/","title":{"rendered":"El malware FireScam para Android se hace pasar por Telegram Premium para robar datos y controlar dispositivos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware\/Seguridad M\u00f3vil<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/El-malware-FireScam-para-Android-se-hace-pasar-por-Telegram.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un malware que roba informaci\u00f3n de Android llamado <strong>Estafa de fuego<\/strong> Se ha descubierto que se hace pasar por una versi\u00f3n premium de la aplicaci\u00f3n de mensajer\u00eda Telegram para robar datos y mantener un control remoto persistente sobre los dispositivos comprometidos.<\/p>\n<p>&#8220;Disfrazada de una aplicaci\u00f3n &#8216;Telegram Premium&#8217; falsa, se distribuye a trav\u00e9s de un sitio de phishing alojado en GitHub.io que se hace pasar por RuStore, una tienda de aplicaciones popular en la Federaci\u00f3n Rusa&#8221;, Cyfirma <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyfirma.com\/research\/inside-firescam-an-information-stealer-with-spyware-capabilities\/\" target=\"_blank\">dicho<\/a>describi\u00e9ndola como una &#8220;amenaza sofisticada y multifac\u00e9tica&#8221;.<\/p>\n<p>&#8220;El malware emplea un proceso de infecci\u00f3n de varias etapas, que comienza con un APK cuentagotas y realiza extensas actividades de vigilancia una vez instalado&#8221;.<\/p>\n<p>El sitio de phishing en cuesti\u00f3n, rustore-apk.github[.]io, imita a RuStore, una tienda de aplicaciones lanzada por el gigante tecnol\u00f3gico ruso VK en el pa\u00eds, y est\u00e1 dise\u00f1ada para entregar un archivo APK con cuentagotas (&#8220;GetAppsRu.apk&#8221;).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una vez instalado, el cuentagotas act\u00faa como un veh\u00edculo de entrega para la carga \u00fatil principal, que es responsable de filtrar datos confidenciales, incluidas notificaciones, mensajes y otros datos de aplicaciones, a un punto final de Firebase Realtime Database.<\/p>\n<p>La aplicaci\u00f3n cuentagotas solicita varios permisos, incluida la capacidad de escribir en un almacenamiento externo e instalar, actualizar o eliminar aplicaciones arbitrarias en dispositivos Android infectados que ejecutan Android 8 y versiones posteriores.<\/p>\n<p>&#8220;El permiso ENFORCE_UPDATE_OWNERSHIP restringe las actualizaciones de la aplicaci\u00f3n al propietario designado de la aplicaci\u00f3n. El instalador inicial de una aplicaci\u00f3n puede declararse el &#8216;propietario de la actualizaci\u00f3n&#8217;, controlando as\u00ed las actualizaciones de la aplicaci\u00f3n&#8221;, se\u00f1al\u00f3 Cyfirma.<\/p>\n<p>&#8220;Este mecanismo garantiza que los intentos de actualizaci\u00f3n por parte de otros instaladores requieran la aprobaci\u00f3n del usuario antes de continuar. Al designarse como propietario de la actualizaci\u00f3n, una aplicaci\u00f3n maliciosa puede impedir actualizaciones leg\u00edtimas de otras fuentes, manteniendo as\u00ed su persistencia en el dispositivo&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736196163_889_El-malware-FireScam-para-Android-se-hace-pasar-por-Telegram.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736196163_889_El-malware-FireScam-para-Android-se-hace-pasar-por-Telegram.png\" alt=\"Software malicioso FireScam para Android\" border=\"0\" data-original-height=\"437\" data-original-width=\"728\" title=\"Software malicioso FireScam para Android\"\/><\/a><\/div>\n<p>FireScam emplea varias t\u00e9cnicas de ofuscaci\u00f3n y antian\u00e1lisis para evadir la detecci\u00f3n. Tambi\u00e9n controla las notificaciones entrantes, los cambios de estado de la pantalla, las transacciones de comercio electr\u00f3nico, el contenido del portapapeles y la actividad del usuario para recopilar informaci\u00f3n de inter\u00e9s. Otra funci\u00f3n notable es su capacidad para descargar y procesar datos de im\u00e1genes desde una URL espec\u00edfica.<\/p>\n<p>La aplicaci\u00f3n fraudulenta Telegram Premium, cuando se inicia, solicita adem\u00e1s el permiso de los usuarios para acceder a listas de contactos, registros de llamadas y mensajes SMS, despu\u00e9s de lo cual se muestra una p\u00e1gina de inicio de sesi\u00f3n para el sitio web leg\u00edtimo de Telegram a trav\u00e9s de WebView para robar las credenciales. El proceso de recopilaci\u00f3n de datos se inicia independientemente de si la v\u00edctima inicia sesi\u00f3n o no.<\/p>\n<p>Por \u00faltimo, registra un servicio para recibir notificaciones de Firebase Cloud Messaging (FCM), lo que le permite recibir comandos remotos y mantener un acceso encubierto, una se\u00f1al de las amplias capacidades de monitoreo del malware. El malware tambi\u00e9n establece simult\u00e1neamente una conexi\u00f3n WebSocket con su servidor de comando y control (C2) para la filtraci\u00f3n de datos y actividades de seguimiento.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cyfirma dijo que el dominio de phishing tambi\u00e9n alojaba otro artefacto malicioso llamado CDEK, que probablemente sea una referencia a un servicio de seguimiento de paquetes y entregas con sede en Rusia. Sin embargo, la empresa de ciberseguridad dijo que no pudo obtener el artefacto en el momento del an\u00e1lisis.<\/p>\n<p>Actualmente no est\u00e1 claro qui\u00e9nes son los operadores, ni c\u00f3mo se dirige a los usuarios a estos enlaces, ni si se trata de t\u00e9cnicas de phishing o publicidad maliciosa por SMS.<\/p>\n<p>&#8220;Al imitar plataformas leg\u00edtimas como la tienda de aplicaciones RuStore, estos sitios web maliciosos explotan la confianza del usuario para enga\u00f1ar a las personas para que descarguen e instalen aplicaciones falsas&#8221;, dijo Cyfirma.<\/p>\n<p>&#8220;FireScam lleva a cabo sus actividades maliciosas, incluida la exfiltraci\u00f3n de datos y la vigilancia, lo que demuestra a\u00fan m\u00e1s la eficacia de los m\u00e9todos de distribuci\u00f3n basados \u200b\u200ben phishing para infectar dispositivos y evadir la detecci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/firescam-android-malware-poses-as.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de enero de 2025\ue804Ravie LakshmananMalware\/Seguridad M\u00f3vil Un malware que roba informaci\u00f3n de Android llamado Estafa de fuego<\/p>\n","protected":false},"author":1,"featured_media":1519684,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8514,4661,4664,2812,1755,5718,271120,1740,201033,4669,4654,201031,4659,4653,4655,18,8149,231,11273,26365,246983,255454,246984,201032,10368,246982,4660],"class_list":["post-1519683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-ataques-ciberneticos","tag-como-hackear","tag-controlar","tag-datos","tag-dispositivos","tag-firescam","tag-hace","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-pasar","tag-por","tag-premium","tag-robar","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-telegram","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1519683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1519683"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1519683\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1519684"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1519683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1519683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1519683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}