{"id":1665938,"date":"2025-04-11T21:57:56","date_gmt":"2025-04-11T21:57:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/spynote-badbazaar-moonshine-malware-target-android-e-usuarios-de-ios-a-traves-de-aplicaciones-falsas\/"},"modified":"2025-04-11T21:58:01","modified_gmt":"2025-04-11T21:58:01","slug":"spynote-badbazaar-moonshine-malware-target-android-e-usuarios-de-ios-a-traves-de-aplicaciones-falsas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/spynote-badbazaar-moonshine-malware-target-android-e-usuarios-de-ios-a-traves-de-aplicaciones-falsas\/","title":{"rendered":"Spynote, Badbazaar, Moonshine Malware Target Android e usuarios de iOS a trav\u00e9s de aplicaciones falsas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto que los actores de amenaza est\u00e1n configurando sitios web enga\u00f1osos alojados en dominios reci\u00e9n registrados para entregar un malware Android llamado <b>Espinote<\/b>.<\/p>\n<p>Estos sitios web falsos se basan en las p\u00e1ginas de instalaci\u00f3n de Google Play Store para aplicaciones como el navegador web Chrome, lo que indica un intento de enga\u00f1ar a los usuarios desprevenidos para que instalaran el malware.<\/p>\n<p>&#8220;El actor de amenazas utiliz\u00f3 una combinaci\u00f3n de sitios de entrega en ingl\u00e9s y lenguaje chino e incluy\u00f3 comentarios en idioma chino dentro del c\u00f3digo del sitio de entrega y el malware en s\u00ed&#8221;, el equipo de Investigaciones de Doma-Domaols (DTI) <a rel=\"noopener nofollow\" href=\"https:\/\/dti.domaintools.com\/newly-registered-domains-distributing-spynote-malware\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>Spynote (tambi\u00e9n conocido como SpyMax) es un troyano de acceso remoto conocido por su capacidad para cosechar datos confidenciales de dispositivos Android comprometidos al abusar de los servicios de accesibilidad. En mayo de 2024, el malware se propag\u00f3 a trav\u00e9s de otro sitio falso que se hace pasar por una soluci\u00f3n antivirus leg\u00edtima conocida como Avast.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Outlaw-Group-utiliza-SSH-Brute-Force-para-implementar-malware-criptojacking-en.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El an\u00e1lisis posterior de la firma de seguridad m\u00f3vil Zimperium ha descubierto similitudes entre Spynote y Gigabud, lo que aumenta la posibilidad de que el mismo actor o actores de amenaza est\u00e9 detr\u00e1s de las dos familias de malware. Gigabud se atribuye a un actor de amenaza de habla china con nombre en c\u00f3digo GoldFactory. <\/p>\n<p>Con los a\u00f1os, Spynote tambi\u00e9n ha visto cierto nivel de adopci\u00f3n por grupos de pirater\u00eda patrocinados por el estado, como Oilalpha y otros actores desconocidos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1744408673_420_Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1744408673_420_Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.jpg\" alt=\"Spynote, Badbazaar, malware Moonshine\" border=\"0\" data-original-height=\"316\" data-original-width=\"728\" title=\"Spynote, Badbazaar, malware Moonshine\"\/><\/a><\/div>\n<p>Los sitios web de clones identificados por DTI incluyen un carrusel de im\u00e1genes que, cuando se hace clic, descargan un archivo APK malicioso en el dispositivo del usuario. El archivo del paquete act\u00faa como un gotero para instalar una segunda carga \u00fatil APK integrada a trav\u00e9s de la <a rel=\"noopener nofollow\" href=\"https:\/\/developer.android.com\/reference\/android\/content\/DialogInterface.OnClickListener\" target=\"_blank\">Dialoginterface.onclickListener interfaz<\/a> Eso permite la ejecuci\u00f3n del malware Spynote cuando se hace clic en un elemento en un cuadro de di\u00e1logo.<\/p>\n<p>&#8220;Tras la instalaci\u00f3n, solicita agresivamente numerosos permisos intrusivos, obteniendo un control extenso sobre el dispositivo comprometido&#8221;, dijo DTI.<\/p>\n<p>&#8220;Este control permite el robo de datos confidenciales, como mensajes SMS, contactos, registros de llamadas, informaci\u00f3n de ubicaci\u00f3n y archivos. Spynote tambi\u00e9n cuenta con capacidades de acceso remoto significativos, incluida la activaci\u00f3n de c\u00e1mara y micr\u00f3fono, manipulaci\u00f3n de llamadas y ejecuci\u00f3n de comandos arbitrarios&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1744408674_409_Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1744408674_409_Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.jpg\" alt=\"Spynote, Badbazaar, malware Moonshine\" border=\"0\" data-original-height=\"552\" data-original-width=\"1322\" title=\"Spynote, Badbazaar, malware Moonshine\"\/><\/a><\/div>\n<p>La divulgaci\u00f3n se produce cuando Lookout revel\u00f3 que observ\u00f3 m\u00e1s de 4 millones de ataques de ingenier\u00eda social centrados en dispositivos m\u00f3viles en 2024, con 427,000 aplicaciones maliciosas detectadas en dispositivos empresariales y 1,600,000 detecciones de aplicaciones vulnerables durante el per\u00edodo de tiempo.<\/p>\n<p>&#8220;En el transcurso de los \u00faltimos cinco a\u00f1os, los usuarios de iOS han estado expuestos a significativamente m\u00e1s ataques de phishing que los usuarios de Android&#8221;, Lookout <a rel=\"noopener nofollow\" href=\"https:\/\/www.lookout.com\/threat-intelligence\/report\/2024-annual-mobile-threat-report\" target=\"_blank\">dicho<\/a>. &#8220;2024 fue el primer a\u00f1o en el que los dispositivos iOS se expusieron m\u00e1s del doble que los dispositivos Android&#8221;.<\/p>\n<h3>Las agencias de Intel advierten sobre Badbazaar y Moonshine<\/h3>\n<p>Los hallazgos tambi\u00e9n siguen un aviso conjunto emitido por agencias de ciberseguridad e inteligencia de Australia, Canad\u00e1, Alemania, Nueva Zelanda, el Reino Unido y los Estados Unidos sobre la orientaci\u00f3n de las comunidades uigures, taiwaneses y tibetanos utilizando familias de malware como Badbazaar y Moonshine.<\/p>\n<p>Los objetivos de la campa\u00f1a incluyen organizaciones no gubernamentales (ONG), periodistas, empresas y miembros de la sociedad civil que abogan o representan a estos grupos. &#8220;La forma indiscriminada de este spyware se extiende en l\u00ednea tambi\u00e9n significa que existe el riesgo de que las infecciones puedan propagarse m\u00e1s all\u00e1 de las v\u00edctimas previstas&#8221;, las agencias <a rel=\"noopener nofollow\" href=\"https:\/\/www.ncsc.gov.uk\/news\/advisory-badbazaar-moonshine\" target=\"_blank\">dicho<\/a>.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Spynote-Badbazaar-Moonshine-Malware-Target-Android-e-usuarios-de-iOS.png\" alt=\"\" border=\"0\" data-original-height=\"374\" data-original-width=\"1600\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Un subconjunto de iconos de aplicaciones utilizados por muestras de la herramienta de vigilancia de la luna a partir de enero de 2024<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tanto Badbazaar como Moonshine se clasifican como troyanos que son capaces de recopilar datos confidenciales de dispositivos Android e iOS, incluidas ubicaciones, mensajes, fotos y archivos. Por lo general, se distribuyen a trav\u00e9s de aplicaciones que se pasan como mensajes, servicios p\u00fablicos o aplicaciones religiosas.<\/p>\n<p>Badbazaar fue documentado por primera vez por Lookout en noviembre de 2022, aunque se evalu\u00f3 que las campa\u00f1as que distribuyen el malware hab\u00edan estado en curso ya en 2018. La luz de la luna, por otro lado, recientemente fue utilizado por un actor de amenaza llamado Earth Minotaur para facilitar las operaciones de vigilancia a largo plazo dirigidas a los tibetanos y los ohughurs.<\/p>\n<p>El uso de Badbazaar ha sido vinculado a un grupo de pirater\u00eda chino rastreado como APT15, que tambi\u00e9n se conoce como Flea, Nylon Typhoon (anteriormente N\u00edquel), Tauro juguet\u00f3n, Royal Apt y Vixen Panda.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Si bien la variante iOS de Badbazaar tiene capacidades relativamente limitadas en comparaci\u00f3n con su contraparte de Android, todav\u00eda tiene la capacidad de exfiltrar los datos personales del dispositivo de la v\u00edctima&#8221;, Lookout <a rel=\"noopener nofollow\" href=\"https:\/\/www.lookout.com\/threat-intelligence\/article\/badbazaar-surveillanceware-apt15\" target=\"_blank\">dicho<\/a> En un informe publicado en enero de 2024. &#8220;La evidencia sugiere que se dirigi\u00f3 principalmente a la comunidad tibetana dentro de China&#8221;.<\/p>\n<p>Seg\u00fan la compa\u00f1\u00eda de seguridad cibern\u00e9tica, los datos recopilados de los dispositivos de las v\u00edctimas a trav\u00e9s de Moonshine se exfiltran a una infraestructura controlada por los atacantes a la que se puede acceder a trav\u00e9s de un llamado panel de administraci\u00f3n escoc\u00e9s, que muestra detalles de dispositivos comprometidos y el nivel de acceso a cada uno de ellos. A partir de enero de 2024, 635 dispositivos se registraron en tres paneles de administraci\u00f3n escoc\u00e9s.<\/p>\n<p>En un desarrollo relacionado, las autoridades suecas han <a rel=\"noopener nofollow\" href=\"https:\/\/www.uyghurcongress.org\/en\/statement-uyghur-arrested-over-espionage-charges-in-sweden\/\" target=\"_blank\">detenido<\/a> Dilshat Reshit, un residente de Estocolmo, residente de Estocolmo, bajo sospecha de espiar a otros miembros de la comunidad en el pa\u00eds. Reshit ha servido como portavoz de la lengua china del Congreso Uyghur del Mundo (WUC) desde 2004.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? Seguirnos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/spynote-badbazaar-moonshine-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto que los actores de amenaza est\u00e1n configurando sitios web enga\u00f1osos alojados en<\/p>\n","protected":false},"author":1,"featured_media":1665939,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8514,8343,4661,202313,4664,3187,12229,273784,4669,273783,266312,4654,273782,4659,4653,4655,246983,4665,246984,137872,13206,116,7528,455,239484],"class_list":["post-1665938","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-aplicaciones","tag-ataques-ciberneticos","tag-badbazaar","tag-como-hackear","tag-falsas","tag-ios","tag-las-noticias-del-hacker","tag-malware","tag-malware-de-ransomware","tag-moonshine","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-spynote","tag-target","tag-traves","tag-usuarios","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1665938","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1665938"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1665938\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1665939"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1665938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1665938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1665938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}