{"id":761222,"date":"2023-05-18T19:15:18","date_gmt":"2023-05-18T19:15:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/este-grupo-de-ciberdelincuencia-infecto-previamente-mas-de-89-millones-de-telefonos-android-en-todo-el-mundo\/"},"modified":"2023-05-18T19:15:21","modified_gmt":"2023-05-18T19:15:21","slug":"este-grupo-de-ciberdelincuencia-infecto-previamente-mas-de-89-millones-de-telefonos-android-en-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/este-grupo-de-ciberdelincuencia-infecto-previamente-mas-de-89-millones-de-telefonos-android-en-todo-el-mundo\/","title":{"rendered":"Este grupo de ciberdelincuencia infect\u00f3 previamente m\u00e1s de 8,9 millones de tel\u00e9fonos Android en todo el mundo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una empresa de ciberdelincuencia conocida como <strong>grupo limon<\/strong> est\u00e1 aprovechando millones de tel\u00e9fonos inteligentes Android preinfectados en todo el mundo para llevar a cabo sus operaciones maliciosas, lo que plantea riesgos significativos para la cadena de suministro.<\/p>\n<p>\u201cLa infecci\u00f3n convierte estos dispositivos en proxies m\u00f3viles, herramientas para robar y vender mensajes SMS, redes sociales y cuentas de mensajer\u00eda en l\u00ednea y monetizaci\u00f3n a trav\u00e9s de anuncios y fraude de clics\u201d, dijo la firma de ciberseguridad Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>La actividad abarca no menos de 8,9 millones de dispositivos Android comprometidos, en particular tel\u00e9fonos econ\u00f3micos, con la mayor\u00eda de las infecciones descubiertas en EE. UU., M\u00e9xico, Indonesia, Tailandia, Rusia, Sud\u00e1frica, India, Angola, Filipinas y Argentina.<\/p>\n<p>Los hallazgos fueron <a rel=\"nofollow noopener\" href=\"https:\/\/www.blackhat.com\/asia-23\/briefings\/schedule\/index.html#behind-the-scenes-how-criminal-enterprises-pre-infect-millions-of-mobile-devices-31235\" target=\"_blank\">presentado<\/a> por los investigadores Fyodor Yarochkin, Zhengyu Dong, Vladimir Kropotov y Paul Pajares en la conferencia Black Hat Asia celebrada en Singapur la semana pasada.<\/p>\n<p>Describi\u00e9ndolo como un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.checkpoint.com\/research\/preinstalled-malware-targeting-mobile-users\/\" target=\"_blank\">problema en constante evoluci\u00f3n<\/a>la firma de seguridad cibern\u00e9tica dijo que los actores de amenazas se est\u00e1n expandiendo a otros dispositivos IoT basados \u200b\u200ben Android, como televisores inteligentes, cajas de TV Android, sistemas de entretenimiento e incluso relojes para ni\u00f1os.<\/p>\n<p>Las infecciones se distribuyen globalmente en m\u00e1s de 180 pa\u00edses, con m\u00e1s de 50 marcas de dispositivos m\u00f3viles comprometidas por una cepa de malware llamada Guerrilla.<\/p>\n<p>&#8220;Siguiendo nuestras estimaciones de l\u00ednea de tiempo, el actor de amenazas ha propagado este malware en los \u00faltimos cinco a\u00f1os&#8221;, dijeron los investigadores.  &#8220;Un compromiso en cualquier infraestructura cr\u00edtica significativa con esta infecci\u00f3n probablemente puede generar una ganancia significativa para Lemon Group a largo plazo a expensas de los usuarios leg\u00edtimos&#8221;.<\/p>\n<p>Guerrillero era <a rel=\"nofollow noopener\" href=\"https:\/\/www.sophos.com\/en-us\/medialibrary\/PDFs\/technical-papers\/sophos-guerilla-ad-clicker-wpna.pdf\" target=\"_blank\">documentado por primera vez<\/a> por Sophos en 2018 cuando descubri\u00f3 15 aplicaciones cargadas en Play Store que albergaban la funcionalidad para participar en el fraude de clics y actuar como una puerta trasera.<\/p>\n<p>El malware tambi\u00e9n atrajo la atenci\u00f3n a principios de 2022 por su capacidad para interceptar mensajes SMS que coinciden con caracter\u00edsticas predefinidas, como contrase\u00f1as de un solo uso (OTP) asociadas con varias plataformas en l\u00ednea, poco despu\u00e9s de lo cual el actor de amenazas cambi\u00f3 el nombre de la empresa de Lemon a Durian. SMS en la nube.<\/p>\n<p>El objetivo, seg\u00fan Trend Micro, es evitar la verificaci\u00f3n basada en SMS y anunciar n\u00fameros de tel\u00e9fono virtuales masivos, que pertenecen a usuarios desprevenidos de los tel\u00e9fonos Android infectados, a la venta para crear cuentas en l\u00ednea.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEixbN1oz7vFKivSKjKttr9dO8arLIo0NyhV8k-lPUBP_IlAwg77NfbqJQ5hixyHbbG1xY3hVX0vN4pI-4GG81jVNxYnEgHvT6uwWiRFAqyH1eCAmQYz_iGVU1KuLH-TlFTwHtlQwtL9pITq3M22QLMNuhgY6r--FRaBsAD4WqVogZSMet6v3mg9yawl\/s728-e3650\/crime.png\" alt=\"Hackeo de tel\u00e9fonos Android\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Hackeo de tel\u00e9fonos Android\"\/><\/div>\n<p>Si bien dichos servicios tienen un beneficio de privacidad, que permite a los usuarios registrarse en servicios utilizando n\u00fameros de tel\u00e9fono temporales o desechables, tambi\u00e9n pueden ser objeto de abuso para crear cuentas de spam a gran escala y realizar fraudes.<\/p>\n<p>Los \u00faltimos hallazgos de la compa\u00f1\u00eda de seguridad cibern\u00e9tica ilustran que la funci\u00f3n de captura de SMS es solo uno de los muchos complementos asociados con un componente de descarga (tambi\u00e9n conocido como el complemento principal) que se carga en un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.android.com\/topic\/performance\/memory-overview#SharingRAM\" target=\"_blank\">proceso de cigoto<\/a> por medio de una biblioteca manipulada.<\/p>\n<p>Vale la pena se\u00f1alar que la misma t\u00e9cnica de modificaci\u00f3n del proceso del cigoto tambi\u00e9n ha sido adoptada por <a rel=\"nofollow noopener\" href=\"https:\/\/www.kaspersky.com\/blog\/triada-trojan\/11481\/\" target=\"_blank\">otro<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/security.googleblog.com\/2019\/06\/pha-family-highlights-triada.html\" target=\"_blank\">troyano m\u00f3vil<\/a> llamada Triada.<\/p>\n<p>&#8220;Con esto, cada vez que se bifurcan otros procesos de aplicaciones del cigoto, tambi\u00e9n se manipulan&#8221;, dijeron los investigadores.  &#8220;El complemento principal cargar\u00e1 otros complementos con el proceso actual como objetivo, y los otros complementos intentar\u00e1n controlar la aplicaci\u00f3n actual a trav\u00e9s de un gancho&#8221;.<\/p>\n<p>Cada uno de los complementos de Guerilla cumple una funci\u00f3n comercial particular y una oportunidad de monetizaci\u00f3n para los actores de Lemon Group.  Algunos de ellos se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Complemento de proxy para configurar el proxy inverso desde un tel\u00e9fono infectado y permitir que otros actores alquilen el acceso a los recursos de red del dispositivo m\u00f3vil afectado <\/li>\n<li>Complemento de cookies para recolectar las cookies de Facebook de los usuarios y otra informaci\u00f3n de perfil<\/li>\n<li>Complemento de WhatsApp para secuestrar sesiones y enviar mensajes no deseados<\/li>\n<li>Complemento Splash para publicar anuncios no garantizados al iniciar ciertas aplicaciones, y<\/li>\n<li>Complemento silencioso para instalar sigilosamente un archivo APK y ejecutar la aplicaci\u00f3n<\/li>\n<\/ul>\n<p>La investigaci\u00f3n adicional sobre la operaci\u00f3n en expansi\u00f3n ha revelado que la infraestructura se superpone a Lemon Group y Triada, lo que sugiere que los dos grupos pueden haber colaborado en alg\u00fan momento.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Se cree que las modificaciones de firmware no autorizadas ocurrieron a trav\u00e9s de un proveedor externo no identificado que &#8220;produce los componentes de firmware para tel\u00e9fonos m\u00f3viles&#8221; y que tambi\u00e9n fabrica componentes similares para Android Auto.<\/p>\n<p>La divulgaci\u00f3n se produce cuando el investigador de seguridad de Microsoft, Dimitrios Valsamaras, detall\u00f3 un nuevo m\u00e9todo de ataque denominado Dirty Stream que convierte <a rel=\"nofollow noopener\" href=\"https:\/\/developer.android.com\/training\/sharing\/receive\" target=\"_blank\">Objetivos compartidos de Android<\/a> en un vector para distribuir cargas maliciosas y capturar datos confidenciales de otras aplicaciones instaladas en un dispositivo.<\/p>\n<p>&#8220;El concepto es similar a una vulnerabilidad de carga de archivos de una aplicaci\u00f3n web&#8221;, Valsamaras <a rel=\"nofollow noopener\" href=\"https:\/\/www.blackhat.com\/asia-23\/briefings\/schedule\/index.html#dirty-stream-attack-turning-android-share-targets-into-attack-vectors-30234\" target=\"_blank\">dicho<\/a>.  &#8220;M\u00e1s espec\u00edficamente, una aplicaci\u00f3n maliciosa utiliza un proveedor de contenido especialmente dise\u00f1ado para soportar una carga \u00fatil que env\u00eda a la aplicaci\u00f3n de destino&#8221;.<\/p>\n<p>&#8220;Como el remitente controla el contenido pero tambi\u00e9n el nombre de la transmisi\u00f3n, el receptor puede sobrescribir archivos cr\u00edticos con contenido malicioso en caso de que no realice algunas comprobaciones de seguridad necesarias. Adem\u00e1s, cuando se aplican ciertas condiciones, el receptor tambi\u00e9n puede verse obligado a copiar archivos protegidos a un directorio p\u00fablico, poniendo en riesgo los datos privados del usuario&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/this-cybercrime-syndicate-pre-infected.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una empresa de ciberdelincuencia conocida como grupo limon est\u00e1 aprovechando millones de tel\u00e9fonos inteligentes Android preinfectados en todo<\/p>\n","protected":false},"author":1,"featured_media":761223,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8514,4661,30985,4664,560,4662,2386,44571,4668,4667,16,327,340,4654,4658,4659,4653,4655,23603,4663,4666,4665,10772,339,4660],"class_list":["post-761222","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-ataques-ciberneticos","tag-ciberdelincuencia","tag-como-hackear","tag-este","tag-filtracion-de-datos","tag-grupo","tag-infecto","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mas","tag-millones","tag-mundo","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-previamente","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-telefonos","tag-todo","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/761222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=761222"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/761222\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/761223"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=761222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=761222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=761222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}