{"id":928224,"date":"2023-08-30T16:52:00","date_gmt":"2023-08-30T16:52:00","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-troyano-mmrat-para-android-ejecuta-un-fraude-financiero-remoto-mediante-una-funcion-de-accesibilidad\/"},"modified":"2023-08-30T16:52:03","modified_gmt":"2023-08-30T16:52:03","slug":"el-troyano-mmrat-para-android-ejecuta-un-fraude-financiero-remoto-mediante-una-funcion-de-accesibilidad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-troyano-mmrat-para-android-ejecuta-un-fraude-financiero-remoto-mediante-una-funcion-de-accesibilidad\/","title":{"rendered":"El troyano MMRat para Android ejecuta un fraude financiero remoto mediante una funci\u00f3n de accesibilidad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 de agosto de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad m\u00f3vil\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un troyano bancario para Android no documentado hasta ahora, denominado <strong>MMRata<\/strong> Se ha observado que se dirige a usuarios de dispositivos m\u00f3viles en el sudeste asi\u00e1tico desde finales de junio de 2023 para controlar de forma remota los dispositivos y realizar fraudes financieros.<\/p>\n<p>&#8220;El malware, llamado as\u00ed por el nombre distintivo de su paquete com.mm.user, puede capturar la entrada del usuario y el contenido de la pantalla, y tambi\u00e9n puede controlar de forma remota los dispositivos de la v\u00edctima a trav\u00e9s de diversas t\u00e9cnicas, lo que permite a sus operadores llevar a cabo fraude bancario en el dispositivo de la v\u00edctima&#8221;, Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/h\/mmrat-carries-out-bank-fraud-via-fake-app-stores.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Lo que distingue a MMRat de otros de su tipo es el uso de un protocolo de comando y control (C2) personalizado basado en buffers de protocolo (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Protocol_Buffers\" target=\"_blank\">protobuf<\/a>) para transferir eficientemente grandes vol\u00famenes de datos desde tel\u00e9fonos comprometidos, lo que demuestra la creciente sofisticaci\u00f3n del malware para Android.<\/p>\n<p>Los posibles objetivos seg\u00fan el idioma utilizado en las p\u00e1ginas de phishing incluyen Indonesia, Vietnam, Singapur y Filipinas.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Phishers-Exploit-Salesforce039s-Email-Services-Zero-Day-in-Targeted-Facebook-Campaign.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El punto de entrada de los ataques es una red de sitios de phishing que imitan las tiendas de aplicaciones oficiales, aunque actualmente se desconoce c\u00f3mo se dirige a las v\u00edctimas a estos enlaces.  MMRat t\u00edpicamente <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/content\/dam\/trendmicro\/global\/en\/research\/23\/h\/mmrat-carries-out-bank-fraud-via-fake-app-stores\/IOC_stealthy-android-malware-mmrat-carries-out-bank-fraud-via-fake-app-stores.txt\" target=\"_blank\">mascaradas<\/a> como un gobierno oficial o una aplicaci\u00f3n de citas.<\/p>\n<p>Una vez instalada, la aplicaci\u00f3n se basa en gran medida en el servicio de accesibilidad de Android y la API MediaProjection, los cuales han sido aprovechados por otro troyano financiero de Android llamado SpyNote, para llevar a cabo sus actividades.  El malware tambi\u00e9n es capaz de abusar de sus permisos de accesibilidad para concederse otros permisos y modificar configuraciones.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693414319_150_El-troyano-MMRat-para-Android-ejecuta-un-fraude-financiero-remoto.jpg\" alt=\"Malware bancario en Android\" border=\"0\" data-original-height=\"412\" data-original-width=\"728\" title=\"Malware bancario en Android\"\/><\/div>\n<p>Adem\u00e1s, configura la persistencia para sobrevivir entre reinicios e inicia comunicaciones con un servidor remoto para esperar instrucciones y filtrar los resultados de la ejecuci\u00f3n de esos comandos.  El troyano emplea diferentes combinaciones de puertos y protocolos para funciones como exfiltraci\u00f3n de datos, transmisi\u00f3n de video y control C2.<\/p>\n<p>MMRat posee la capacidad de recopilar una amplia gama de datos del dispositivo e informaci\u00f3n personal, incluida la intensidad de la se\u00f1al, el estado de la pantalla y las estad\u00edsticas de la bater\u00eda, las aplicaciones instaladas y las listas de contactos.  Se sospecha que el actor de la amenaza utiliza los detalles para realizar alg\u00fan tipo de perfilado de la v\u00edctima antes de pasar a la siguiente etapa.<\/p>\n<p>Algunas de las otras caracter\u00edsticas de MMRat incluyen la grabaci\u00f3n del contenido de la pantalla en tiempo real y la captura del patr\u00f3n de la pantalla de bloqueo para permitir que el actor de la amenaza obtenga acceso remoto al dispositivo de la v\u00edctima cuando est\u00e1 bloqueado y no est\u00e1 en uso activo.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-Version-of-Rilide-Data-Theft-Malware-Adapts-to-Chrome.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;El malware MMRat abusa del servicio de Accesibilidad para controlar remotamente el dispositivo de la v\u00edctima, realizando acciones como gestos, desbloquear pantallas e ingresar texto, entre otras&#8221;, dijo Trend Micro.<\/p>\n<p>&#8220;Esto puede ser utilizado por actores de amenazas, junto con credenciales robadas, para realizar fraude bancario&#8221;.<\/p>\n<p>Los ataques terminan con MMRat elimin\u00e1ndose al recibir el comando C2 UNINSTALL_APP, que generalmente ocurre despu\u00e9s de una transacci\u00f3n fraudulenta exitosa, eliminando efectivamente todos los rastros de infecci\u00f3n del dispositivo.<\/p>\n<p>Para mitigar las amenazas que plantea un malware tan potente, se recomienda que los usuarios solo descarguen aplicaciones de fuentes oficiales, examinen las revisiones de las aplicaciones y verifiquen los permisos a los que una aplicaci\u00f3n solicita acceso antes de su uso.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/mmrat-android-trojan-executes-remote.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 de agosto de 2023\ue804THNSeguridad m\u00f3vil\/malware Un troyano bancario para Android no documentado hasta ahora, denominado MMRata Se<\/p>\n","protected":false},"author":1,"featured_media":928225,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[99408,4657,4656,8514,4661,4664,25434,4662,2105,5880,10975,4668,201033,11078,202332,4654,201031,4659,4653,4655,18,51115,4666,4665,201032,8665,158,4660],"class_list":["post-928224","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-accesibilidad","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-ataques-ciberneticos","tag-como-hackear","tag-ejecuta","tag-filtracion-de-datos","tag-financiero","tag-fraude","tag-funcion","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-mediante","tag-mmrat","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-remoto","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-troyano","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/928224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=928224"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/928224\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/928225"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=928224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=928224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=928224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}