31 de julio de 2024Ravie LakshmananSeguridad móvil / Malware Se ha observado una nueva campaña maliciosa que utiliza aplicaciones maliciosas de Android para robar los mensajes SMS de los usuarios desde al menos febrero de 2022 como parte de una campaña a gran escala. Las aplicaciones maliciosas, que abarcan más de 107.000 muestras únicas, están diseñadas para interceptar contraseñas de un solo uso (OTP) utilizadas para la verificación de cuentas en línea para cometer fraude de identidad. «De esas 107.000 muestras de malware, más de 99.000 de estas aplicaciones son/eran desconocidas y no están disponibles en repositorios generalmente disponibles», dijo la firma de seguridad móvil Zimperium en un informe compartido con The Hacker News. «Este malware estaba monitoreando mensajes de contraseñas de un solo uso en más de 600 marcas globales, y algunas marcas tienen recuentos de usuarios de cientos de millones de usuarios». Se han detectado víctimas de la campaña en 113 países, con India y Rusia encabezando la lista, seguidos de Brasil, México, Estados Unidos, Ucrania, España y Turquía. El punto de partida del ataque es la instalación de una aplicación maliciosa que se engaña a la víctima para que instale en su dispositivo, ya sea a través de anuncios engañosos que imitan los listados de aplicaciones de Google Play Store o cualquiera de los 2.600 bots de Telegram que sirven como canal de distribución haciéndose pasar por servicios legítimos (por ejemplo, Microsoft Word). Una vez instalada, la aplicación solicita permiso para acceder a los mensajes SMS entrantes, tras lo cual se comunica con uno de los 13 servidores de comando y control (C2) para transmitir los mensajes SMS robados. «El malware permanece oculto, monitoreando constantemente los nuevos mensajes SMS entrantes», dijeron los investigadores. «Su objetivo principal son los OTP utilizados para la verificación de cuentas en línea». Actualmente no está claro quién está detrás de la operación, aunque se ha observado que los actores de la amenaza aceptan varios métodos de pago, incluida la criptomoneda, para alimentar un servicio llamado Fast SMS (fastsms).[.]su) que permite a los clientes comprar acceso a números de teléfono virtuales. Es probable que los números de teléfono asociados a los dispositivos infectados se estén utilizando sin el conocimiento del propietario para registrarse en varias cuentas en línea mediante la recolección de los OTP necesarios para la autenticación de dos factores (2FA). A principios de 2022, Trend Micro arrojó luz sobre un servicio similar con motivaciones económicas que acorralaba a los dispositivos Android en una botnet que podría usarse para «registrar cuentas desechables en masa o crear cuentas verificadas por teléfono para realizar fraudes y otras actividades delictivas». «Estas credenciales robadas sirven como trampolín para otras actividades fraudulentas, como la creación de cuentas falsas en servicios populares para lanzar campañas de phishing o ataques de ingeniería social», dijo Zimperium. Los hallazgos resaltan el continuo abuso de Telegram, una popular aplicación de mensajería instantánea con más de 950 millones de usuarios activos mensuales, por parte de actores maliciosos con diferentes propósitos que van desde la propagación de malware hasta C2. A principios de este mes, Positive Technologies reveló dos familias de ladrones de SMS denominadas SMS Webpro y NotifySmsStealer que se dirigen a los usuarios de dispositivos Android en Bangladesh, India e Indonesia con el objetivo de desviar mensajes a un bot de Telegram mantenido por los actores de la amenaza. La empresa rusa de ciberseguridad también identificó cepas de malware ladrones que se hacen pasar por TrueCaller e ICICI Bank, y son capaces de exfiltrar fotos de los usuarios, información del dispositivo y notificaciones a través de la plataforma de mensajería. «La cadena de infección comienza con un ataque de phishing típico en WhatsApp», dijo la investigadora de seguridad Varvara Akhapkina. «Con pocas excepciones, el atacante utiliza sitios de phishing que se hacen pasar por un banco para que los usuarios descarguen aplicaciones de ellos». Otro malware que aprovecha Telegram como servidor C2 es TgRAT, un troyano de acceso remoto de Windows que recientemente se ha actualizado para incluir una variante de Linux. Está equipado para descargar archivos, tomar capturas de pantalla y ejecutar comandos de forma remota. «Telegram se usa ampliamente como mensajero corporativo en muchas empresas», dijo Doctor Web. «Por lo tanto, no es sorprendente que los actores de amenazas puedan usarlo como un vector para distribuir malware y robar información confidencial: la popularidad del programa y el tráfico rutinario a los servidores de Telegram hacen que sea fácil disfrazar el malware en una red comprometida». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.