Escrito por ZePeng Chen y Wenfeng Yu El equipo de investigación móvil de McAfee ha observado una campaña activa de malware fraudulento dirigida a usuarios de Android en la India. Este malware ha pasado por tres etapas. La primera es la etapa de desarrollo, de marzo de 2023 a julio de 2023, durante la cual se crearon un par de aplicaciones cada mes. La segunda es la etapa de expansión, de agosto de 2023 a octubre de 2023, durante la cual se crearon decenas de aplicaciones cada mes. La tercera es la etapa activa, desde septiembre de 2023 hasta la actualidad, durante la cual se crearon cientos de aplicaciones cada mes. Según los datos de telemetría de detección de McAfee, este malware ha acumulado más de 800 aplicaciones y ha infectado más de 3.700 dispositivos Android. La campaña aún continúa y el número de dispositivos infectados seguirá aumentando. Los desarrolladores de malware crean páginas de phishing para escenarios que son fáciles de engañar, como pagos de facturas de electricidad, citas hospitalarias y reservas de paquetes de mensajería. Los desarrolladores utilizan diferentes aplicaciones para cargar diferentes páginas de phishing, que finalmente se venden a estafadores. En nuestra investigación, se crean más de 100 URL de phishing únicas y más de 100 URL C2 únicas en estas aplicaciones maliciosas. Significa que cada estafador puede realizar actividades fraudulentas de forma independiente. Los estafadores utilizan malware para atacar a las víctimas. Por lo general, se comunican con las víctimas por teléfono, mensajes de texto, correo electrónico o aplicaciones sociales para informarles que necesitan reprogramar los servicios. Este tipo de ataque de fraude es un método de fraude típico y eficaz. Como resultado, se pide a las víctimas que descarguen una aplicación específica y envíen información personal. Hubo un informe en el que una mujer india descargó malware desde un enlace en WhatsApp y le robaron alrededor de 98.000 rupias. No pudimos confirmar si se trata del mismo malware, pero es sólo un ejemplo de cómo estas aplicaciones maliciosas pueden distribuirse directamente a través de WhatsApp. El escenario del ataque parece creíble y muchas víctimas no dudan de las intenciones de los estafadores. Siguiendo las instrucciones proporcionadas, descargaron e instalaron la aplicación. En la aplicación, se induce a las víctimas a enviar información confidencial, como números de teléfono personales, direcciones, números de tarjetas bancarias y contraseñas. Una vez que esta información cae en manos de los estafadores, estos pueden robar fácilmente fondos de la cuenta bancaria de la víctima. El malware no sólo roba información de la cuenta bancaria de las víctimas a través de páginas web de phishing, sino que también roba mensajes SMS en los dispositivos de las víctimas. Debido a la información robada, incluso si la cuenta bancaria admite la autenticación OTP, el estafador puede transferir todos los fondos. El malware utiliza plataformas legítimas para implementar páginas de phishing y hacer que parezca más confiable para evadir la detección. McAfee Mobile Security detecta esta amenaza como Android/SmsSpy. Para obtener más información y estar completamente protegido, visite McAfee Mobile Security. Malware como servicio (MaaS) Descubrimos que un grupo cibernético llamado ELVIA INFOTECH vendía estas páginas de phishing y malware como un servicio. Una clara diferencia entre este malware y otros es que las aplicaciones vendidas tienen una fecha de vencimiento válida. Cuando se alcance la fecha de vencimiento, algunos enlaces de la aplicación redireccionarán a una página de notificación de pago. La notificación es claramente para solicitar al comprador que pague una tarifa para restaurar el uso del malware. Figura 1. Notificación de pago. También descubrimos que el grupo cibercriminal vendía malware en un grupo de Telegram. Con base en estas observaciones, creemos que ELVIA INFOTECH es una organización cibercriminal profesional dedicada al desarrollo, mantenimiento y venta de malware y sitios web de phishing. Figura 2. Conversación del grupo de Telegram. Análisis de malware Este malware se mantuvo y actualizó recientemente y se crearon cientos de aplicaciones maliciosas. Les gusta usar nombres de archivos como “CustomerSupport.apk”, “Mahavitaran Bill Update.apk”, “Appointment Booking.apk”, “Hospital Support.apk”, “Emergency Courier.apk” y nombres de aplicaciones como “ Customer Support”, “Blue Dart”, “Hospital Support”, “Emergency Courier” para engañar a las víctimas, a continuación se muestran los nombres e íconos de algunas aplicaciones. Figura 3. Nombres e íconos de algunas aplicaciones No sólo pretenden ser “Atención al cliente”, sino que también pretenden ser empresas de mensajería populares como “Blue Dart” en India, sino que también se dirigen a empresas de servicios públicos como “Mahavitaran” (Power Corporación de la India). Una vez que las víctimas hacen clic en el ícono falso, la aplicación se iniciará y comenzará a atacar a las víctimas. 1. Cargando páginas de phishing La página de phishing se carga una vez que se inicia la aplicación. Se disfrazará como una página de varios servicios legítimos, haciendo que las víctimas crean que están visitando un sitio web de servicios legítimo. Aquí, se engaña a las víctimas para que proporcionen información confidencial como nombre, dirección, número de teléfono, número de tarjeta bancaria y contraseña. Sin embargo, una vez enviada, esta información cae en manos de los estafadores, lo que les permite acceder y controlar fácilmente la cuenta bancaria de la víctima. Descubrimos que la mayor parte de esta campaña de ataque se hacía pasar por empresas de transporte de paquetes. Figura 4. Las páginas de phishing se cargan una vez que se inicia la aplicación Los desarrolladores de malware también diseñaron diferentes páginas de phishing para diferentes aplicaciones para engañar a las víctimas en diferentes escenarios que explotan los pagos de facturas de electricidad y las citas hospitalarias. Figura 5. Páginas de phishing de citas hospitalarias y facturas de electricidad 2. Robo de contraseñas de un solo uso a través de mensajes SMS Como diseño central de este malware, la aplicación solicita permisos para permitirle enviar y ver mensajes SMS una vez que se inicia. Figura 6. Solicitar permisos de SMS. Si las víctimas hacen clic en el botón «Permitir», el malware inicia un servicio en segundo plano que monitorea en secreto los mensajes de texto de los usuarios y los reenvía a un número que proviene del servidor C2. Figura 7. Reenviar número de teléfono desde el servidor C2 Este paso es crucial para el proceso de estafa, ya que muchos bancos envían una contraseña de un solo uso (OTP) al teléfono del cliente para verificar la transacción. Con este método, los estafadores pueden obtener estas OTP y completar transacciones bancarias con éxito. Conclusión: Esta aplicación maliciosa y los desarrolladores detrás de ella han surgido rápidamente en la India desde el año pasado hasta ahora, desarrollando y manteniendo malware deliberadamente y enfocándose en implementar sitios web de phishing bien diseñados a través de plataformas legítimas. El grupo promueve y vende en secreto su malware a través de plataformas de redes sociales, lo que hace que la propagación del malware sea más sutil y difícil de detectar. Esta táctica resultó en un brote de malware aún más grave, lo que representa una amenaza grave y continua para la seguridad financiera de los usuarios indios. Las campañas de malware son muy persistentes y el uso de múltiples aplicaciones diferentes en diferentes sitios web puede engañar a muchas víctimas para que instalen estas aplicaciones y proporcionen su información privada y personal, que luego puede usarse para cometer fraude. En este entorno, los usuarios comunes de la India enfrentan enormes desafíos de ciberseguridad. Por lo tanto, los usuarios deben permanecer atentos y cautelosos al tratar con comunicaciones electrónicas o solicitudes de descarga de aplicaciones que parezcan legítimas pero que puedan contener malware. Recomendamos encarecidamente a los usuarios que instalen software de seguridad en sus dispositivos y lo mantengan siempre actualizado. Al utilizar los productos McAfee Mobile Security, los usuarios pueden proteger aún más sus dispositivos y reducir los riesgos asociados con este tipo de malware, brindando una experiencia más segura. Lista de hash SHA256 de indicadores de compromiso (IOC): 092efedd8e2e0c965290154b8a6e2bd5ec19206f43d50d339fa1485f8ff6ccba 7b1f692868df9ff463599a486658bcdb862c1cf42e99ec717e2 89ddb608c8350 c59214828ed563ecc1fff04efdfd2bff0d15d411639873450d8a63754ce3464c b0df37a91b93609b7927edf4c24bfdb19eecae72362066d555278b148c5 9fe85 07ad0811a6dac7435f025e377b02b655c324b7725ab44e36a58bc68b27ce0758 c8eb4008fa4e0c10397e0fb9debf44ca8cbadc05663f9effbeac2534d9289377 1df43 794618ef8d8991386f66556292429926cd7f9cf9b1837a08835693feb40 5b3d8f85f5637b217e6c97e6b422e6b642ce24d50de4a6f3a6b08c671f1b8207 URL de phishing: h xxps://bijlipayupdate[.]sitio wix[.]com/mi-sitio hxxps://appointmentservice0[.]sitio wix[.]com/cita en línea hxxps://couriers9343[.]sitio wix[.]com/courier/hxxps://doctorappointment34[.]sitio wix[.]com/reserva de citas hxxps://hospitalservice402[.]sitio wix[.]com/hospital-in hxxps://adn-reg[.]com/sitio web URL del servidor C2: hxxps://forexroyality[.]en línea/queja13/Mi_archivo[.]txt hxxps://adn-reg[.]com/datos[.]json hxxps://icustomrcore[.]es/chand3/datos[.]jsonhxxps://sms[.]hrs[.]organización[.]en/chugxgddhmurgiwalabhaiqwertadmin/no[.]html hxxps://krishna[.]lechuga[.]co[.]en/admindata[.]txt hxxps: // mensajero[.]elviainfotech[.]nube/páginas/teléfono[.]json Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id =766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);

Source link