Con especial atención a las aplicaciones móviles y a los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad ha sido elaborado por los investigadores y científicos de datos de ciberseguridad de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.
Información sobre amenazas
- Anatsa (también conocido como TeaBot) es un sofisticado troyano bancario para Android con funciones avanzadas de adquisición de cuentas y dispositivos. Ofrece aproximadamente 600 superposiciones diferentes para robar credenciales a los usuarios de aplicaciones financieras.. Las instituciones de EE.UU., Reino Unido y las regiones DACH son el objetivo de la última campaña en curso. Se han registrado 30.000 infecciones.
- CherryBlos es un nuevo malware para Android especializado en atacar aplicaciones de monederos de criptomonedas. Realiza un ataque de superposición para robar credenciales y utiliza técnicas de reconocimiento óptico de caracteres (OCR) para extraer frases mnemotécnicas de las imágenes del almacenamiento externo. Puede cambiar la dirección del monedero del destinatario por otra controlada por el atacante y ocultar la manipulación con otra superposición durante las transacciones.
- No APT (también conocida como APT-C-35 y SectorE02) cambió su enfoque a aplicaciones maliciosas de Android para recopilar información y realizar operaciones de espionaje. En la actualidad, esta amenaza se dirige a países del sur de Asia.
- Fluhorse Por primera vez se encuentra malware para Android empaquetado. Esto demuestra que las amenazas han mejorado sus técnicas de evasión antivirus desde la ofuscación básica de cadenas hasta el cifrado completo del código fuente del malware.
- GravityRAT Software espía para Android aplicación de mensajería instantánea de código abierto troyanizada de código abierto. La última versión del malware tiene dos nuevas características: Puede borrar archivos de los smartphones y robar mensajes de WhatsApp de las copias de seguridad.
- HelloTeacher Malware para Android se dirige específicamente a las aplicaciones móviles de tres bancos vietnamitas. La amenaza que está detrás de este malware examina claramente las aplicaciones y desarrolla ataques a medida.
- Kimsuky APTrespaldada por Corea del Norte, utiliza versiones falsas o suplantadas de sitios web, portales o aplicaciones móviles para robar credenciales de acceso.
- Letscallun complejo kit de herramientas de vishing con funciones de spyware y RAT, se dirige a usuarios de Android en Corea del Sur para robar dinero de las cuentas bancarias de las víctimas.
- Neo_Net es el actor de la amenaza que está detrás de una campaña global de ciberdelincuencia contra usuarios de banca móvil, especialmente en España y Chile. Utilizando sólo herramientas básicas y técnicas sencillas, el actor de la amenaza fue capaz de robar más de 350.000 euros y recopilar miles de datos de identificación personal (IPI) de las víctimascomo nombres, números de identificación y números de teléfono. La razón subyacente del gran éxito a pesar de la simplicidad de esta operación probablemente se deba a que se estudiaron detenidamente los objetivos y se ajustó la infraestructura de ataque en consecuencia.
- Operación Triangulaciónuna sofisticada campaña de ataque que instala software espía en dispositivos iOS mediante un exploit de iMessage sin hacer clicfue revelada por Kaspersky.
- Se descubrió que más de 60 000 aplicaciones se descubrió que contenían adware. Se dirigen principalmente a usuarios de Android en Estados Unidos.. Cabe mencionar que ninguna se distribuía a través de Google Play Store.
- Triada troyano para Android en una mod de Telegram. Las mod apps son una forma muy conocida de atraer a los usuarios para que instalen aplicaciones maliciosas de 3rd-de terceros.
- Dos aplicaciones maliciosas de gestión de archivos del mismo desarrollador, descargadas más de 1,5 millones de veces en Google Play Store, exfiltraban sigilosamente información privada de los usuarios, incluidos archivos multimedia, a servidores de China.
- WebAPK permite la instalación de aplicaciones web progresivas en dispositivos Android como aplicaciones nativas. Los ciberdelincuentes explotan una debilidad en el diseñoque hace que las víctimas instalen apps maliciosas en sus dispositivos sin ningún aviso de fuente no fiable.
- Los spywares para Android WyrmSpy y DragonEgg se atribuyeron al grupo de espionaje chino APT41 a través de una dirección IP C2 codificada que se encontró en las primeras muestras de WyrmSpy.
Vulnerabilidades y parches
- CISA añade tres vulnerabilidades de día cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439), dos de las cuales se utilizaron en la Operación Triangulación, a su catálogo de vulnerabilidades explotadas conocidas. Los tres problemas se solucionaron en las versiones iOS 16.5.1 e iOS 15.7.7.
- CISA añade seis vulnerabilidades (CVE-2021-25487, CVE-2021-25489, CVE-2021-25394, CVE-2021-255395, CVE-2021-25371 y CVE-2021-25372) en dispositivos móviles Samsung a su catálogo de vulnerabilidades explotadas conocidas. Ya fueron parcheadas en 2021.
- Las actualizaciones de seguridad de julio de Android parchean tres fallos activamente explotados (CVE-2023-26083, CVE-2023-2136 y CVE-2021-29256).
- Apple revisó la actualización de seguridad de emergencia, que parcheaba la vulnerabilidad de día cero de WebKit (CVE-2023-37450) explotada in the wild. Se trata de la décima vulnerabilidad de día cero abordada por Apple desde principios de año.
- CISA añade tres vulnerabilidades de día cero (CVE-2023-38606, CVE-2023-32409 y CVE-2023-37450) a su catálogo de vulnerabilidades explotadas conocidas. Los tres problemas se solucionaron en las versiones iOS 16.6 e iOS 15.7.8.
Informes de inteligencia
- SpinOk, Anubis y AhMyth fueron los tres principales malwares para móviles en junio de 2023, según el Informe sobre el malware más buscado de Check Point.
- Resecurity informó de que las herramientas de suplantación de dispositivos del sistema operativo Android están ganando adeptos entre los ciberdelincuentes para eludir los controles de prevención del fraude móvil. Las instituciones financieras y los minoristas en línea son los principales objetivos.
- Las detecciones generales de amenazas Android aumentaron un 20% en el primer semestre de 2023 en comparación con el segundo semestre de 2022 en el Informe sobre amenazas de ESET correspondiente al primer semestre de 2023.
- El Grupo de Análisis de Amenazas de Google (TAG) publicó el informe '0-days Exploited In-the-Wild in 2022. Una de las conclusiones es la importancia de parchear rápidamente los casos de día cero en Android. En múltiples casos, los parches no estuvieron disponibles para los usuarios durante mucho tiempo, y los ciberdelincuentes explotaron las vulnerabilidades no parcheadas pero conocidas públicamente.
3 Imperativos de seguridad para los fabricantes de aplicaciones para vehículos en 2024