Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • BadBazaar Android spyware, atribuido al grupo APT GREF, respaldado por China, fue descubierto en aplicaciones troyanizadas de Signal y Telegram. La aplicación Signal troyanizada permite a los atacantes espiar los mensajes vinculando secretamente el dispositivo del atacante a la cuenta de la víctima, lo que constituye una nueva técnica no vista hasta ahora. Aunque Google Play Store retiró dos aplicaciones tras la revelación de los responsables, siguen estando disponibles en Samsung Galaxy Store, otras tiendas de aplicaciones y sitios web especializados.
  • Las aplicaciones de prueba beta son utilizadas por los ciberdelincuentes para filtrar información personal identificable (IPI), acceder a cuentas financieras o hacerse con el control del dispositivo de la víctima. Las aplicaciones beta son especialmente atractivas para los delincuentes porque no suelen estar sujetas a los procesos de verificación de las tiendas de aplicaciones oficiales. Cabe mencionar que las aplicaciones beta pasan por el mismo proceso que las aplicaciones de producción en Google Play Store.
  • CypherRAT y CraxsRAT creador EVLF-DEV es inmovilizado en Siria. Tras descubrirse la se descubrió la verdadera identidad del autor de la amenazaEVLF-DEV anunció que había decidido no continuar con el desarrollo de malware. Sin embargo, otros actores de amenazas ya han publicado versiones crackeadas de estos malwares para Android de forma gratuita, lo que ha provocado un aumento de los ciberataques que propagan CypherRAT y CraxsRAT.
  • El reconocimiento facial se utiliza habitualmente en aplicaciones móviles para verificar la identidad, por ejemplo, para abrir una nueva cuenta bancaria o jugar a un juego móvil con requisitos de edad mínima. Los investigadores examinaron dieciocho kits de desarrollo de software (SDK) de reconocimiento facial para móviles y descubrieron que once de ellos tienen graves fallos de seguridad que permiten suplantar la identidad mediante el simple uso de imágenes estáticas de una víctima.
  • Falsas aplicaciones de banca móvil se utilizaron para robar credenciales de clientes de bancos iraníes.
  • Adware invisible en 43 aplicaciones de Android, descargadas 2,5 millones de veces en conjunto, defrauda a los anunciantes reproduciendo anuncios cuando la pantalla del dispositivo está apagada.. Se trata sobre todo de aplicaciones de streaming multimedia y noticias dirigidas a usuarios coreanos.
  • MMRat es un nuevo troyano bancario para Android dirigido a personas en el sudeste asiático desde finales de junio de 2023. Abusa del servicio de accesibilidad de Android y de la API MediaProjection para realizar fraudes bancarios.
  • SpyNote (también conocido como CypherRAT) es un conocido spyware para Android con capacidades de troyano de acceso remoto (RAT). Durante el verano de 2023, las detecciones de SpyNote se dispararon en Europa debido a las campañas dirigidas a los clientes de varios bancos importantes. Estas campañas se basan principalmente en el phishing para el acceso inicial y en el abuso del servicio de accesibilidad de Android para obtener credenciales bancarias y códigos de autenticación de dos factores (2FA).

Vulnerabilidades y parches

  • Los investigadores descubrieron que últimamente muchas aplicaciones Android maliciosas, portadoras de troyanos bancarios móviles como Anatsa, Hydra, Cerberus y Alien, abusan del formato Android BinaryXML para pasar las detecciones de malware de Google Play Store. Se debe a una incoherencia entre las herramientas de escaneado y el sistema operativo Android. Las herramientas de análisis consideran que los archivos maliciosos malformados intencionadamente no son válidos y los ignoran, mientras que el sistema operativo trata la aplicación como válida en su conjunto y la carga. Google ha anunciado que sus mecanismos de detección de malware se han actualizado para poner fin a este abuso.
  • Sogou Input Method de Tencent, una aplicación con más de 450 millones de usuarios activos mensuales, presenta vulnerabilidades en su protocolo criptográfico diseñado a medida para proteger la transmisión de las pulsaciones de los usuarios. Estas vulnerabilidades permiten a los fisgones de la red descifrar datos sensibles en tránsito. Están parcheadas en la versión 13.7 de la aplicación para Windows, en la versión 11.26 de la aplicación para Android y en la versión 11.25 de la aplicación para iOS.

Informes de inteligencia

  • El séptimo Informe Google Cloud Threat Horizons explica cómo las aplicaciones móviles maliciosas eluden la detección de empresas en la nube mediante el versionado.
  • Anubis, SpinOk y AhMyth fueron los tres principales malwares para móviles en julio de 2023 según Informe sobre el malware más buscado de Check Point.
  • El Departamento de Seguridad Nacional (DHS) de EE.UU. publicó el Informe de la Junta de Revisión de Ciberseguridad (CSRB) sobre los ataques asociados al grupo de actores de amenazas Lapsus$. Lapsus$ consiguió vulnerar famosas empresas tecnológicas como Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft y Globant mediante el control de cuentas de empleados a través de intercambios fraudulentos de SIM. Esto demuestra que los mecanismos de autenticación multifactor (AMF) basados en mensajes cortos (SMS) y en la voz son más fáciles de superar para los delincuentes que las soluciones AMF basadas en aplicaciones móviles.
  • En Informe Global de Inteligencia sobre Amenazas de Blackberry prevé que el malware bancario móvil aumentará con el creciente uso de aplicaciones bancarias móviles durante la próxima década.
  • En Informe de análisis de ciberamenazas de Recorded Future indica que los actores de amenazas aprovechan los servicios legítimos de Internet (LIS) como Google Drive y Telegram en su infraestructura de servidores de mando y control (C2). Los malwares móviles son más propensos a abusar de LIS para la técnica de resolución de caída muerta (DDR) que cualquier otro tipo de malware. Se trata de una técnica en la que el malware obtiene el dominio real o la dirección IP del servidor C2 a partir de un servicio web.
  • Kaspersky informa de que 59.167 troyanos bancarios móviles fueron detectados en el segundo trimestre de 2023lo que supone un crecimiento del 2,7% respecto al trimestre anterior.
  • El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y seis organismos asociados han publicado el Informe de análisis del malware Infamous Chisel. Este nuevo malware para Android está vinculado a la APT rusa Sandworm y se dirige a dispositivos móviles utilizados por el ejército ucraniano. Filtra información del sistema del dispositivo e información de aplicaciones comerciales y específicas del ejército ucraniano.