Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • Un imitador de la aplicación móvil LastPass en la App Store de Apple. La aplicación fraudulenta aplicación fraudulenta se llama LassPass Password Manager, y ya ha sido retirada de la tienda oficial. Las aplicaciones de gestión de contraseñas almacenan las credenciales de los usuarios, por lo que son el principal objetivo de los ciberdelincuentes.
  • La función AirDrop ha sido supuestamente descifrada por el Instituto de Tasación Judicial Wangshendongjian de Pekín. El laboratorio forense creó una herramienta para las autoridades chinas que descifra el número de teléfono y la dirección de correo electrónico del remitente de AirDrop del iPhone del destinatario. Utiliza tablas arco iris para revelar la información del remitente.
  • La aplicación móvil Fake Scameter se utiliza para estafar a los hongkoneses. Irónicamente, la aplicación original está diseñada para ayudar al público a identificar las estafas.
  • Ladrón de iPhone revela sus técnicas para robar teléfonos y entrar en aplicaciones bancarias.
  • Las aplicaciones iOS puede abusar de las notificaciones push iOS no permite que las aplicaciones se ejecuten en segundo plano, pero sí que procesen las notificaciones push durante un breve periodo de tiempo antes de presentarlas a los usuarios. Se ha descubierto que algunas aplicaciones ávidas de datos aprovechan este tiempo para recopilar y notificar datos, que pueden utilizarse para tomar huellas dactilares y rastrear a los usuarios aunque no estén utilizando la aplicación en absoluto.
  • MavenGate es un ataque a la cadena de ataque a la cadena de suministro que puede infectar aplicaciones Java y Android a través de dependencias no mantenidas y abandonadas. Cualquier biblioteca está vinculada a un dominio basado en su nombre en los productos Maven, incluida la famosa herramienta de compilación Gradle. Al expirar el dominio de un proyecto, un actor malicioso puede volver a registrar ese dominio y hacerse con la propiedad del proyecto. En consecuencia, una versión maliciosa de la biblioteca puede distribuirse como una nueva versión o sustituir a una versión existente.
  • MoqhaoMoqhao, también conocido como XLoader, es un malware para Android desplegado por la campaña Roaming Mantis. La última variante tiene una nueva capacidad. Se inicia automáticamente tras la instalación sin interacción del usuario. Esta variante se dirige principalmente a usuarios de Android en Japón y Corea del Sur, pero también en Francia, Alemania e India. Ataca a las víctimas mensajes de phishing para obtener beneficios económicos.
  • Las estafas románticas aumentaron un 22% el año pasado. Se robaron 6.937 libras de media por víctima. Las redes sociales y las aplicaciones de citas para atraer a sus víctimas.
  • El ataque de inyección de teclado no autenticado en Bluetooth puede provocar un restablecimiento de fábrica y borrar remotamente los datos de un teléfono móvil. La vulnerabilidad de Bluetooth que permite este ataque solo se ha corregido para los dispositivos Android e iOS más recientes.
  • Dos aseguradoras estadounidenses informaron a 66.000 personas de que sus información personal podría haber sido robada en ataques de intercambio de SIM. La autenticación de dos factores basada en aplicaciones protege contra este ataque.
  • VajraSpyun programa espía para Android desarrollado por Patchwork APT, roba contactos, archivos, registros de llamadas y mensajes SMS. Algunas variantes avanzadas también pueden robar mensajes de WhatsApp y Signal, grabar llamadas y hacer fotos.. Patchwork distribuye aplicaciones troyanizadas a través de Google Play Store y tiendas de aplicaciones de terceros dirigidas a usuarios de Pakistán.
  • La aplicación Wizzuna aplicación de redes sociales para adolescentes con aproximadamente 20 millones de usuarios activos, ha sido retirada de Apple App Store y Google Play Store debido a estafas de extorsión financiera dirigidas a sus usuarios.

Vulnerabilidades y parches

  • CISA añade CVE-2023-41990 a su catálogo de vulnerabilidades explotadas conocidas. Esta vulnerabilidad ha sido explotada en la campaña Operación Triangulación desde 2019, y finalmente fue descubierta cuando los investigadores de Kaspersky fueron atacados el año pasado. Apple la mitigó mejorando la gestión de la caché.
  • Las vulnerabilidades del firmware están siendo explotadas por empresas forenses para extraer información de dispositivos Android que no están en reposo. GrapheneOS ya ha informado de estas vulnerabilidades al Android Vulnerability Reward Program.
  • LeftoverLocals (CVE-2023-4969) permite recuperar los datos de otro proceso en la memoria de la unidad de procesamiento gráfico (GPU). Las GPU de Apple, Qualcomm y AMD están afectadas. Las aplicaciones GPU, como los grandes modelos de lenguaje o las aplicaciones de aprendizaje automático, están en peligro cuando se ejecutan en una GPU vulnerable.
  • Apple ha parcheado un día cero activamente explotado (CVE-2024-23222) en iOS 17.3 y iOS 16.7.5 versiones. Este fallo es un tipo de vulnerabilidad de confusión que podría conducir a la ejecución de código arbitrario. Se ha corregido con comprobaciones mejoradas. Apple también ha retrocedido las correcciones de dos días cero activamente explotados (CVE-2023-42916 y CVE-2023-42917) a dispositivos más antiguos en la versión iOS 15.8.1 iOS 15.8.1.
  • CISA añade CVE-2022-48618 a su catálogo de vulnerabilidades explotadas conocidas. Se trata de un fallo del kernel que conduce a un bypass de autenticación de puntero. Puede haber sido explotado contra versiones de iOS lanzadas antes de iOS 15.7.1.
  • Se descubrió que varios fabricantes (OEM) firmaban sus módulos APEX con las claves privadas de prueba que están disponibles públicamente en el repositorio de fuentes del Proyecto de Código Abierto de Android (AOSP). Esto permite a cualquiera falsificar una actualización para estos módulos. Nivel del parche de seguridad 2023-12-05 o posterior soluciona el problema (CVE-2023-45779).

Informes de inteligencia

  • El informe informe del Network Contagion Research Institute, en colaboración con el Miller Center de la Universidad de Rutgers, sugiere que la aplicación TikTok suprime o amplifica contenidos en interés del gobierno chino.
  • Anubis, AhMyth e Hiddad fueron los tres principales malwares para móviles en diciembre de 2023, según el Informe sobre el malware más buscado de Check Point.
  • En informe del Network Contagion Research Institute (NCRI) muestra que las estafas de sextorsión financiera son la ciberdelincuencia dirigida a menores que crece con mayor rapidez en Estados Unidos, Canadá y Australia. Los estafadores contactan con los menores a través de perfiles falsos en aplicaciones de redes sociales y utilizan herramientas avanzadas como la IA generativa para engañarlos.
  • En informe de Doctor Web de diciembre de 2023 indica que los troyanos adware de la familia Android HiddenAds fueron los más detectados, mientras que las actividades de troyanos bancarios para Android (1%) y spyware (10%) disminuyeron ligeramente en diciembre. También se encontraron un par de aplicaciones maliciosas en Google Play Store.
  • En informe de Access Now descubre que al menos 35 personas en Jordania han sido blanco del infame spyware Pegasus desde 2019.
  • En informe del Grupo de Análisis de Amenazas de Google (TAG) analiza en profundidad los proveedores comerciales de vigilancia. Estos proveedores están detrás de la mitad de los exploits de día cero conocidos dirigidos a productos de Google y dispositivos Android.