Se ha descubierto una nueva operación de malware para Android que es fruto del trabajo en equipo entre un desarrollador y un especialista en marketing. El programa malicioso, conocido como Rogue, fue presentado en la dark net por el conocido vendedor Triangulum, que unió fuerzas con el desarrollador HeXaGon DeV para reforzar la amenaza.
El nuevo malware Rogue fue expuesto por la empresa de seguridad CheckPoint, que compartió sus investigaciones al respecto. “La familia de malware Rogue adoptó los servicios de la plataforma Firebase para esconder sus intenciones maliciosas y hacerse pasar por un servicio legítimo de Google”, explicaron los investigadores de Checkpoint.
“Rogue utiliza los servicios de Firebase como un servidor C&C (de comando y control), lo que significa que todos los comandos que controlan el malware y toda la información que roba el programa se envían usando la infraestructura de Firebase”.
Rogue está disponible en la dark net y esta versión también ha elaborado una estrategia de marketing que empieza por mejorar la imagen de su producto: los anuncios de oferta de la nueva amenaza tienen una estética diseñada para llamar la atención de sus clientes potenciales y proyectar la imagen de un producto de confianza. Además, a partir de los intereses de los ciberdelincuentes, ambos criminales elaboraron diferentes planes de pago y nuevas amenazas que se adaptan a las demandas del mercado negro de Internet.
Una vez instalado, el programa malicioso esconde su ícono del teléfono del usuario y es capaz de tomar control del dispositivo infectado, modificar los archivos que contiene, robar la información que almacena, descargar amenazas adicionales y activar el micrófono y cámara. Además, registra las notificaciones que el dispositivo recibe y las guarda en una base de datos local para subirla a Firebase. Entre estas notificaciones se encuentran las de Whatsapp, Skype, Telegram y otras que por lo general contienen información más personal y de mayor valor. “Sin duda no es algo que nadie querría instalar en su dispositivo”, dijeron los investigadores de CheckPoint.
Checkpoint descubrió el programa mientras investigaba las actividades de Triangulum, que es especialista en revender programas en el mercado negro, ajustándolos y re-empaquetándolos según las demandas del público y sus estrategias de marketing. “Los mercados de la dark net suelen ser grises y aburridos, pero estos agentes de amenazas han adoptado tácticas del mundo real, lo que es bastante singular, no lo vemos con frecuencia”.
Se calcula que hay ya cientos de miles de teléfonos infectados y que este número podría aumentar, considerando la calidad de la amenaza y la intensidad de sus campañas de marketing.
Fuentes
Android malware vendor teams with marketer to promote new malware IT Pro
If These ‘Very Dangerous’ Apps Are Installed On Your Phone, Delete Them Now Forbes
Malware vendor returns with yet another nasty Android malware HackRead
Cibercriminales unen fuerzas para desarrollar y promocionar el malware para Android “Rogue”