News

Cibercriminales unen fuerzas para desarrollar y promocionar el malware para Android “Rogue”

Se ha descubierto una nueva operación de malware para Android que es fruto del trabajo en equipo entre un desarrollador y un especialista en marketing. El programa malicioso, conocido como Rogue, fue presentado en la dark net por el conocido vendedor Triangulum, que unió fuerzas con el desarrollador HeXaGon DeV para reforzar la amenaza.
El nuevo malware Rogue fue expuesto por la empresa de seguridad CheckPoint, que compartió sus investigaciones al respecto. “La familia de malware Rogue adoptó los servicios de la plataforma Firebase para esconder sus intenciones maliciosas y hacerse pasar por un servicio legítimo de Google”, explicaron los investigadores de Checkpoint.
“Rogue utiliza los servicios de Firebase como un servidor C&C (de comando y control), lo que significa que todos los comandos que controlan el malware y toda la información que roba el programa se envían usando la infraestructura de Firebase”.
Rogue está disponible en la dark net y esta versión también ha elaborado una estrategia de marketing que empieza por mejorar la imagen de su producto: los anuncios de oferta de la nueva amenaza tienen una estética diseñada para llamar la atención de sus clientes potenciales y proyectar la imagen de un producto de confianza. Además, a partir de los intereses de los ciberdelincuentes, ambos criminales elaboraron diferentes planes de pago y nuevas amenazas que se adaptan a las demandas del mercado negro de Internet.
Una vez instalado, el programa malicioso esconde su ícono del teléfono del usuario y es capaz de tomar control del dispositivo infectado, modificar los archivos que contiene, robar la información que almacena, descargar amenazas adicionales y activar el micrófono y cámara. Además, registra las notificaciones que el dispositivo recibe y las guarda en una base de datos local para subirla a Firebase. Entre estas notificaciones se encuentran las de Whatsapp, Skype, Telegram y otras que por lo general contienen información más personal y de mayor valor. “Sin duda no es algo que nadie querría instalar en su dispositivo”, dijeron los investigadores de CheckPoint.
Checkpoint descubrió el programa mientras investigaba las actividades de Triangulum, que es especialista en revender programas en el mercado negro, ajustándolos y re-empaquetándolos según las demandas del público y sus estrategias de marketing. “Los mercados de la dark net suelen ser grises y aburridos, pero estos agentes de amenazas han adoptado tácticas del mundo real, lo que es bastante singular, no lo vemos con frecuencia”.
Se calcula que hay ya cientos de miles de teléfonos infectados y que este número podría aumentar, considerando la calidad de la amenaza y la intensidad de sus campañas de marketing.

Fuentes
Android malware vendor teams with marketer to promote new malware IT Pro
If These ‘Very Dangerous’ Apps Are Installed On Your Phone, Delete Them Now Forbes
Malware vendor returns with yet another nasty Android malware HackRead

Cibercriminales unen fuerzas para desarrollar y promocionar el malware para Android “Rogue”

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada