Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus.
“El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras”, según el CEO de ThreatFabric.
Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto.
Desde entonces, los ataques se han expandido para incluir una gama de aplicaciones como banca, reproductores multimedia, servicios de entrega, aplicaciones gubernamentales y antivirus como McAfee.
El nuevo troyano se basa casi completamente en el famoso troyano bancario Cerberus, según los hallazgos de la firma holandesa de ciberseguridad ThreatFabric.
DukeEugene también es conocido como el actor detrás de la campaña BlackRock.
Con una amplia variedad de capacidades para el robo de datos, el infostealer y el keylogger se originan en otra cepa bancaria llamada Xerxes que a su vez es una cepa del troyano bancario LokiBot Android.
El código de los malware
Lokibot Android, tiene su código fuente publicado por su autor desde Mayo de 2019.
Cerberus, tuvo su propio código fuente lanzado como un troyano de acceso remoto gratuito (RAT) en foros de piratería clandestinos luego de una subasta fallida que buscaba ganar 100.000 dólares para su desarrollador.
Desde ThreatFabric también se destaca el cese de la actividad de BlackRock desde la aparición de ERMAC, lo que plantea la posibilidad de que DukeEugene haya pasado de utilizar BlackRock a ERMAC.
Además de compartir similitudes con Cerberus, la variedad recién descubierta se destaca por el uso de técnicas de ofuscación y el esquema de cifrado Blowfish que se comunica con el servidor.
Daños buscados por ERMAC
ERMAC
, al igual que su progenitor y otros malware bancarios; está diseñado para robar información, mensajes de texto, abrir aplicaciones y desencadenar ataques de superposición en aplicaciones financieras.
El objetivo final de todo eso es lograr el robo de las credenciales de inicio de sesión de las víctimas.
Además, el troyano ha desarrollado nuevas funciones que permiten al software malicioso borrar el caché de una aplicación específica y robar las cuentas almacenadas dentro del dispositivo.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Aplicaciones de Android Plagadas de Malware detectadas en Google Play Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!
Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!