Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus.

“El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras”, según el CEO de ThreatFabric.

Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto.

Desde entonces, los ataques se han expandido para incluir una gama de aplicaciones como banca, reproductores multimedia, servicios de entrega, aplicaciones gubernamentales y antivirus como McAfee.

El nuevo troyano se basa casi completamente en el famoso troyano bancario Cerberus, según los hallazgos de la firma holandesa de ciberseguridad ThreatFabric.

DukeEugene también es conocido como el actor detrás de la campaña BlackRock.

Con una amplia variedad de capacidades para el robo de datos, el infostealer y el keylogger se originan en otra cepa bancaria llamada Xerxes que a su vez es una cepa del troyano bancario LokiBot Android.

Contenidos

El código de los malware

Lokibot Android, tiene su código fuente publicado por su autor desde Mayo de 2019.

RELACIONADOS: Nuevo Malware Migo desactiva las Funciones de Protección en los Servidores Redis

Cerberus, tuvo su propio código fuente lanzado como un troyano de acceso remoto gratuito (RAT) en foros de piratería clandestinos luego de una subasta fallida que buscaba ganar 100.000 dólares para su desarrollador.

Desde ThreatFabric también se destaca el cese de la actividad de BlackRock desde la aparición de ERMAC, lo que plantea la posibilidad de que DukeEugene haya pasado de utilizar BlackRock a ERMAC.

Además de compartir similitudes con Cerberus, la variedad recién descubierta se destaca por el uso de técnicas de ofuscación y el esquema de cifrado Blowfish que se comunica con el servidor.

Daños buscados por ERMAC

ERMAC

, al igual que su progenitor y otros malware bancarios; está diseñado para robar información, mensajes de texto, abrir aplicaciones y desencadenar ataques de superposición en aplicaciones financieras.

El objetivo final de todo eso es lograr el robo de las credenciales de inicio de sesión de las víctimas.

Además, el troyano ha desarrollado nuevas funciones que permiten al software malicioso borrar el caché de una aplicación específica y robar las cuentas almacenadas dentro del dispositivo.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

RELACIONADOS: SolarWinds corrige Errores Críticos de RCE en la Solución de Auditoría de Derechos de Acceso

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

RELACIONADOS: Nueva Variante del Malware Qbot usa Ventana Emergente Falsa del Instalador de Adobe

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!

SolarWinds corrige Errores Críticos de RCE en la Solución de Auditoría de Derechos de Acceso

SolarWinds ha solucionado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten una explotación no autenticada. Access Rights Manager permite a las empresas gestionar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más. CVE-2024-23476 y CVE-2024-23479 se deben a ¡SEGUIR LEYENDO!