Aplicaciones de Android Plagadas de Malware detectadas en Google Play

por
Noticias sobre ciberseguridad, hackeos, hacking y malware

Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023.

Descubrimiento del malware

El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones se cargaron en Google Play, y se descargaron aproximadamente 1,400 veces antes de ser eliminadas.

Las aplicaciones disfrazadas como aplicaciones de mensajería o noticias incluyen:

  1. Rafaqat رفاقت (noticias)
  2. Privee Talk (mensajería)
  3. MeetMe (mensajería)
  4. Charlemos (mensajes)
  5. Chat rápido (mensajería)
  6. Chit Chat (mensajería)

Descripción de VajraSpy

VajraSpy es un software espía y RAT que realiza diversas funciones de espionaje, centradas en el robo de datos. Sus capacidades incluyen:

  • Recopilación y transmisión de datos personales como contactos, registros de llamadas y mensajes SMS.
  • Interceptación y extracción de mensajes de aplicaciones de comunicación cifradas como WhatsApp y Signal.
  • Grabación de llamadas telefónicas para permitir la escucha de conversaciones privadas.
  • Activación de la cámara del dispositivo para tomar fotos, convirtiéndolo en una herramienta de vigilancia.
  • Interceptación de notificaciones de varias aplicaciones en tiempo real.
  • Búsqueda y extracción de documentos, imágenes, audio y otros tipos de archivos.

Extensión y adaptabilidad de VajraSpy

La potencia de VajraSpy radica en su naturaleza modular y su adaptabilidad. La amplitud de sus capacidades de espionaje está determinada por los permisos que obtiene en un dispositivo infectado.

Recomendaciones y conclusiones

ESET aconseja a los usuarios que se abstengan de descargar aplicaciones de chat poco conocidas recomendadas por personas desconocidas, ya que esto es una táctica común utilizada por ciberdelincuentes para infiltrar dispositivos.

Tendencias en Google Play

A pesar de las nuevas políticas de Google Play que dificultan que el malware se oculte en aplicaciones, los actores de amenazas continúan introduciendo sus aplicaciones maliciosas en la plataforma. Campañas anteriores tuvieron un desempeño superior a la actual campaña de espionaje de VajraSpy.

Otros casos recientes

En un caso anterior, se descubrió que el malware de robo de información SpyLoan se descargó 12 millones de veces desde Google Play en 2023.

Actualización 2/2 – Comentario de Google

Un portavoz de Google envió el siguiente comentario: “Tomamos en serio las reclamaciones de seguridad y privacidad contra las aplicaciones, y si descubrimos que una aplicación ha violado nuestras políticas, tomamos las medidas adecuadas. Los usuarios están protegidos por Google Play Protect, que puede advertir a los usuarios sobre aplicaciones conocidas por exhibir este comportamiento malicioso en dispositivos Android con servicios de Google Play, incluso cuando esas aplicaciones provienen de fuentes fuera de Play.”

Prevención de Re-infección

Después de la limpieza, para evitar la re-infección de PurpleFox, que es muy probable si aún hay máquinas infectadas en la misma red, habilitar el firewall en Windows y crear una regla para bloquear el tráfico entrante desde los puertos 135, 137, 139 y 445.

Relacionado

5 Pasos para Mejorar la Seguridad en Microsoft Teams

En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!

Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware

Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!

Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus. "El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras", según el CEO de ThreatFabric. Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto. Desde entonces, los ataques ¡SEGUIR LEYENDO!

ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc

ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!

Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer

Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!

Aplicaciones de Android e iOS con 15 millones de instalaciones han extorsionado a infinidad de solicitantes de préstamos

Más de 280 aplicaciones de Android e iOS en Google Play y las tiendas de aplicaciones de Apple atraparon a los usuarios en esquemas de préstamos con términos engañosos y emplearon varios métodos para extorsionar. https://ciberninjas.com/malware-extension-chrome-venomsoftx/ Para alimentar los intentos de extorsión de la operación, las aplicaciones robaban cantidades excesivas de datos de teléfonos móviles que normalmente no se requieren para ofrecer préstamos. En un nuevo ¡SEGUIR LEYENDO!

Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS

Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!