Varios clientes europeos de diferentes bancos están siendo blanco de un troyano bancario para Android llamado SpyNote, como parte de una agresiva campaña detectada en junio y julio de 2023.
"El spyware se distribuye a través de campañas de phishing o smishing por correo electrónico, y las actividades fraudulentas se ejecutan mediante una combinación de capacidades de troyanos de acceso remoto (RAT) y ataques de vishing", dijo la firma de ciberseguridad italiana Cleafy en un análisis técnico publicado el lunes. SpyNote, también conocido como SpyMax, es similar a otros troyanos bancarios para Android en el sentido de que requiere los permisos de accesibilidad de Android para otorgarse otros permisos necesarios y recopilar datos sensibles de los dispositivos infectados. Lo que hace destacar a esta cepa de malware es su doble función como spyware y para cometer fraudes bancarios.
Las cadenas de ataque comienzan con un falso mensaje de SMS que insta a los usuarios a instalar una aplicación bancaria haciendo clic en el enlace adjunto, redirigiendo a la víctima a la legítima aplicación TeamViewer QuickSupport disponible en la tienda de Google Play. "TeamViewer ha sido adoptado por varios actores de amenazas para llevar a cabo operaciones de fraude a través de ataques de ingeniería social", dijo el investigador de seguridad Francesco Iubatti. "En particular, el atacante llama a la víctima haciéndose pasar por operadores bancarios y realiza transacciones fraudulentas directamente en el dispositivo de la víctima".
La idea es utilizar TeamViewer como un conducto para obtener acceso remoto al teléfono de la víctima e instalar sigilosamente el malware. La información de varios tipos recopilada por SpyNote incluye datos de geolocalización, pulsaciones de teclas, grabaciones de pantalla y mensajes de SMS para evadir la autenticación de dos factores (2FA) basada en SMS.
La divulgación se produce cuando la operación de hackeo por contrato conocida como Bahamut ha sido vinculada a una nueva campaña dirigida a personas en las regiones de Oriente Medio y Asia del Sur, con el objetivo de instalar una aplicación de chat falsa llamada SafeChat que oculta un malware para Android llamado CoverIm.
Entregada a las víctimas a través de WhatsApp, la aplicación posee funciones idénticas a las de SpyNote, solicitando permisos de accesibilidad y otros para recopilar registros de llamadas, contactos, archivos, ubicación, mensajes de SMS, además de instalar aplicaciones adicionales y robar datos de Facebook Messenger, imo, Signal, Telegram, Viber y WhatsApp.
Cyfirma, que descubrió la última actividad, dijo que las tácticas utilizadas por este actor amenazante se superponen con otro actor estatal conocido como el equipo DoNot, que fue observado recientemente utilizando aplicaciones Android falsas publicadas en la tienda Play Store para infectar a personas en Pakistán. Aunque los detalles exactos del aspecto de ingeniería social del ataque no están claros, se sabe que Bahamut utiliza identidades ficticias en Facebook e Instagram, haciéndose pasar por reclutadores tecnológicos en grandes empresas de tecnología, periodistas, estudiantes y activistas para engañar a los usuarios desprevenidos y hacer que descarguen malware en sus dispositivos.
"Bahamut utilizó una variedad de tácticas para alojar y distribuir malware, incluida una red de dominios maliciosos que pretendían ofrecer servicios de chat seguros, intercambio de archivos, conectividad o aplicaciones de noticias", reveló Meta en mayo de 2023. "Algunos de ellos falsificaron los dominios de medios de comunicación regionales, organizaciones políticas o tiendas de aplicaciones legítimas, probablemente para que sus enlaces parecieran más auténticos".
¿Quieres saber más?
Comments