Los expertos hacen sonar la alarma sobre el nuevo malware de Android vendido en los foros de piratería

programa malicioso androide

Los investigadores de seguridad cibernética han expuesto las operaciones de un proveedor de malware para Android que se asoció con un segundo actor de amenazas para comercializar y vender un troyano de acceso remoto (RAT) capaz de apoderarse del dispositivo y exfiltrar fotos, ubicaciones, contactos y mensajes de aplicaciones populares como Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Mensajes de Google.

El vendedor, que se hace llamar «Triángulo«en varios foros de darknet, se alega que es un hombre de origen indio de 25 años, y el individuo abrió una tienda para vender el malware hace tres años, el 10 de junio de 2017, según un análisis publicado por Check Point Investiga hoy.

«El producto era una RAT móvil, dirigida a dispositivos Android y capaz de filtrar datos confidenciales de un servidor C&C, destruyendo datos locales, incluso eliminando todo el sistema operativo, a veces», dijeron los investigadores.

Un mercado clandestino activo para malware móvil

Reconstruyendo el rastro de actividades de Triangulum, la firma de ciberseguridad dijo que el desarrollador de malware, además de generar publicidad para RAT, también buscó posibles inversores y socios en septiembre de 2017 para mostrar las características de la herramienta antes de ofrecer el malware a la venta.

Se cree que Triangulum, el intercambio, estuvo fuera de la red durante aproximadamente un año y medio, sin signos de actividad en la red oscura, solo para resurgir el 6 de abril de 2019, con otro producto llamado «Rogue», este tiempo en colaboración con otro adversario llamado «HeXágono Dev«que se especializó en el desarrollo de RAT basadas en Android.

Al señalar que Triangulum había comprado previamente varios productos de malware ofrecidos por HeXaGoN Dev, Check Point dijo que Triangulum publicitó sus productos en diferentes foros de darknet con infografías bien diseñadas que enumeran las características completas de RAT. Además, HeXaGoN Dev se hizo pasar por un comprador potencial en un intento por atraer a más clientes.

Si bien el producto de 2017 se vendió por $ 60 fijos como una suscripción de por vida, los proveedores cambiaron a un modelo más viable financieramente en 2020 cobrando a los clientes entre $ 30 (1 mes) y $ 190 (acceso permanente) por el malware Rogue. .

Curiosamente, los intentos de Triangulum de expandirse al mercado ruso de la red oscura fracasaron luego de que el actor se negara a compartir videos de demostración en la publicación del foro que anunciaba el producto.

De Cosmos a Dark Shades a Rogue

Rogue (v6.2), que parece ser la última iteración de un malware llamado Dark Shades (v6.0) que inicialmente vendió HeXaGoN Dev antes de que lo comprara Triangulum en agosto de 2019, también viene con características tomadas de una segunda familia de malware. llamada Hawkshaw, cuyo código fuente se hizo público en 2017.

«Triangulum no desarrolló esta creación desde cero, tomó lo que estaba disponible en ambos mundos, el código abierto y la red oscura, y unió estos componentes», dijeron los investigadores.

Dark Shades, como resultado, es un «sucesor superior» de Cosmos, un RAT separado vendido por el actor HeXaGoN Dev, lo que hace que la venta de Cosmos sea redundante.

Rogue se comercializa como una RAT «hecha para ejecutar comandos con características increíbles sin necesidad de una computadora (sic)», con capacidades adicionales para controlar a los clientes infectados de forma remota mediante un panel de control o un teléfono inteligente.

De hecho, RAT se jacta de una amplia gama de características para obtener control sobre el dispositivo host y filtrar cualquier tipo de datos (como fotos, ubicación, contactos y mensajes), modificar los archivos en el dispositivo e incluso descargar cargas maliciosas adicionales. , mientras se asegura de que el usuario otorga permisos intrusivos para llevar a cabo sus actividades nefastas.

También está diseñado para frustrar la detección al ocultar el ícono del dispositivo del usuario, eludir las restricciones de seguridad de Android al explotar las funciones de accesibilidad para registrar las acciones del usuario y registra su propio servicio de notificación para espiar cada notificación que aparece en el teléfono infectado.

Además, el sigilo está integrado en la herramienta. Rogue usa la infraestructura Firebase de Google como un servidor de comando y control (C2) para disfrazar sus intenciones maliciosas, abusando de la función de mensajería en la nube de la plataforma para recibir comandos del servidor, y Realtime Database y Cloud Firestore para cargar datos y documentos acumulados de la víctima. dispositivo.

Rogue sufrió una fuga en abril de 2020

Triangulum puede estar actualmente activo y expandir su clientela, pero en abril de 2020, el malware terminó filtrándose.

El investigador de ESET, Lukas Stefanko, en un tuit del 20 de abril del año pasado, dijo que el código fuente de la botnet Rogue Android se publicó en un foro clandestino y señaló que «tiene muchos problemas de seguridad» y que «es un nuevo nombre para Dark». Shades V6.0 (mismo desarrollador)».

Pero a pesar de la filtración, los investigadores de Check Point señalan que el equipo de Triangulum todavía recibe mensajes en el foro Darknet de la casa del actor de clientes interesados.

«Los proveedores de malware móvil se están volviendo mucho más ingeniosos en la red oscura. Nuestra investigación nos permite vislumbrar la locura de la red oscura: cómo evoluciona el malware y lo difícil que es ahora rastrearlo, clasificarlo y protegerse contra él de manera efectiva. , «Dijo el Jefe de Investigación Cibernética de Check Point, Yaniv Balmas.

«El mercado clandestino todavía es como el salvaje oeste en cierto sentido, lo que hace que sea muy difícil entender qué es una amenaza real y qué no lo es».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática