{"id":39955,"date":"2022-11-09T08:12:39","date_gmt":"2022-11-09T14:12:39","guid":{"rendered":"http:\/\/mickyandoniehn.com\/radio\/2022\/11\/09\/aplicacion-de-traduccion-esconde-malware-para-espiar-a-usuarios-de-android\/"},"modified":"2022-11-09T08:12:39","modified_gmt":"2022-11-09T14:12:39","slug":"aplicacion-de-traduccion-esconde-malware-para-espiar-a-usuarios-de-android","status":"publish","type":"post","link":"http:\/\/mickyandoniehn.com\/radio\/2022\/11\/09\/aplicacion-de-traduccion-esconde-malware-para-espiar-a-usuarios-de-android\/","title":{"rendered":"Aplicaci\u00f3n de traducci\u00f3n esconde malware para espiar a usuarios de Android"},"content":{"rendered":"<p><strong>Tegucigalpa,Honduras mi\u00e9rcoles 09 noviembre \u00a02022<\/strong><\/p>\n<\/p>\n<p>El equipo de investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 recientemente una nueva versi\u00f3n del malware para Android, FurBall, que se utiliza en una campa\u00f1a de Domestic Kitten cuyo objetivo es monitorear a trav\u00e9s de los dispositivos m\u00f3viles la actividad que realizan los usuarios. Desde junio de 2021 este malware se distribuye como una app de traducci\u00f3n a trav\u00e9s de un sitio web falso, que imita un sitio leg\u00edtimo, que ofrece art\u00edculos y libros traducidos.<\/p>\n<p><strong>Los puntos clave que se\u00f1ala ESET de esta investigaci\u00f3n, son:<\/strong><\/p>\n<p>La campa\u00f1a Domestic Kitten sigue en curso y se remonta al menos a 2016.<br \/>\nSe descubri\u00f3 una nueva muestra ofuscada del malware para Android Furball utilizada en la campa\u00f1a.<br \/>\nSe distribuye utilizando un sitio falso que suplanta la identidad de otro leg\u00edtimo.<br \/>\nPara permanecer bajo el radar, la muestra analizada solo tiene habilitada la funcionalidad de espionaje restringido.<\/p>\n<p>\u201cLa nueva versi\u00f3n del malware para Android FurBall se utiliza en una campa\u00f1a de Domestic Kitten, llevada adelante por el grupo de APT-C-50. Esta nueva versi\u00f3n cuenta con las mismas funcionalidades para espiar que las versiones anteriores y dado que la capacidad del malware no ha cambiado en esta variante, el objetivo principal de esta actualizaci\u00f3n parece ser evitar la detecci\u00f3n por parte soluciones de seguridad.\u00a0Sin embargo, estas modificaciones no han tenido efecto en el software de ESET, ya que los productos de ESET detectan esta amenaza\u201d, menciona Lukas Stefanko, Malware Researcher de ESET.<\/p>\n<p>La muestra analizada por ESET solicita solo un permiso intrusivo a la v\u00edctima al momento de ser instalada: acceder a los contactos. La raz\u00f3n podr\u00eda ser su intenci\u00f3n de permanecer bajo el radar; por otro lado, el equipo de investigaci\u00f3n cree que podr\u00eda indicar ser la fase anterior de un ataque de spearphishing realizado a trav\u00e9s de mensajes de texto. Si el actor de amenazas ampl\u00eda los permisos de la aplicaci\u00f3n, tambi\u00e9n ser\u00eda capaz de filtrar otro tipo de datos de los tel\u00e9fonos afectados, como mensajes SMS, ubicaci\u00f3n del dispositivo, llamadas telef\u00f3nicas grabadas y mucho m\u00e1s.<\/p>\n<p>Esta aplicaci\u00f3n maliciosa para Android se distribuye a trav\u00e9s de un sitio web falso que copia el dise\u00f1o de un sitio leg\u00edtimo que ofrece art\u00edculos y libros traducidos del ingl\u00e9s al persa (downloadmaghaleh.com). Seg\u00fan la informaci\u00f3n de contacto del sitio web leg\u00edtimo, este servicio se brinda desde Ir\u00e1n, lo que lleva a creer que el sitio web falso fue dise\u00f1ado para atraer a usuarios. El prop\u00f3sito de los atacantes con este falso sitio es ofrecer una aplicaci\u00f3n para Android que es posible descargar despu\u00e9s de hacer clic en un bot\u00f3n que dice, en persa, \u201cDescargar la aplicaci\u00f3n\u201d. El bot\u00f3n tiene el logotipo de Google Play, pero la aplicaci\u00f3n no est\u00e1 disponible en la tienda oficial de Google para Android; sino que se descarga directamente desde el servidor del atacante. La aplicaci\u00f3n fue cargada a VirusTotal y desde ah\u00ed se activ\u00f3 una de las reglas YARA de ESET, lo que dio la oportunidad de analizarla.<\/p>\n<p>De acuerdo a la \u00faltima informaci\u00f3n disponible en el directorio abierto de descarga de la APK en el falso sitio web, desde ESET infieren que esta aplicaci\u00f3n ha estado disponible para su descarga al menos desde el 21 de junio de 2021.<\/p>\n<p>FurBall, el malware para Android utilizado en esta operaci\u00f3n desde que comenzaron estas campa\u00f1as, fue creado sobre la base de la herramienta de stalkerware KidLogger , la cual est\u00e1 disponible para la venta. Seg\u00fan el equipo de investigaci\u00f3n de ESET, los desarrolladores de FurBall se inspiraron en la versi\u00f3n de c\u00f3digo abierto de hace siete a\u00f1os que est\u00e1 disponible en Github.<\/p>\n<p>\u201cLa campa\u00f1a Domestic Kitten todav\u00eda est\u00e1 activa y utiliza falsos sitios web para dirigirse a los usuarios de la aplicaci\u00f3n. El objetivo de los operadores detr\u00e1s de esta campa\u00f1a ha cambiado ligeramente y pas\u00f3 de distribuir spyware para Android con todas las funciones a una variante m\u00e1s ligera. Solicita solo un permiso intrusivo, que es para acceder a los contactos, con lo cual probablemente no despierte demasiadas sospechas en las posibles v\u00edctimas durante el proceso de instalaci\u00f3n. Esta tambi\u00e9n podr\u00eda ser la primera etapa de recopilaci\u00f3n de contactos a los que podr\u00eda seguir el spearphishing a trav\u00e9s de mensajes de texto. Adem\u00e1s de reducir las funcionalidades de su aplicaci\u00f3n, los creadores del malware intentaron disminuir la cantidad de detecciones mediante la implementaci\u00f3n de un esquema de ofuscaci\u00f3n de c\u00f3digo simple para ocultar sus intenciones de las soluciones de seguridad para dispositivos m\u00f3viles.\u201d, concluye Stefanko de ESET.<\/p>\n<p><strong>Fuente: La Tribuna<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Tegucigalpa,Honduras mi\u00e9rcoles 09 noviembre \u00a02022 El equipo de investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 recientemente una nueva versi\u00f3n del malware para Android, FurBall, que se utiliza en una campa\u00f1a de Domestic Kitten cuyo objetivo es monitorear a trav\u00e9s de los dispositivos m\u00f3viles la actividad que realizan los usuarios. Desde junio &hellip;<\/p>\n","protected":false},"author":0,"featured_media":39956,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5],"tags":[],"class_list":["post-39955","post","type-post","status-publish","format-standard","has-post-thumbnail","","category-noticias"],"jetpack_sharing_enabled":true,"jetpack_featured_media_url":"http:\/\/mickyandoniehn.com\/radio\/wp-content\/uploads\/2022\/11\/1-1-750x357-1-9428GP.jpeg","_links":{"self":[{"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/posts\/39955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/comments?post=39955"}],"version-history":[{"count":0,"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/posts\/39955\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/media\/39956"}],"wp:attachment":[{"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/media?parent=39955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/categories?post=39955"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/mickyandoniehn.com\/radio\/wp-json\/wp\/v2\/tags?post=39955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}