Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Cibercriminales distribuyen malware SpyNote en Android
Noticias

Cibercriminales distribuyen malware SpyNote en Android

por Dragora
Escrito por Dragora

Los investigadores en ciberseguridad han detectado una nueva táctica utilizada por cibercriminales de amenazas para propagar el troyano de acceso remoto (RAT) SpyNote en dispositivos Android. Estos ciberdelincuentes están creando sitios web falsos alojados en dominios recién registrados, diseñados para imitar las páginas de instalación de Google Play Store y engañar a los usuarios.

El objetivo de estos portales fraudulentos es suplantar aplicaciones populares, como el navegador web Google Chrome, para inducir a los usuarios desprevenidos a descargar el malware en lugar de la app oficial.

El origen de la amenaza: SpyNote y sus variantes

De acuerdo con un informe de DomainTools Investigations (DTI), los ciberdelincuentes han utilizado una combinación de sitios web en inglés y chino. Además, se han encontrado comentarios en chino dentro del código del malware, lo que sugiere que los atacantes podrían ser de origen asiático.

¿Qué es SpyNote?

SpyNote, también conocido como SpyMax, es un troyano de acceso remoto (RAT) activo desde hace varios años. Su principal característica es la capacidad de explotar los servicios de accesibilidad de Android para robar información confidencial. En mayo de 2024, este malware ya había sido distribuido a través de otro sitio fraudulento que se hacía pasar por la solución antivirus Avast.

Relación con otras amenazas: Gigabud y GoldFactory

Un análisis de la firma de seguridad Zimperium reveló similitudes entre SpyNote y otro malware llamado Gigabud. Este hallazgo indica la posibilidad de que ambos sean desarrollados por el mismo grupo de hackers. Gigabud ha sido vinculado a GoldFactory, un actor de amenazas de habla china especializado en ataques dirigidos.

En los últimos años, se ha detectado el uso de SpyNote por parte de grupos de piratería patrocinados por estados, como OilAlpha, así como por otros actores aún desconocidos.

Modo de operación de los cibercriminales

Los sitios web fraudulentos identificados por DTI incluyen un carrusel de imágenes que, al hacer clic, descargan un archivo APK malicioso en el dispositivo del usuario.

Estrategia de infección

  1. Descarga del APK malicioso desde el sitio web clonado.
  2. El archivo actúa como un cuentagotas, instalando una segunda carga útil mediante la interfaz DialogInterface.OnClickListener.
  3. Al hacer clic en un elemento del cuadro de diálogo, el malware SpyNote se ejecuta en el dispositivo infectado.

SpyNote, BadBazaar, MOONSHINE Malware

Permisos y capacidades maliciosas

Una vez instalado, SpyNote solicita permisos intrusivos, lo que le permite:

✅ Robar mensajes SMS, contactos, registros de llamadas y ubicación.
✅ Activar remotamente cámaras y micrófonos del dispositivo.
✅ Manipular llamadas y ejecutar comandos arbitrarios.
✅ Exfiltrar archivos personales del usuario.

Aumento de ataques de ingeniería social en móviles

Según un informe de Lookout, en 2024 se registraron más de 4 millones de ataques de ingeniería social dirigidos a dispositivos móviles. Entre ellos:

  • 427,000 aplicaciones maliciosas detectadas en dispositivos empresariales.
  • 1.6 millones de aplicaciones vulnerables identificadas en dispositivos Android.

Dispositivos iOS también son vulnerables

Un hallazgo sorprendente de Lookout es que, por primera vez, los dispositivos iOS han estado más expuestos a ataques de phishing que los dispositivos Android. En 2024, los dispositivos con iOS fueron atacados el doble de veces en comparación con los de Android.

Otros malware en el radar: BadBazaar y MOONSHINE

Las agencias de ciberseguridad de Australia, Canadá, Alemania, Nueva Zelanda, Reino Unido y Estados Unidos han emitido un aviso conjunto sobre los ataques dirigidos contra comunidades uigures, tibetanas y taiwanesas mediante malware como BadBazaar y MOONSHINE.

Objetivos de la campaña

Los principales afectados incluyen:

  • ONGs y periodistas.
  • Empresas y defensores de derechos humanos.
  • Miembros de la sociedad civil que representan a estos grupos minoritarios.

Según las agencias de inteligencia, el software espía tiene una propagación tan amplia que puede infectar a usuarios no previstos, ampliando el impacto del ataque.

Capacidades de BadBazaar y MOONSHINE

Estos troyanos para Android e iOS pueden:

  • Robar información personal (mensajes, fotos, ubicación y archivos).
  • Hacerse pasar por aplicaciones de mensajería o utilidades para engañar a las víctimas.

BadBazaar fue documentado por Lookout en noviembre de 2022, aunque su actividad data de 2018. Por otro lado, MOONSHINE fue utilizado recientemente por el grupo Earth Minotaur para espiar a tibetanos y uigures.

Vinculación con APT15

La investigación sugiere que BadBazaar podría estar asociado con APT15, un grupo de hackers chino también conocido como Flea, Nickel, Playful Taurus, Royal APT y Vixen Panda.

Recomendaciones de seguridad

Ante el crecimiento de las amenazas SpyNote, BadBazaar y MOONSHINE, se recomienda:

🔹 No descargar aplicaciones fuera de Google Play Store o App Store.
🔹 Verificar la autenticidad de los sitios web antes de instalar apps.
🔹 Evitar conceder permisos excesivos a aplicaciones desconocidas.
🔹 Usar soluciones de seguridad avanzadas en dispositivos móviles.
🔹 Actualizar el sistema operativo y las apps con regularidad.

Los ataques de ingeniería social y el malware para Android e iOS están en aumento. Adoptar prácticas de ciberseguridad preventiva es clave para evitar ser víctima de estas amenazas emergentes.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Alerta crítica: WhatsApp corrige vulnerabilidad que permitía ejecución...

Conflicto de intereses: Elon Musk en el punto...

Alerta crítica: descubren malicioso paquete en PyPI que...

Meta entrena su IA con datos europeos públicos

Donald Trump firma la primera ley cripto en...

Inteligencia artificial, empleo y fraude: cuando el hype...

Grok AI la inteligencia artificial de X con...

Microsoft lanza crucial actualización para resolver bloqueos en...

Paper Werewolf: El grupo de ciberespionaje que ataca...

Grupo ToddyCat explota vulnerabilidad en software de ESET

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!