Los investigadores de ciberseguridad han descubierto que los actores de amenaza están configurando sitios web engañosos alojados en dominios recién registrados para entregar un malware Android llamado Espinote.
Estos sitios web falsos se basan en las páginas de instalación de Google Play Store para aplicaciones como el navegador web Chrome, lo que indica un intento de engañar a los usuarios desprevenidos para que instalaran el malware.
«El actor de amenaza utilizó una combinación de sitios de entrega en inglés y en el idioma chino e incluyó comentarios en el sitio del sitio de entrega y el malware en sí», dijo el equipo de Investigaciones de Doma-Domainteols (DTI) en un documentación compartido con las telediario de Hacker.
Spynote (incluso conocido como SpyMax) es un troyano de acercamiento remoto conocido por su capacidad para cosechar datos confidenciales de dispositivos Android comprometidos al pasarse de los servicios de accesibilidad. En mayo de 2024, el malware se propagó a través de otro sitio adulterado que se hace suceder por una posibilidad antivirus legítima conocida como Avast.
El investigación posterior de la firma de seguridad móvil Zimperium ha descubierto similitudes entre Spynote y Gigabud, lo que aumenta la posibilidad de que el mismo actor o actores de amenaza esté detrás de las dos familias de malware. Gigabud se atribuye a un actor de amenaza de deje china con nombre en código GoldFactory.
Con los primaveras, Spynote incluso ha manido cierto nivel de asimilación por grupos de piratería patrocinados por el estado, como Oilalpha y otros actores desconocidos.
Los sitios web de clones identificados por DTI incluyen un carrusel de imágenes que, cuando se hace clic, descargan un archivo APK astuto en el dispositivo del agraciado. El archivo del paquete actúa como un cuentagotas para instalar una segunda carga útil de APK integrada a través de la interfaz Dialoginterface.OnclickListener que permite la ejecución del malware Spynote cuando se hace clic en un sujeto en un cuadro de diálogo.
«Tras la instalación, solicita agresivamente numerosos permisos intrusivos, obteniendo un control extenso sobre el dispositivo comprometido», dijo DTI.
«Este control permite el robo de datos confidenciales, como mensajes SMS, contactos, registros de llamadas, información de ubicación y archivos. Spynote incluso cuenta con capacidades de acercamiento remoto significativos, incluida la activación de cámara y micrófono, manipulación de llamadas y ejecución de comandos arbitrarios».
La divulgación se produce cuando Lookout reveló que observó más de 4 millones de ataques de ingeniería social centrados en dispositivos móviles en 2024, con 427,000 aplicaciones maliciosas detectadas en dispositivos empresariales y 1,600,000 detecciones de aplicaciones vulnerables durante el período de tiempo.
«En el transcurso de los últimos cinco primaveras, los usuarios de iOS han estado expuestos a significativamente más ataques de phishing que los usuarios de Android», dijo Lookout. «2024 fue el primer año en el que los dispositivos iOS se expusieron más del doble que los dispositivos Android».
Las agencias de Intel advierten sobre Badbazaar y Moonshine
Los hallazgos incluso siguen un aviso conjunto emitido por agencias de ciberseguridad e inteligencia de Australia, Canadá, Alemania, Nueva Zelanda, el Reino Unido y los Estados Unidos sobre la orientación de las comunidades uigures, taiwaneses y tibetanos utilizando familias de malware como Badbazaar y Moonshine.
Los objetivos de la campaña incluyen organizaciones no gubernamentales (ONG), periodistas, empresas y miembros de la sociedad civil que abogan o representan a estos grupos. «La forma indiscriminada de este spyware se extiende en trayecto incluso significa que existe el aventura de que las infecciones se propagen más allá de las víctimas previstas», dijeron las agencias.
 |
| Un subconjunto de iconos de aplicaciones utilizados por muestras de la útil de vigilancia de la reflejo a partir de enero de 2024 |
Tanto Badbazaar como Moonshine se clasifican como troyanos que son capaces de compendiar datos confidenciales de dispositivos Android e iOS, incluidas ubicaciones, mensajes, fotos y archivos. Por lo genérico, se distribuyen a través de aplicaciones que se pasan como mensajes, servicios públicos o aplicaciones religiosas.
Badbazaar fue documentado por primera vez por Lookout en noviembre de 2022, aunque se evaluó que las campañas que distribuyen el malware habían estado en curso ya en 2018. La luz de la reflejo, por otro flanco, recientemente fue utilizado por un actor de amenaza llamado Earth Minotaur para allanar las operaciones de vigilancia a espacioso plazo dirigidas a los tibetanos y los ohughurs.
El uso de Badbazaar ha sido vinculado a un categoría de piratería chino rastreado como APT15, que incluso se conoce como Flea, Nylon Typhoon (anteriormente Níquel), Tauro juguetón, Royal Apt y Vixen Panda.
«Si acertadamente la modificación iOS de Badbazaar tiene capacidades relativamente limitadas en comparación con su contraparte de Android, todavía tiene la capacidad de exfiltrar datos personales del dispositivo de la víctima», dijo Lookout en un documentación publicado en enero de 2024. «La evidencia sugiere que se dirigió principalmente a la comunidad tibetana internamente de China».
Según la compañía de seguridad cibernética, los datos recopilados de los dispositivos de las víctimas a través de Moonshine se exfiltran a una infraestructura controlada por los atacantes a la que se puede obtener a través de un llamado panel de distribución escocés, que muestra detalles de dispositivos comprometidos y el nivel de acercamiento a cada uno de ellos. A partir de enero de 2024, 635 dispositivos se registraron en tres paneles de distribución escocés.
En un progreso relacionado, las autoridades suecas han arrestado a Dilshat Revhit, un residente de Estocolmo Uyghur, bajo sospecha de espiar a otros miembros de la comunidad en el país. Reshit ha servido como portavoz de la idioma china del Congreso Uyghur del Mundo (WUC) desde 2004.
