Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • ErrorFather distribuye una nueva variante del troyano bancario Cerberus Android. Puede realizar ataques de superposición, keylogging y VNC (pantalla compartida). Esta variante implementa un despliegue en varias fases para eludir la detección y utiliza un algoritmo de generación de dominios para aumentar la resistencia frente a los desmantelamientos de servidores C2.
  • Las credenciales de servicios en la nube codificadas y desprotegidas se encuentran en en aplicaciones populares de iOS y Android con millones de descargas. Este fallo expone infraestructuras críticas, como Amazon Web Services (AWS) y Microsoft Azure, a posibles ataques.
  • En LightSpy destaca la importancia de mantener los sistemas actualizados. En utiliza exploits n-day para entregar cargas útiles y escalar privilegios. Este implante utiliza un jailbreak sin root que no sobrevive a un reinicio. Los reinicios periódicos pueden ser útiles. Es probable que los actores de la amenaza detrás de LightSpy se encuentren en China.
  • En estafa de Lounge Pass campaña se dirige a los pasajeros aéreos de los aeropuertos indios con un programa malicioso Android que roba SMS. La aplicación fraudulenta extrae los mensajes SMS de las víctimas que contienen las claves de acceso. Más de 450 personas han sido víctimas de la estafa, con pérdidas de más de 9 millones de rupias indias (unos 11.000 dólares).
  • El Necro ha sido descubierto en Google Play Store. El número acumulado de descargas de las aplicaciones infectadas supera los 11 millones. Puede cometer fraude publicitario, descargar y ejecutar código adicional, instalar aplicaciones, crear un túnel a través del dispositivo infectado y, potencialmente, suscribirse a servicios premium. En particular, su cargador utiliza la esteganografía para ocultar las cargas útiles de segunda etapa. Necro también se ha detectado fuera de la tienda oficial en las versiones modificadas de Spotify, Minecraft y otras aplicaciones populares.
  • Octo2la nueva variante de Octo (también conocido como ExobotCompact), empezó a extenderse por Europa. Esta variante ofrece una mayor estabilidad de las sesiones de control remoto durante la toma de control de dispositivos (DTO) y técnicas de evasión y antianálisis mejoradas. La versión anterior de Octo ha estado en la naturaleza durante un tiempo y fue completamente descubierta después de la filtración de su código fuente.
  • Quishing se dirigen a los propietarios de coches eléctricos en Europa. Los estafadores pegan códigos QR maliciosos encima de los legítimos en las estaciones de recarga y redirigen a las víctimas a sitios web de pago fraudulentos. En particular, se afirma que los delincuentes podrían estar utilizando inhibidores para interrumpir los procesos de pago de las víctimas desde la aplicación de recarga, lo que en última instancia lleva a escanear el código QR falso.
  • SilentSelfiehace campaña en sitios web kurdos, distribuye una aplicación espía para Android a los usuarios seleccionados para grabar sus imágenes desde la cámara frontal.
  • SpyNote Muestras de malware para Android, herramientas para ataques DDoS y páginas de phishing que suplantan marcas conocidas fueron descubiertas en el servidor de un ciberdelincuente. Además, se descubrieron páginas de phishing que contenían referencias a EagleSpy Android RAT indican la posibilidad de uso de malware distinto de SpyNote, y las notas de rescate en el servidor sugieren fuertemente la participación en ataques de ransomware.
  • Strava aplicación de redes sociales deportivas puede seguir a tres de los líderes mundiales más importantes. Ellos no usan la aplicación, pero sus guardias de seguridad sí.
  • TrickMo Troyano bancario para Android recopila credenciales de usuario de una amplia gama de aplicaciones móviles en los dispositivos infectados. El análisis de geolocalización de IP muestra que las víctimas proceden principalmente de Canadá, Emiratos Árabes Unidos, Turquía y Alemania.
  • UNC5812una presunta operación híbrida rusa de espionaje e influencia contra los esfuerzos de movilización de Ucrania, distribuye el programa espía CraxsRAT para Android disponible comercialmente.
  • UniShadowTrade, una colección de falsas aplicaciones de comercio construidas con el framework UniApp, se dirige a usuarios de iOS y Android en las llamadas estafas de carnicería de cerdos en Asia-Pacífico, Europa, Oriente Medio y África. En este tipo de estafas, los ciberdelincuentes atraen a las víctimas para que inviertan en operaciones de alta rentabilidad, permitiéndoles inicialmente obtener grandes beneficios, pero robándoles finalmente todos sus fondos. Dado que estas aplicaciones se comportan como las típicas aplicaciones de comercio, pasan desapercibidas en los análisis de malware convencionales.
  • La falsa aplicación WalletConnect en Google Play drenó más de 70.000 dólares en criptomonedas de sus víctimas. WalletConnect es un protocolo de código abierto que conecta los monederos de criptomonedas a aplicaciones descentralizadas y permite la interacción sin compartir las claves privadas de los monederos.

Vulnerabilidades y parches

  • Apple parcheó una vulnerabilidad de la función de accesibilidad VoiceOver (CVE-2024-44204) y una vulnerabilidad de la sesión multimedia (CVE-2024-44207) en la versión de iOS 18.0.1 iOS 18.0.1. La primera podría llevar a leer en voz alta las contraseñas guardadas y la segunda provoca unos segundos de grabación de audio antes de que se encienda el indicador del micrófono.
  • Qualcomm ha parcheado un fallo de uso después de libre (CVE-2024-43047) en DSP Service que conduce a la corrupción de memoria. Hay indicios de que este fallo puede estar bajo explotación limitada y dirigida.
  • Samsung parcheó una vulnerabilidad de día cero explotada activamente (CVE-2024-44068) en la actualización de seguridad de octubre. Este fallo de uso después de la liberación en el procesador del móvil conduce a una escalada de privilegios.

Informes de inteligencia

  • Joker, Anubis e Hiddad fueron los tres principales programas maliciosos para móviles en septiembre, según el informe de Informe sobre el malware más buscado de Check Point.
  • Informe sobre amenazas móviles, IoT y OT 2024 de Zscaler ThreatLabz Informe 2024 sobre amenazas móviles, IoT y OT descubrió que las amenazas móviles son cada vez más específicas y sofisticadas. El informe muestra un aumento del 29% en los ataques de malware bancario móvil y las familias más activas en cuanto a recuento de transacciones son Vultur, Hydra, Ermac, Anatsa (Teabot), Coper (Octo) y Nexus, respectivamente. También indica un drástico aumento del 111% en los ataques de spyware para móviles.
  • Dr. Web informa de un aumento de la actividad maliciosa de aplicaciones falsas y adware en el tercer trimestre de 2024. Presenta las muestras encontradas en Google Play. El informe también muestra troyanos bancarios de Android dirigidos a los usuarios de un banco indonesio y más de un millón de Android TV boxes infectados con backdoor en 197 países.