Connect with us

Tecnología

Grupo cibercriminal apunta a usuarios de Android con falsas apps de VPN

Publicado

el

falsas apps de VPN
Compartir

El equipo de investigación de ESET, advierte sobre un grupo cibercriminal que apunta a usuarios de Android con falsas apps de VPN.

La compañía líder en detección proactiva de amenazas, identificó una campaña en curso dirigida a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.

Esta campaña ha estado activa desde enero de 2022 distribuyendo aplicaciones maliciosas a través de un sitio web falso de SecureVPN que ofrece descargas apps de Android.

Aunque el malware empleado a lo largo de esta campaña utiliza el nombre SecureVPN, no tiene asociación alguna con el servicio y el software multiplataforma legítimo SecureVPN.

Hallazgos clave de ESET:

El objetivo principal de las modificaciones realizadas a la aplicación es extraer datos confidenciales de la víctima y espiar activamente las aplicaciones de mensajería que utiliza.

Se cree que los objetivos apuntados por los actores maliciosos son elegidos cuidadosamente, ya que una vez que se inicia el spyware Bahamut, solicita una clave de activación antes de que se pueda habilitar la funcionalidad de VPN y spyware.

Es probable que tanto la clave de activación como el enlace del sitio web se envíen a usuarios específicos.
Se desconoce el vector de distribución inicial (correo electrónico, redes sociales, aplicaciones de mensajería, SMS, etc.).

La aplicación utilizada son versiones troyanizadas de dos apps de VPN legítimas, SoftVPN u OpenVPN, que se volvieron a empaquetar con el código del spyware Bahamut, el cual fue utilizado en el pasado por el grupo Bahamut.

ESET identificó al menos ocho versiones de estas aplicaciones parcheadas maliciosamente con cambios de código y actualizaciones disponibles a través del sitio web de distribución, lo que podría significar que la campaña recibe mantenimiento.

El equipo de investigación de ESET descubrió al menos ocho versiones del spyware Bahamut.

El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN.

Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.

El malware tiene la capacidad de exfiltrar datos confidenciales del equipo de la víctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas.

También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger.

La exfiltración de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad.

El grupo de APT Bahamut generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia a utilizando como vector de ataque mensajes de phishing y aplicaciones falsas.

Bahamut se especializa en ciberespionaje, y el equipo de ESET cree que su objetivo es robar información sensible de sus víctimas

Bahamut también se conoce como un grupo de mercenarios que ofrece servicios de piratería a sueldo a una amplia gama de clientes.

La aplicación maliciosa para Android que fue utilizada en esta campaña se distribuyó a través del sitio web thesecurevpn[.]com, que utiliza el nombre, pero no el contenido ni el estilo del servicio SecureVPN legítimo (en el dominio securevpn.com).

El falso sitio web de SecureVPN ofrece para su descarga una aplicación troyanizada.

Este falso sitio web que se hace pasar por SecureVPN se creó en base a una plantilla web gratuita, que probablemente fue utilizada por el actor de amenazas como inspiración, ya que solo requirió pequeños cambios y parece confiable.

Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN.

Thesecurevpn[.]com se registró el 27 de enero de 2022; sin embargo, se desconoce el momento de la distribución inicial de la falsa versión de la aplicación de SecureVPN. La aplicación maliciosa se proporciona directamente desde el sitio web y no ha estado disponible en la tienda Google Play.

“La campaña dirigida a dispositivos móviles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo método para distribuir sus aplicaciones de spyware para Android: a través de sitios web que se hacen pasar por servicios legítimos, como se ha visto en el pasado”.

“Además, el código del spyware y, por lo tanto, su funcionalidad, es la misma que en campañas anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una táctica que rara vez se ve en las aplicaciones móviles para ciberespionaje”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:

contactos,
mensajes SMS,
registros de llamadas,
una lista de aplicaciones instaladas,
ubicación del dispositivo,
cuentas de dispositivo,
información del dispositivo (tipo de conexión a Internet, IMEI, IP, número de serie de SIM),
llamadas telefónicas grabadas y
una lista de los archivos en el almacenamiento externo.

Al abusar del servicio de accesibilidad, el malware puede robar notas de la aplicación SafeNotes y espiar activamente los mensajes de chat e información sobre llamadas en aplicaciones de mensajería muy populares, como:

· imo-International Calls & Chat,

· Facebook Messenger,

· Viber,

· Signal Private Messenger,

· WhatsApp,

· Telegram,

· WeChat, y

· Conion.

Solicitud falsa de SecureVPN para habilitar manualmente los servicios de accesibilidad.

Todos los datos extraídos se almacenan en una base de datos local y luego se envían al servidor de C&C del atacante. La funcionalidad del spyware Bahamut incluye la capacidad de actualizar la aplicación mediante un enlace con una nueva versión del servidor C&C.

“Parece que esta campaña ha mantenido un perfil bajo, ya que no vemos instancias en nuestros datos de telemetría. Esto probablemente se logra a través de una distribución altamente dirigida, donde junto con un enlace al spyware Bahamut, la potencial víctima recibe una clave de activación, que es necesaria para habilitar la capacidad de espionaje del malware.”, concluye el investigador de ESET.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/11/24/grupo-cibercriminal-bahamut-apunta-usuarios-android-falsas-apps-vpn/

Nota de prensa

No dejes de leer

¿Cómo lograr que las baterías de los centros de datos tengan una mayor vida útil?

Infórmate al instante, únete a nuestro canal de Telegram NoticiasACN    

Tecnología

Esto pudiera pasar con tus redes sociales después de que fallezcas

Publicado

el

Qué pasará con nuestras redes sociales después muertos - Agencia Carabobeña de Noticias - Agencia ACN- Noticias Carabobo
Compartir

El uso de las redes sociales es cada vez más cotidiano, millones de personas tienen cuentas, pero te has preguntado ¿qué pasa con ellas después que fallezcas? Lo que ocurre con la presencia en internet de un usuario después de su muerte, se ha convertido en un asunto de gran importancia.

Las cuentas en redes sociales siguen vivas y activas a menos que un familiar informe a la plataforma respectiva que la persona ha fallecido. Algunas plataformas ofrecen la opción de cerrar el perfil una vez que los familiares informan del fallecimiento, mientras que otras dan otras alternativas.

Te puede interesar: Movilnet extiende proceso de actualización gratis para clientes pospago

Cuenta conmemorativa

Por ejemplo, cuando Meta -la empresa propietaria de Facebook e Instagram- recibe un certificado de defunción, la cuenta del fallecido puede eliminarse o convertirse en una “conmemorativa”. Esto significa que se congelará en el tiempo y se convertirá en una página que recordará al usuario y permite publicar fotos y recuerdos.

Entonces, junto al nombre del usuario aparece un mensaje que dice “in memoriam” y nadie puede acceder a la cuenta ni utilizarla si el usuario original no proporcionó un “contacto autorizado” para gestionar el contenido o pedir que se desactive el perfil.

En Facebook, las cuentas conmemorativas no les aparecen recomendadas a potenciales amigos virtuales en la pestaña “Gente que tal vez conozcas”. De igual forma los usuarios de la lista de amigos de la persona fallecida no reciben notificaciones de su cumpleaños.

Dan prioridad a la privacidad del fallecido

Google, propietario de YouTube, Gmail y Google Fotos, ofrece a sus usuarios la opción de cambiar los ajustes para decidir qué ocurre con sus cuentas si permanecen inactivas durante un periodo de tiempo determinado.

X (antes Twitter) no ofrece la opción de guardar el perfil “en memoria” del fallecido y sólo es posible desactivar la cuenta en caso de muerte o incapacidad del propietario para utilizarla.”Todas las empresas dan prioridad a la privacidad del fallecido”, dice Joe Tidy, corresponsal de tecnología del Servicio Mundial de la BBC.

De igual manera indicó que, “no se comparten los datos de acceso, y sólo se puede acceder a ciertos datos como fotos y videos con peticiones específicas que a veces necesitan de una orden judicial”.

No obstante, las redes sociales más nuevas, como TikTok y Snapchat, sin embargo, no tienen ninguna disposición al respecto, añade.

Tu cuenta puede ser mal usada

Los perfiles activos de usuarios fallecidos pueden ser un problema si datos, fotos u otros contenidos caen en manos equivocadas, advierte Sasa Zivanovic, experto en ciberdelincuencia y ex jefe del departamento de delitos de alta tecnología del Ministerio del Interior de Serbia.

Alguien podría descargar algunos de los datos del perfil o incluso tomar el control de toda la cuenta. “Las fotografías, los datos y los videos pueden utilizarse para crear cuentas falsas con el nombre de la persona fallecida y extorsionar a conocidos y amigos que no saben que la persona en cuestión ha muerto”, afirma Zivanovic.

James Norris, fundador de la Digital Legacy Association de Reino Unido, subraya que es importante que todo el mundo haga una copia de seguridad cuando pueda. Así mismo señala que en Facebook, por ejemplo, se puede descargar un archivo completo de fotos y videos y pasárselo a un familiar.

“El legado digital”

“Si me diagnosticaran una enfermedad terminal y tuviera un hijo pequeño que no estuviera en Facebook, podría descargar todas mis fotos y videos, eliminar los mensajes porque no querría que mi hijo viera mis mensajes privados, recopilar mis fotos favoritas y escribir una historia sobre cada una de ellas”, explica.

“El legado digital es un gran tema”, advierte Sarah Stanley, enfermera de la organización benéfica Marie Curie, con sede en Reino Unido, que ofrece atención y apoyo a personas con enfermedades terminales y a sus seres queridos.

Subraya que la gente debe pensar no sólo en sus cuentas de redes sociales, sino en todo lo que posee digitalmente y qué hacer con ello en caso de fallecimiento.

En este sentido indicó que, es recomendable pensar si queremos que alguien se haga cargo de nuestras cuentas; que alguien las recuerde. También considerar dejar a un álbum digital de fotos, o impreso, como se hacía antes,  que podamos dejarle a alguien cuando hayamos muerto.  “El legado digital es algo sobre lo que hay que pensar y hablar”, recomendó.

Con información de BBC

No dejes de leer: Venezuela Game Show celebrará su cuarta edición el 25, 26 y 27 de octubre

Infórmate al instante únete a nuestro canal de Telegram NoticiasACN 

 

Continue Reading

Suscríbete a nuestro boletín

Publicidad

Carabobo

Publicidad

Sucesos

Facebook

Publicidad

Lo más leído