Los investigadores de ciberseguridad han descubierto que los actores de amenaza están configurando sitios web engañosos alojados en dominios recién registrados para entregar un malware Android llamado Espinote.
Estos sitios web falsos se basan en las páginas de instalación de Google Play Store para aplicaciones como el navegador web Chrome, lo que indica un intento de engañar a los usuarios desprevenidos para que instalaran el malware.
“El actor de amenaza utilizó una combinación de sitios de entrega en inglés y en el idioma chino e incluyó comentarios en el sitio del sitio de entrega y el malware en sí”, dijo el equipo de Investigaciones de Doma-Domainteols (DTI) en un crónica compartido con las noticiero de Hacker.
Spynote (igualmente conocido como SpyMax) es un troyano de entrada remoto conocido por su capacidad para cosechar datos confidenciales de dispositivos Android comprometidos al forzar de los servicios de accesibilidad. En mayo de 2024, el malware se propagó a través de otro sitio falsificado que se hace sobrevenir por una decisión antivirus legítima conocida como Avast.
El descomposición posterior de la firma de seguridad móvil Zimperium ha descubierto similitudes entre Spynote y Gigabud, lo que aumenta la posibilidad de que el mismo actor o actores de amenaza esté detrás de las dos familias de malware. Gigabud se atribuye a un actor de amenaza de palabra china con nombre en código GoldFactory.
Con los abriles, Spynote igualmente ha manido cierto nivel de apadrinamiento por grupos de piratería patrocinados por el estado, como Oilalpha y otros actores desconocidos.
Los sitios web de clones identificados por DTI incluyen un carrusel de imágenes que, cuando se hace clic, descargan un archivo APK malvado en el dispositivo del sucesor. El archivo del paquete actúa como un cuentagotas para instalar una segunda carga útil de APK integrada a través de la interfaz Dialoginterface.OnclickListener que permite la ejecución del malware Spynote cuando se hace clic en un ambiente en un cuadro de diálogo.
“Tras la instalación, solicita agresivamente numerosos permisos intrusivos, obteniendo un control extenso sobre el dispositivo comprometido”, dijo DTI.
“Este control permite el robo de datos confidenciales, como mensajes SMS, contactos, registros de llamadas, información de ubicación y archivos. Spynote igualmente cuenta con capacidades de entrada remoto significativos, incluida la activación de cámara y micrófono, manipulación de llamadas y ejecución de comandos arbitrarios”.
La divulgación se produce cuando Lookout reveló que observó más de 4 millones de ataques de ingeniería social centrados en dispositivos móviles en 2024, con 427,000 aplicaciones maliciosas detectadas en dispositivos empresariales y 1,600,000 detecciones de aplicaciones vulnerables durante el período de tiempo.
“En el transcurso de los últimos cinco abriles, los usuarios de iOS han estado expuestos a significativamente más ataques de phishing que los usuarios de Android”, dijo Lookout. “2024 fue el primer año en el que los dispositivos iOS se expusieron más del doble que los dispositivos Android”.
Las agencias de Intel advierten sobre Badbazaar y Moonshine
Los hallazgos igualmente siguen un aviso conjunto emitido por agencias de ciberseguridad e inteligencia de Australia, Canadá, Alemania, Nueva Zelanda, el Reino Unido y los Estados Unidos sobre la orientación de las comunidades uigures, taiwaneses y tibetanos utilizando familias de malware como Badbazaar y Moonshine.
Los objetivos de la campaña incluyen organizaciones no gubernamentales (ONG), periodistas, empresas y miembros de la sociedad civil que abogan o representan a estos grupos. “La forma indiscriminada de este spyware se extiende en vírgula igualmente significa que existe el peligro de que las infecciones se propagen más allá de las víctimas previstas”, dijeron las agencias.
 |
| Un subconjunto de iconos de aplicaciones utilizados por muestras de la útil de vigilancia de la cristalera a partir de enero de 2024 |
Tanto Badbazaar como Moonshine se clasifican como troyanos que son capaces de compilar datos confidenciales de dispositivos Android e iOS, incluidas ubicaciones, mensajes, fotos y archivos. Por lo militar, se distribuyen a través de aplicaciones que se pasan como mensajes, servicios públicos o aplicaciones religiosas.
Badbazaar fue documentado por primera vez por Lookout en noviembre de 2022, aunque se evaluó que las campañas que distribuyen el malware habían estado en curso ya en 2018. La luz de la cristalera, por otro banda, recientemente fue utilizado por un actor de amenaza llamado Earth Minotaur para allanar las operaciones de vigilancia a liberal plazo dirigidas a los tibetanos y los ohughurs.
El uso de Badbazaar ha sido vinculado a un montón de piratería chino rastreado como APT15, que igualmente se conoce como Flea, Nylon Typhoon (anteriormente Níquel), Tauro juguetón, Royal Apt y Vixen Panda.
“Si acertadamente la variación iOS de Badbazaar tiene capacidades relativamente limitadas en comparación con su contraparte de Android, todavía tiene la capacidad de exfiltrar datos personales del dispositivo de la víctima”, dijo Lookout en un crónica publicado en enero de 2024. “La evidencia sugiere que se dirigió principalmente a la comunidad tibetana interiormente de China”.
Según la compañía de seguridad cibernética, los datos recopilados de los dispositivos de las víctimas a través de Moonshine se exfiltran a una infraestructura controlada por los atacantes a la que se puede consentir a través de un llamado panel de filial escocés, que muestra detalles de dispositivos comprometidos y el nivel de entrada a cada uno de ellos. A partir de enero de 2024, 635 dispositivos se registraron en tres paneles de filial escocés.
En un ampliación relacionado, las autoridades suecas han arrestado a Dilshat Revhit, un residente de Estocolmo Uyghur, bajo sospecha de espiar a otros miembros de la comunidad en el país. Reshit ha servido como portavoz de la dialecto china del Congreso Uyghur del Mundo (WUC) desde 2004.
