Categories
News

Detectado el troyano Necro en aplicaciones de Google Play y versiones modificadas de Spotify y WhatsApp

[ad_1]

alguno GooglePlay Según los investigadores de seguridad, los atacantes atacan aplicaciones no oficiales y modificaciones de aplicaciones populares para difundir malware peligroso. El supuesto troyano Necro es capaz de registrar pulsaciones de teclas, robar información confidencial, instalar malware adicional y ejecutar comandos de forma remota. Se han detectado dos aplicaciones en la tienda de aplicaciones Google Play infectadas con este malware. Además, los paquetes de aplicaciones de Android (APK) se han modificado para aplicaciones como Spotify, WhatsAppTambién se ha descubierto que juegos como Minecraft distribuyen el troyano.

Las aplicaciones de Google Play y los archivos APK modificados se utilizan para propagar el virus troyano Necro

Fue la primera vez que se detectó un troyano Necro En 2019 Cuando el malware infectó la popular aplicación CamScanner para crear archivos PDF. La versión oficial de la aplicación en Google Play, que se ha descargado más de 100 millones de veces, planteaba un riesgo para los usuarios, pero un parche de seguridad solucionó el problema en su momento.

De acuerdo a correo Los investigadores de Kaspersky han descubierto una nueva versión del troyano Necro en dos aplicaciones de Google Play. La primera es la aplicación Wuta Camera, que se ha descargado más de 10 millones de veces, y la segunda es Max Browser, que se ha descargado más de 1 millón de veces. Los investigadores confirmaron que Google Kaspersky cerró las aplicaciones afectadas después de contactar con la empresa.

El principal problema surge de una gran cantidad de versiones “modificadas” no oficiales de aplicaciones populares, que están alojadas en una gran cantidad de sitios de terceros. Los usuarios pueden descargarlos e instalarlos accidentalmente en sus teléfonos. Androide dispositivos, hiriéndolos en el proceso. Algunos de los archivos APK de malware descubiertos por los investigadores incluyen versiones modificadas de SpotifyWhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox: estas versiones modificadas prometen a los usuarios acceso a funciones que normalmente requerirían una suscripción paga.

Curiosamente, los atacantes utilizan diversos métodos para atacar a los usuarios. Por ejemplo, la modificación de Spotify contenía un SDK que mostraba múltiples bloques de anuncios, según los investigadores. Se utilizó un servidor de comando y control (C&C) para implementar la carga útil del troyano si el usuario tocaba accidentalmente el módulo basado en imágenes.

Asimismo, en la modificación de WhatsApp se encontró que los atacantes habían reemplazado el servicio en la nube Firebase Remote Config de Google para usarlo como servidor C&C. En última instancia, la interacción con el módulo dará como resultado la implementación y ejecución de la misma carga útil.

Una vez implementado, el malware puede “descargar archivos ejecutables, instalar aplicaciones de terceros y abrir enlaces arbitrarios en ventanas WebView invisibles para ejecutar código JavaScript”, destacó Kaspersky. Además, también pueden suscribirse a costosos servicios de pago sin que el usuario lo sepa.

Si bien las aplicaciones ya se han eliminado de Google Play Store, se recomienda a los usuarios que tengan cuidado al descargar aplicaciones de Android de fuentes de terceros. Si no confían en la tienda, deberán abstenerse de descargar o instalar cualquier aplicación o archivo.

[ad_2]

Source Article Link

Categories
News

El troyano bancario Medusa regresa con actualizaciones dirigidas a dispositivos Android en siete países

[ad_1]

Se dice que Medusa, el troyano bancario identificado por primera vez en 2020, ha regresado con varias actualizaciones nuevas que lo hacen aún más amenazador. También se dice que la nueva versión del malware se dirige a más regiones que la versión original. Una empresa de ciberseguridad ha descubierto un troyano activo en Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos. Medusa ataca principalmente a Google Androide Este virus es uno de los virus que ataca a los sistemas operativos, lo que pone en riesgo a los propietarios de teléfonos inteligentes. Como cualquier malware bancario, apunta a aplicaciones bancarias en el dispositivo e incluso puede realizar fraudes en el dispositivo.

Descubra nuevas variantes del troyano bancario Medusa

Empresa de ciberseguridad Cleafy Informes En mayo se detectaron nuevas campañas de estafa relacionadas con el troyano bancario Medusa, después de permanecer fuera del radar durante casi un año. Medusa es un tipo de TangleBot, un malware de Android que puede infectar un dispositivo y brindar a los atacantes un amplio rango de control sobre él. Aunque puede usarse para robar información personal y espiar a individuos, Medusa, al ser un troyano bancario, ataca principalmente aplicaciones bancarias y roba dinero de las víctimas.

La versión original de Medusa estaba equipada con poderosas habilidades. Por ejemplo, tenía acceso remoto a un troyano (RAT) que le permitía darle al atacante controles de pantalla y la capacidad de leer y escribir mensajes SMS. También venía equipado con un registrador de teclas, y esta combinación le permitió llevar a cabo uno de los escenarios de fraude más peligrosos: la suplantación de dispositivos, según la empresa.

Sin embargo, se dice que la nueva variante es más peligrosa. La firma de ciberseguridad descubrió que recientemente se eliminaron 17 comandos que estaban presentes en malware más antiguo. troyanos. Esto se hizo para reducir los requisitos de permisos en el archivo empaquetado, levantando así menos sospechas. Otra mejora es que se puede configurar una pantalla negra en el dispositivo atacado, lo que puede hacer creer al usuario que el dispositivo está bloqueado o apagado, mientras el troyano lleva a cabo sus actividades maliciosas.

Según se informa, los actores de amenazas están utilizando nuevos mecanismos de entrega para infectar dispositivos. Anteriormente, estos mensajes se difundían a través de enlaces SMS. Pero ahora, las aplicaciones dropper (aplicaciones que parecen legítimas pero que propagan malware una vez instaladas) se utilizan para instalar Medusa bajo la apariencia de una actualización. Sin embargo, el informe destacó que los creadores de malware no pudieron difundir Medusa a través de Google Play Store.

Después de la instalación, la aplicación envía mensajes solicitando al usuario que habilite los servicios de accesibilidad para recopilar datos de sensores y pulsaciones de teclas. Luego, los datos se comprimen y se exportan a un servidor C2 cifrado. Una vez que se recopila suficiente información, un actor de amenazas puede utilizar el acceso remoto para tomar el control del dispositivo y cometer fraude financiero.

Se recomienda a los usuarios de Android que no hagan clic en URL compartidas mediante SMS, aplicaciones de mensajería o plataformas de redes sociales por remitentes desconocidos. También deben tener cuidado al descargar aplicaciones de fuentes no confiables, o simplemente ceñirse a Google Play Store para descargar y actualizar aplicaciones.

[ad_2]

Source Article Link