Blog

Oct 19, 2023

Nuevo troyano de Android 'MMRat' dirigido a usuarios del Sudeste Asiático

El troyano MMRat para Android recientemente identificado se ha dirigido a usuarios del Sudeste Asiático para controlar dispositivos de forma remota y realizar fraudes bancarios. Por Flipboard Reddit Pinterest Whatsapp Whatsapp Correo electrónico A recientemente

El troyano MMRat para Android recientemente identificado se ha dirigido a usuarios del Sudeste Asiático para controlar dispositivos de forma remota y realizar fraudes bancarios.

Por

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Un troyano de Android identificado recientemente y dirigido a usuarios del sudeste asiático permite a los atacantes controlar dispositivos de forma remota y realizar fraudes bancarios, informa Trend Micro.

Apodado MMRat y activo desde junio, el malware puede capturar la entrada del usuario y tomar capturas de pantalla, y utiliza un protocolo de comando y control (C&C) personalizado basado en Protobuf, que mejora su rendimiento al transferir grandes cantidades de datos.

El malware se distribuyó a través de sitios web que se hacían pasar por tiendas de aplicaciones oficiales y que estaban diseñados en diferentes idiomas, incluidos vietnamita y tailandés. Sin embargo, no está claro cómo se distribuyen los enlaces a estos sitios a las víctimas previstas.

Después de la instalación, MMRat le pide a la víctima que habilite los permisos necesarios y comienza a comunicarse con su C&C, enviando información del dispositivo y capturando la entrada del usuario. Si los permisos de accesibilidad están habilitados, la amenaza puede modificar la configuración y otorgarse más permisos.

El malware indica a sus operadores cuando el dispositivo no está en uso, para que puedan desbloquearlo para realizar fraude bancario e inicializar la captura de pantalla.

Luego, el malware se desinstala solo, eliminando todos los rastros de infección del dispositivo. También se vio a MMRat haciéndose pasar por una aplicación oficial del gobierno o de citas, para evitar sospechas de los usuarios.

“Posteriormente registra un receptor que puede recibir eventos del sistema, incluyendo la capacidad de detectar cuándo el sistema se enciende, apaga y reinicia, entre otros. Al recibir estos eventos, el malware lanza una actividad de píxeles de tamaño 1×1 para garantizar su persistencia”, explica Trend Micro.

Se vio que el malware iniciaba el servicio de Accesibilidad e inicializaba la comunicación del servidor a través de tres puertos, para la filtración de datos, la transmisión de video y C&C.

Según los comandos recibidos del servidor, el malware puede ejecutar gestos y acciones globales, enviar mensajes de texto, desbloquear la pantalla usando una contraseña, ingresar contraseñas en aplicaciones, hacer clic en la pantalla, capturar la pantalla o el video de la cámara, habilitar el micrófono, despertarse. el dispositivo y eliminarse.

MMRat puede recopilar una amplia gama de datos del dispositivo e información personal, incluidos datos de red, pantalla y batería, aplicaciones instaladas y listas de contactos.

“Creemos que el objetivo del actor de amenazas es descubrir información personal para garantizar que la víctima se ajuste a un perfil específico. Por ejemplo, la víctima puede tener contactos que cumplan ciertos criterios geográficos o tener instalada una aplicación específica. Esta información puede utilizarse posteriormente para otras actividades maliciosas”, señala Trend Micro.

Según Trend Micro, la capacidad de captura de pantalla probablemente se utilice junto con el control remoto, lo que permite al actor de amenazas ver el estado en vivo del dispositivo cuando realiza un fraude bancario. El malware también utiliza la API MediaProjection para capturar el contenido de la pantalla y transmitir datos de vídeo al servidor C&C.

El malware también utiliza un enfoque de "estado de terminal de usuario" para capturar datos de pantalla, donde solo se envía información de texto al servidor, sin la interfaz gráfica de usuario, que se asemeja a una terminal.

Relacionado:El troyano bancario Anatsa distribuido a través de Google Play se dirige a usuarios de Android en EE. UU. y Europa

Relacionado:Una aplicación de Android con 50.000 descargas en Google Play se convirtió en software espía mediante una actualización

Relacionado:Nuevos troyanos de Android infectaron muchos dispositivos en Asia a través de Google Play y phishing

Ionut Arghire es corresponsal internacional de SecurityWeek.

Suscríbase al resumen por correo electrónico de SecurityWeek para mantenerse informado sobre las últimas amenazas, tendencias y tecnologías, junto con columnas interesantes de expertos de la industria.

Únase a los expertos en seguridad mientras analizan el potencial sin explotar de ZTNA para reducir el riesgo cibernético y potenciar el negocio.

Únase a Microsoft y Finite State en un seminario web que presentará una nueva estrategia para proteger la cadena de suministro de software.

Si bien los ataques cuánticos aún están en el futuro, las organizaciones deben pensar en cómo defender los datos en tránsito cuando el cifrado ya no funcione. (Marie Hattar)

Así como un equipo de fútbol profesional necesita coordinación, estrategia y adaptabilidad para asegurar una victoria en el campo, una estrategia integral de ciberseguridad debe abordar desafíos y amenazas específicos. (Matt Wilson)

A medida que las reglas de divulgación de incidentes cibernéticos de la SEC entren en vigencia, las organizaciones se verán obligadas a considerar seriamente brindar a los líderes de seguridad un asiento en la mesa. (Marc Solomon)

El trabajo remoto llegó para quedarse y las empresas deben continuar asegurándose de que sus formas básicas de comunicación estén configuradas y seguras correctamente. (Matt Honea)

La complejidad y el desafío de los entornos de nube distribuida a menudo requieren la gestión de múltiples pilas de infraestructura, tecnología y seguridad, múltiples motores de políticas, múltiples conjuntos de controles y múltiples inventarios de activos. (Joshua Goldfarb)

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

La naturaleza cambiante de lo que generalmente todavía llamamos ransomware continuará hasta 2023, impulsada por tres condiciones principales.

Una vulnerabilidad de vBulletin recientemente revelada, que tuvo un estado de día cero durante aproximadamente dos días la semana pasada, fue explotada en un ataque de piratas informáticos dirigido a...

Infonetics Research ha compartido extractos de su informe de pronóstico y tamaño del mercado de software de cliente de seguridad para dispositivos móviles, que rastrea a los clientes de seguridad de empresas y consumidores...

Nadie que lucha contra el cibercrimen lo sabe todo, pero todos los que participan en la batalla tienen algo de inteligencia para contribuir a la base de conocimientos más amplia.

Apple lanzó iOS 16.3 y macOS Ventura 13.2 para cubrir graves vulnerabilidades de seguridad.

Los actores de amenazas están abusando cada vez más de los documentos de Microsoft OneNote para distribuir malware en campañas dirigidas y de rociar y orar.

Los servidores VMware ESXi sin parches y desprotegidos en todo el mundo han sido objeto de un ataque de ransomware que aprovecha una vulnerabilidad parcheada en 2021.

Los fallos de seguridad críticos exponen los módems Exynos de Samsung a ataques de “ejecución remota de código de Internet a banda base” sin interacción del usuario. Project Zero dice que un atacante sólo necesita...