Un troyano de acceso remoto (RAT) de Windows conocido anteriormente con capacidades de robo de credenciales ahora ha ampliado su alcance para poner su mirada en los usuarios de dispositivos Android para promover los motivos de espionaje del atacante.
«Los desarrolladores de LodaRAT han agregado Android como una plataforma específica», dijeron los investigadores de Cisco Talos en un análisis del martes. «Se ha identificado una nueva versión de LodaRAT para Windows con capacidades mejoradas de grabación de sonido».
Se dice que Kasablanca, el grupo detrás del malware, implementó el nuevo RAT en una campaña híbrida en curso dirigida a los usuarios de Bangladesh, anotaron los investigadores.
La razón por la cual las organizaciones con sede en Bangladesh han sido seleccionadas específicamente para esta campaña sigue sin estar clara, al igual que la identidad del actor de la amenaza.
Documentado por primera vez en mayo de 2017 por Proofpoint , Loda es un malware AutoIt que generalmente se entrega a través de señuelos de phishing que está equipado para ejecutar una amplia gama de comandos diseñados para grabar audio, video y capturar otra información confidencial, con variantes recientes destinadas a robar contraseñas y cookies de navegadores.
Las últimas versiones, denominadas Loda4Android y Loda4Windows, se parecen mucho en el sentido de que vienen con un conjunto completo de funciones de recopilación de datos que constituyen una aplicación acosadora. Sin embargo, el malware de Android también es diferente, ya que evita en particular las técnicas que suelen utilizar los troyanos bancarios, como abusar de las API de accesibilidad para registrar las actividades en pantalla.
Además de compartir la misma infraestructura de comando y control (C2) para Android y Windows, los ataques, que se originaron en octubre de 2020, se han dirigido a bancos y proveedores de software de voz sobre IP de nivel de operador, con pistas que apuntan al autor del malware. con sede en Marruecos.
Los atacantes también hicieron una gran cantidad de trucos de ingeniería social, que van desde dominios ocultos con errores tipográficos hasta documentos RTF maliciosos incrustados en correos electrónicos que, cuando se abren, desencadenan una cadena de infección que aprovecha una vulnerabilidad de corrupción de memoria en Microsoft Office (CVE-2017-11882 ) para descargar la carga útil final.
Si bien la versión de Android del malware puede tomar fotos y capturas de pantalla, leer SMS y registros de llamadas, enviar SMS y realizar llamadas a números específicos e interceptar mensajes SMS o llamadas telefónicas, su última contraparte de Windows viene con nuevos comandos que permiten el acceso remoto al máquina de destino a través del Protocolo de escritorio remoto (RDP) y el comando «Sonido» que utiliza la biblioteca de audio BASS para capturar audio desde un micrófono conectado.
«El hecho de que el grupo de amenazas se haya convertido en campañas híbridas dirigidas a Windows y Android muestra un grupo que está prosperando y evolucionando», dijeron los investigadores de Cisco Talos.
«Junto con estas mejoras, el actor de amenazas ahora se ha centrado en objetivos específicos, lo que indica capacidades operativas más maduras. Como es el caso de las versiones anteriores de Loda, ambas versiones de esta nueva iteración representan una amenaza grave, ya que pueden conducir a una violación de datos o grandes pérdidas económicas «.