Varios clientes europeos de diferentes bancos están siendo atacados por un troyano bancario para Android llamado SpyNote como parte de una campaña agresiva detectada en junio y julio de 2023.
«El software espía se distribuye a través de campañas de phishing o smishing por correo electrónico y las actividades fraudulentas se ejecutan con una combinación de capacidades de troyano de acceso remoto (RAT) y ataque de vishing», dijo la firma italiana de ciberseguridad Cleafy en un análisis técnico publicado el lunes .
SpyNote , también llamado SpyMax, es similar a otros troyanos bancarios de Android en el sentido de que requiere los permisos de accesibilidad de Android para otorgarse otros permisos necesarios y recopilar datos confidenciales de los dispositivos infectados. Lo que hace que la cepa de malware sea notable es su doble función como software espía y fraude bancario.
Las cadenas de ataque comienzan con un mensaje SMS falso que insta a los usuarios a instalar una aplicación bancaria haciendo clic en el enlace adjunto, redirigiendo a la víctima a la aplicación legítima TeamViewer QuickSupport disponible en Google Play Store.
«TeamViewer ha sido adoptado por varios [actores de amenazas] para ejecutar operaciones de fraude a través de ataques de ingeniería social», dijo el investigador de seguridad Francesco Iubatti. «En particular, el atacante llama a la víctima, haciéndose pasar por operadores bancarios y realiza transacciones fraudulentas directamente en el dispositivo de la víctima».
La idea es utilizar TeamViewer como conducto para obtener acceso remoto al teléfono de la víctima e instalar sigilosamente el malware. Los diversos tipos de información recopilados por SpyNote incluyen datos de geolocalización, pulsaciones de teclas, grabaciones de pantalla y mensajes SMS para evitar la autenticación de dos factores basada en SMS (2FA).
La divulgación se produce cuando la operación de pirateo a sueldo conocida como Bahamut se ha vinculado a una nueva campaña dirigida a personas en las regiones de Medio Oriente y el sur de Asia con el objetivo de instalar una aplicación de chat ficticia llamada SafeChat que oculta un malware de Android denominado CoverIm.
Entregada a las víctimas a través de WhatsApp, la aplicación alberga características idénticas a las de SpyNote, solicitando permisos de accesibilidad y otros para recopilar registros de llamadas, contactos, archivos, ubicación, mensajes SMS, así como instalar aplicaciones adicionales y robar datos de Facebook Messenger, imo , Signal, Telegram, Viber y WhatsApp.
Cyfirma, que descubrió la última actividad, dijo que las tácticas empleadas por este actor de amenazas se superponen con otro actor de estado-nación conocido como DoNot Team , que recientemente se observó utilizando aplicaciones de Android no autorizadas publicadas en Play Store para infectar a personas ubicadas en Pakistán.
Si bien los detalles exactos del aspecto de ingeniería social del ataque no están claros, se sabe que Bahamut confía en personas ficticias en Facebook e Instagram, fingiendo ser reclutadores tecnológicos en grandes empresas tecnológicas, periodistas, estudiantes y activistas para engañar a los usuarios involuntarios para que descarguen malware en sus dispositivos.
«Bahamut usó una variedad de tácticas para alojar y distribuir malware, incluida la ejecución de una red de dominios maliciosos que pretendían ofrecer chat seguro, intercambio de archivos, servicios de conectividad o aplicaciones de noticias», reveló Meta en mayo de 2023. «Algunos de ellos falsificaron el dominios de medios de comunicación regionales, organizaciones políticas o tiendas de aplicaciones legítimas, que probablemente hagan que sus enlaces parezcan más legítimos».
Fuente y redacción: thehackernews.com
