WolfRAT se dirige a los usuarios de WhatsApp, Facebook Messenger en dispositivos Android


Se ha descubierto un nuevo troyano dirigido a usuarios tailandeses de aplicaciones de mensajería Whatsapp, Fb Messenger y Line en la plataforma móvil Android.

El martes, los investigadores de Cisco Talos dijeron que el malware, apodado WolfRAT, es una nueva variante de DenDroid, un troyano de acceso remoto (RAT) móvil que tuvo su código fuente filtrado en 2015.

En ese momento, DenDroid se consideraba un paquete sofisticado de malware que se ofrecía en foros subterráneos con un precio de $ 300. Sin embargo, desde su fuga, han aparecido variantes que utilizan el código, pero no necesariamente lo han mejorado.

WolfRAT comienza su cadena de infección a través de señuelos falsos de actualización que abusan de servicios legítimos como Flash y Google Enjoy. Si una víctima cae en esta trampa, la RAT se instalará en el dispositivo Android objetivo y realizará funciones de espionaje, incluida la recopilación de datos del dispositivo, tomar fotos y videos, comprometer la mensajería SMS, grabar audio y robar y transferir archivos a un C2.

Las aplicaciones de Messenger, en individual, están dirigidas, debido a las funciones de filtrado de contenido junto con el robo de historiales del navegador. Cuando WhatsApp está en uso, por ejemplo, el malware lanza una función de grabadora de pantalla a intervalos de 50 segundos que solo se detendrá cuando se cierre la aplicación.

Algunos C2 se encuentran en Tailandia y los dominios utilizados hacen referencia a la comida tailandesa. También se han encontrado comandos JavaScript escritos en tailandés.

TechRepublic: A un ciudadano estadounidense promedio le robaron información personalized al menos 4 veces en 2019

Según los investigadores de Talos Warren Mercer, Paul Rascagneres y Vitor Ventura, WolfRAT es probablemente el trabajo del vendedor de adware Wolf Investigate. VirusTotal dicho en 2018 que la organización vendió tecnología de vigilancia a los gobiernos y que sus soluciones infectarían máquinas con Home windows, iOS y Android a través de notificaciones falsas de actualización de Google Chrome.

Ver también: COVID-19 culpado por un aumento del 238% en ataques cibernéticos contra bancos

Los servidores de comando y management (C2) a los que hace referencia WolfRAT forjaron la conexión con el grupo y su trabajo anterior.

Si bien Wolf Investigation parece estar formalmente cerrado, habiendo cambiado su nombre a LokD, todavía puede haber miembros activos. En el informe de Talos también se mencionaron referencias a Coralco Tech, otro vendedor de herramientas de vigilancia e intercepción con sede en Chipre.

«Gracias al uso compartido de la infraestructura y los nombres de panel olvidados, evaluamos con gran confianza que este actor todavía está activo, sigue desarrollando malware y lo ha estado utilizando (…) hasta hoy», dice el equipo.

Sin embargo, los investigadores agregaron que el troyano tiene características «aficionadas», que incluyen superposiciones en el código, código muerto, características no utilizadas, fallas en la administración e instancia de clases correctamente, paquetes inestables, paneles abiertos y el uso perezoso de copiar y pegar de los existentes. application de código abierto.

Talos dijo que la falta de sofisticación, especialmente si está vinculada a Wolf Investigate, está en un nivel «sorprendente».

CNET: Es posible que ese viejo teléfono Android no sea seguro de usar: 6 cosas a tener en cuenta

Talos dice que el malware se encuentra en constante desarrollo y puede darse el caso de que cumplir con las expectativas de los clientes haya resultado en trabajos apresurados, en los que se ignoran el código antiguo y las funciones redundantes.

«Wolf Analysis afirmó que cerró sus operaciones, pero vemos claramente que su trabajo anterior continúa disfrazado», comentaron los investigadores. «La capacidad de llevar a cabo este tipo de actividades de recolección de inteligencia en los teléfonos representa una gran puntuación para el operador. Los detalles del chat, los registros de WhatsApp, los mensajeros y los SMS del mundo contienen información confidencial y las personas eligen olvidarlos cuando se producen las comunicaciones. en su teléfono «.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic