Los investigadores de ciberseguridad han descubierto que los actores de amenaza están configurando sitios web engañosos alojados en dominios recién registrados para entregar un malware Android llamado Espinote.
Estos sitios web falsos se basan en las páginas de instalación de Google Play Store para aplicaciones como el navegador web Chrome, lo que indica un intento de engañar a los usuarios desprevenidos para que instalaran el malware.
«El actor de amenaza utilizó una combinación de sitios de entrega en inglés y en el idioma chino e incluyó comentarios en el sitio del sitio de entrega y el malware en sí», dijo el equipo de Investigaciones de Doma-Domainteols (DTI) en un informe compartido con las noticias de Hacker.
Spynote (también conocido como SpyMax) es un troyano de acceso remoto conocido por su capacidad para cosechar datos confidenciales de dispositivos Android comprometidos al abusar de los servicios de accesibilidad. En mayo de 2024, el malware se propagó a través de otro sitio falso que se hace pasar por una solución antivirus legítima conocida como Avast.
El análisis posterior de la firma de seguridad móvil Zimperium ha descubierto similitudes entre Spynote y Gigabud, lo que aumenta la posibilidad de que el mismo actor o actores de amenaza esté detrás de las dos familias de malware. Gigabud se atribuye a un actor de amenaza de habla china con nombre en código GoldFactory.
Con los años, Spynote también ha visto cierto nivel de adopción por grupos de piratería patrocinados por el estado, como Oilalpha y otros actores desconocidos.
Los sitios web de clones identificados por DTI incluyen un carrusel de imágenes que, cuando se hace clic, descargan un archivo APK malicioso en el dispositivo del usuario. El archivo del paquete actúa como un gotero para instalar una segunda carga útil de APK integrada a través de la interfaz Dialoginterface.OnclickListener que permite la ejecución del malware Spynote cuando se hace clic en un elemento en un cuadro de diálogo.
«Tras la instalación, solicita agresivamente numerosos permisos intrusivos, obteniendo un control extenso sobre el dispositivo comprometido», dijo DTI.
«Este control permite el robo de datos confidenciales, como mensajes SMS, contactos, registros de llamadas, información de ubicación y archivos. Spynote también cuenta con capacidades de acceso remoto significativos, incluida la activación de cámara y micrófono, manipulación de llamadas y ejecución de comandos arbitrarios».
La divulgación se produce cuando Lookout reveló que observó más de 4 millones de ataques de ingeniería social centrados en dispositivos móviles en 2024, con 427,000 aplicaciones maliciosas detectadas en dispositivos empresariales y 1,600,000 detecciones de aplicaciones vulnerables durante el período de tiempo.
«En el transcurso de los últimos cinco años, los usuarios de iOS han estado expuestos a significativamente más ataques de phishing que los usuarios de Android», dijo Lookout. «2024 fue el primer año en el que los dispositivos iOS se expusieron más del doble que los dispositivos Android».
Las agencias de Intel advierten sobre Badbazaar y Moonshine
Los hallazgos también siguen un aviso conjunto emitido por agencias de ciberseguridad e inteligencia de Australia, Canadá, Alemania, Nueva Zelanda, el Reino Unido y los Estados Unidos sobre la orientación de las comunidades uigures, taiwaneses y tibetanos utilizando familias de malware como Badbazaar y Moonshine.
Los objetivos de la campaña incluyen organizaciones no gubernamentales (ONG), periodistas, empresas y miembros de la sociedad civil que abogan o representan a estos grupos. «La forma indiscriminada de este spyware se extiende en línea también significa que existe el riesgo de que las infecciones se propagen más allá de las víctimas previstas», dijeron las agencias.
 |
| Un subconjunto de iconos de aplicaciones utilizados por muestras de la herramienta de vigilancia de la luna a partir de enero de 2024 |
Tanto Badbazaar como Moonshine se clasifican como troyanos que son capaces de recopilar datos confidenciales de dispositivos Android e iOS, incluidas ubicaciones, mensajes, fotos y archivos. Por lo general, se distribuyen a través de aplicaciones que se pasan como mensajes, servicios públicos o aplicaciones religiosas.
Badbazaar fue documentado por primera vez por Lookout en noviembre de 2022, aunque se evaluó que las campañas que distribuyen el malware habían estado en curso ya en 2018. La luz de la luna, por otro lado, recientemente fue utilizado por un actor de amenaza llamado Earth Minotaur para facilitar las operaciones de vigilancia a largo plazo dirigidas a los tibetanos y los ohughurs.
El uso de Badbazaar ha sido vinculado a un grupo de piratería chino rastreado como APT15, que también se conoce como Flea, Nylon Typhoon (anteriormente Níquel), Tauro juguetón, Royal Apt y Vixen Panda.
«Si bien la variante iOS de Badbazaar tiene capacidades relativamente limitadas en comparación con su contraparte de Android, todavía tiene la capacidad de exfiltrar datos personales del dispositivo de la víctima», dijo Lookout en un informe publicado en enero de 2024. «La evidencia sugiere que se dirigió principalmente a la comunidad tibetana dentro de China».
Según la compañía de seguridad cibernética, los datos recopilados de los dispositivos de las víctimas a través de Moonshine se exfiltran a una infraestructura controlada por los atacantes a la que se puede acceder a través de un llamado panel de administración escocés, que muestra detalles de dispositivos comprometidos y el nivel de acceso a cada uno de ellos. A partir de enero de 2024, 635 dispositivos se registraron en tres paneles de administración escocés.
En un desarrollo relacionado, las autoridades suecas han arrestado a Dilshat Revhit, un residente de Estocolmo Uyghur, bajo sospecha de espiar a otros miembros de la comunidad en el país. Reshit ha servido como portavoz de la lengua china del Congreso Uyghur del Mundo (WUC) desde 2004.