miércoles, 13 de enero de 2021

Expertos alertan potente y peligroso RAT llamado Rogue para Android

Los investigadores de ciberseguridad han expuesto las operaciones de un proveedor de malware de Android que se asoció con un segundo actor de amenazas para comercializar y vender una herramienta de acceso remoto (RAT) capaz de tomar el control del dispositivo y exfiltrar fotos, ubicaciones, contactos y mensajes de aplicaciones populares como Mensajes de Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google.


El producto era un RAT (troyano de acceso remoto) móvil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales de un servidor C&C, destruyendo datos locales e incluso eliminando todo el sistema operativo, en ocasiones.

El proveedor, que se conoce con el nombre de "Triangulum" en varios foros de la darknet, presuntamente es un hombre de 25 años de origen indio, y el individuo abrió una tienda para vender el malware hace tres años, el 10 de junio. , 2017, según un análisis publicado hoy por Check Point Research.

"El producto era un RAT móvil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales de un servidor C&C, destruyendo datos locales e incluso borrando todo el sistema operativo, en ocasiones", dijeron los investigadores.

Mercado RAT basadas en Android

Al reconstruir el rastro de las actividades de Triangulum, la firma de ciberseguridad dijo que el desarrollador de malware, además de generar publicidad para la RAT, también buscó inversores y socios potenciales en septiembre de 2017 para mostrar las características de la herramienta antes de ofrecerla a la venta.

Posteriormente, se cree que Triangulum se salió de la red durante aproximadamente un año y medio, sin signos de actividad en la darknet, solo para resurgir el 6 de abril de 2019, con otro producto llamado "Rogue", este tiempo en colaboración con otro adversario llamado "HeXaGoN Dev", que se especializó en el desarrollo de RAT basadas en Android.

Al señalar que Triangulum había comprado previamente varios productos de malware ofrecidos por HeXaGoN Dev, Check Point dijo que Triangulum anunciaba sus productos en diferentes foros de la red oscura con infografías bien diseñadas que enumeraban las características completas de la RAT. Además, HeXaGoN Dev se hizo pasar por un comprador potencial en un intento por atraer más clientes.

Si bien el producto de 2017 se vendió por $60 como una suscripción de por vida, los proveedores pasaron a un modelo más viable financieramente en 2020 al cobrar a los clientes entre $ 30 (1 mes) y $ 190 (acceso permanente) por el malware Rogue.

Curiosamente, los intentos de Triangulum de expandirse al mercado de la red oscura rusa fracasaron tras la negativa del actor a compartir videos de demostración en la publicación del foro que anunciaba el producto.

De Cosmos a Dark Shades a Rogue

Rogue (v6.2), que parece ser la última versión de un malware llamado Dark Shades (v6.0) que inicialmente vendió HeXaGoN Dev antes de ser comprado por Triangulum en agosto de 2019, también viene con características tomadas de una segunda familia de malware. llamado Hawkshaw, cuyo código fuente se hizo público en 2017.

"Triangulum no desarrolló esta creación desde cero, tomó lo que estaba disponible en ambos mundos, el código abierto y la red oscura, y unió estos componentes", dijeron los investigadores.

Resulta que Dark Shades es un "sucesor superior" de Cosmos, una RAT separada vendida por el actor de HeXaGoN Dev, lo que hace que la venta de Cosmos sea redundante.


Capacidades de Rogue:


Rogue se comercializa como una RAT "hecha para ejecutar comandos con características increíbles sin necesidad de una computadora (sic)", con capacidades adicionales para controlar a los clientes infectados de forma remota mediante un panel de control o un teléfono inteligente.

De hecho, la RAT cuenta con una amplia gama de funciones para controlar el dispositivo host y exfiltrar cualquier tipo de datos (como fotos, ubicación, contactos y mensajes), modificar los archivos en el dispositivo e incluso descargar cargas útiles maliciosas adicionales. , al tiempo que se asegura de que el usuario otorgue permisos intrusivos para llevar a cabo sus actividades nefastas.

También está diseñado para frustrar la detección al ocultar el ícono del dispositivo del usuario, eludir las restricciones de seguridad de Android al explotar las funciones de accesibilidad para registrar las acciones del usuario y registra su propio servicio de notificación para espiar cada notificación que aparece en el teléfono infectado.

Además, el sigilo está integrado en la herramienta. Rogue usa la infraestructura Firebase de Google como un servidor de comando y control (C2) para disfrazar sus intenciones maliciosas, abusando de la función de mensajería en la nube de la plataforma para recibir comandos del servidor, y Realtime Database y Cloud Firestore para cargar datos y documentos robados del dispositivo de la víctima..

Rogue sufrió una fuga en abril de 2020

Triangulum puede estar actualmente activo y expandiendo su clientela, pero en abril de 2020, el malware terminó por filtrarse.

El investigador de ESET Lukas Stefanko, en un tweet el 20 de abril del año pasado, dijo que el código fuente del backend de la botnet de Android Rogue se publicó en un foro clandestino, y señaló que "tiene muchos problemas de seguridad" y que "es un nuevo nombre para Dark Shades V6.0 (mismo desarrollador) ".

Pero a pesar de la filtración, los investigadores de Check Point señalan que el equipo de Triangulum todavía recibe mensajes de clientes interesados ​​en el foro de Darknet del hogar del actor.

"Los proveedores de malware para dispositivos móviles se están volviendo mucho más ingeniosos en la red oscura. Nuestra investigación nos permite vislumbrar la locura de la red oscura: cómo evoluciona el malware y lo difícil que es rastrearlo, clasificarlo y protegerlo de manera efectiva. ", Dijo el jefe de investigación cibernética de Check Point, Yaniv Balmas.

"El mercado clandestino sigue siendo como el salvaje oeste en cierto sentido, lo que hace que sea muy difícil entender qué es una amenaza real y qué no".

Los expertos lo catalogan como "una mente maestra detrás del malware de Android regresa con un nuevo RAT"

Hasta ahora, los expertos han conseguido encontrar una decena de aplicaciones infectadas por Rogue. Son las siguientes:

  • - AppleProtect, [se.spitfire.appleprotect.it]
  • - Axgle, [com.absolutelycold.axgle]
  • - Buzz, [org.thoughtcrime.securesms]
  • - Google Play Service, [com.demo.testinh]
  • - Idea Security, [com.demo.testing]
  • - SecurIt, [se.joscarsson.privify.spitfire]
  • - SecurIt, [sc.phoenix.securit]
  • - Service, [com.demo.testing]
  • - Settings, [com.demo.testing]
  • - Settings, [com.hawkshawspy]
  • - Settings, [com.services.deamon]
  • - Wallpaper girls, [com.demo.testing]
  • - Wifi Pasword Cracker, [com.services.deamon] 

https://thehackernews.com/2021/01/experts-sound-alarm-on-new-android.html

No hay comentarios:

Publicar un comentario