Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4441
)
-
▼
junio
(Total:
58
)
-
Vulnerabilidad en routers TP-Link Archer BE450 v1 ...
-
Vulnerabilidad de Windows Server permite privilegi...
-
Claude cae globalmente
-
NVIDIA se mete en la lucha de las CPU con RTX Spar...
-
Microsoft anuncia novedades en Windows e IA
-
Troyano Android OverlayPhantom abusa de servicios ...
-
La Policía Nacional de España detiene un menor en ...
-
Claude Code amplía sus límites de uso
-
Vulnerabilidad crítica en WP Maps Pro permite crea...
-
UE negocia acceso a Mythos de Anthropic
-
CIFSwitch abre la puerta a ejecutar código como ro...
-
Surface Laptop Ultra: la potencia del chip RTX Spark
-
Xeno RAT: grupo vinculado a Pakistán ataca el Mini...
-
Nvidia impulsará su crecimiento con CPUs para IA
-
Error de VPN de Palo Alto pasa de aviso a explotac...
-
Dashlane reporta ataque de fuerza bruta que afectó...
-
ATX12VO v3 se filtra: hasta un 83% menos tamaño en...
-
Apple lanzará un nuevo Apple TV 4K con SoC A17 Pro...
-
Hackean el servicio de trucos Atlas Menu de GTA mi...
-
GIGABYTE D5 Single Boost optimiza DDR5 de un solo ...
-
NVIDIA cree que RTX Spark triunfará como el MacBoo...
-
Windows 11 optimiza la búsqueda de archivos
-
DNS de Linux para IA
-
Rocky Linux 10.2 mejora seguridad y gestión de imá...
-
Vulnerabilidad crítica en plugin de caché de Magen...
-
Intel revela su GPU IA Crescent Island con hasta 4...
-
IBM WebSphere vulnerable a ejecución remota de cód...
-
Programación con caramelos de colores
-
Bill Gates cazando demonios en Doom hace 31 años
-
Euro-Office llega el 9 de junio
-
La nueva tecnología Movistar Fast Pass sorprende a...
-
Caída en acceso a archivos de Office Web y Teams
-
Paquetes npm de Red Hat comprometidos para despleg...
-
Explotan activamente vulnerabilidad RCE 0-click en...
-
Vulnerabilidad crítica de Plesk permite ejecutar c...
-
Qualcomm Dragonwing IQ10 RRD: potencia para robóti...
-
PNY lanza GeForce RTX 5090 AIO LYNK+
-
QNAP presenta novedades en Computex 2026
-
MSI Claw 8: renovada y con lo último de Intel
-
Telefónica recupera el control directo sobre una p...
-
AMD EXPO Ultra Low Latency: memorias DDR5 aún más ...
-
NVIDIA lanza RTX Spark para Windows ARM
-
Canonical liderará Flutter Desktop con apoyo de Go...
-
NVIDIA lanza DLSS 4.5
-
Microsoft endurece el restablecimiento de contrase...
-
NVIDIA RTX Spark: los primeros procesadores de NVI...
-
Intel confirma los Xeon 7 Diamond Rapids para 2027...
-
AMD amplía el soporte de sus placas base AM5 hasta...
-
Intel Xeon 6+: procesadores de hasta 288 núcleos E...
-
Microsoft no demandará a investigadores de segurid...
-
Ryzen 7 5800X3D 10th Anniversary, el Ryzen 7 7700X...
-
Phishing a usuarios de Signal para robar copias de...
-
Vulnerabilidad de Meta AI en Instagram permitiría ...
-
Gmail permite cambiar el correo sin perder datos
-
MasterDimm AC DDR5: Memoria RAM G.SKILL con un sis...
-
Novedades de la TwitchCon 2026
-
JINX-0164 usa ingeniería social en LinkedIn para d...
-
Steam Machine: lanzamiento inminente
-
-
▼
junio
(Total:
58
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
DuckDuckGo ha experimentado un incremento del 28% en visitas a su opción de búsqueda sin IA , como respuesta al impulso de los resúmenes g...
Troyano Android OverlayPhantom abusa de servicios de accesibilidad para controlar dispositivos
Un nuevo y peligroso troyano bancario para Android llamado OverlayPhantom ha estado atacando silenciosamente a usuarios en diez países, poniendo en grave riesgo las credenciales bancarias, los datos financieros y las cuentas de criptomonedas.
El malware ha estado activo desde mayo de 2025 y se propaga a través de enlaces maliciosos disfrazados de descargas de aplicaciones conocidas y confiables.
Lo que hace que OverlayPhantom sea particularmente alarmante es cómo llega al dispositivo. Utiliza un proceso de infección de dos etapas, comenzando con una aplicación "dropper" que finge ser ID Austria, la aplicación oficial de identidad del gobierno austriaco, o la popular plataforma TikTok.
Engañan a las víctimas para que instalen lo que parece ser una actualización rutinaria del sistema y, a partir de ese momento, el malware toma el control.
Analistas de Cyble Research and Intelligence Labs (CRIL) descubrieron OverlayPhantom mientras investigaban campañas de suplantación de URL con temática gubernamental.
Cyble afirmó en un informe que el malware tiene como objetivo más de 180 aplicaciones bancarias, de servicios financieros y de criptomonedas en Estados Unidos, Australia, Alemania, Francia, Bélgica, Finlandia, Países Bajos, Italia, España y el Reino Unido.
Una vez instalado, OverlayPhantom se disfraza de "Google Play Services", lo que hace que sea casi imposible de detectar o eliminar para un usuario promedio.
Objetivos de OverlayPhantom (Fuente – Cyble)Desde esa posición, abusa del Servicio de Accesibilidad de Android, una función integrada diseñada para ayudar a usuarios con discapacidades, para tomar el control persistente del dispositivo infectado.
El atacante puede entonces emitir más de 30 comandos remotos para manipular el dispositivo sin que la víctima se dé cuenta.
La amplitud de su alcance, sumado a la sofisticación técnica de su diseño, apunta a un grupo motivado financieramente que opera una red de fraude a gran escala.
Con más de 180 aplicaciones objetivo y víctimas distribuidas en mercados occidentales, OverlayPhantom está lejos de ser una campaña pequeña.
Troyano Bancario de Android OverlayPhantom
El abuso del Servicio de Accesibilidad es lo que le da a OverlayPhantom su verdadero poder sobre los dispositivos infectados. Una vez que tú otorgas este permiso, guiado por un tutorial integrado en la aplicación dropper, el malware se conecta a su servidor de Comando y Control (C&C) en la dirección IP 199.217[.]99[.]122.
El tráfico de C&C se divide en tres puertos dedicados: el puerto 9091 para emitir comandos, el puerto 9092 para actualizaciones del estado del dispositivo y el puerto 9090 para la transmisión de la pantalla en vivo.
Esta configuración de múltiples puertos mantiene la comunicación funcionando de manera confiable y hace que sea más difícil de bloquear. El malware utiliza la API MediaProjection de Android para transmitir la pantalla de la víctima casi en tiempo real mediante compresión JPEG, dándole al atacante una vista en vivo de todo lo que ocurre en el dispositivo.
El conjunto de comandos remotos cubre una amplia gama de acciones. El atacante puede simular toques, deslizamientos y pulsaciones largas, bloquear la pantalla, manipular el contenido del portapapeles, mostrar notificaciones falsas y lanzar ventanas superpuestas para capturar códigos PIN o contraseñas.
.webp)
Estos controles permiten que el actor de la amenaza realice transacciones no autorizadas sin que tú llegues a saberlo.
Ataques de Superposición Dirigidos a Apps Bancarias y de Criptomonedas
OverlayPhantom mantiene una lista predefinida de aplicaciones objetivo integrada en su código. Cuando abres una aplicación bancaria o financiera, el malware comprueba silenciosamente si esa aplicación está en su lista.
Si hay una coincidencia, despliega una página de phishing HTML falsificada, la renderiza en una capa WebView y la coloca sobre la aplicación legítima. La pantalla falsa se ve idéntica a la real.
La víctima introduce sus credenciales creyendo que está iniciando sesión en su banco o cartera de criptomonedas real. Esos datos son recolectados instantáneamente y enviados al servidor C&C sin dejar ningún signo visible de compromiso.
Esta técnica de superposición es precisamente lo que hace que OverlayPhantom sea tan efectivo y difícil de detectar para las víctimas.
.webp)
Para mantenerte protegido, solo debes descargar aplicaciones desde plataformas oficiales como la Google Play Store y evitar hacer clic en enlaces recibidos a través de SMS, correo electrónico o redes sociales.
Debes evitar a toda costa otorgar permisos del Servicio de Accesibilidad a cualquier aplicación desconocida. Activar la autenticación de múltiples factores en tus aplicaciones bancarias y financieras añade una capa de defensa crítica, incluso si tus credenciales son robadas.
Mantener el sistema operativo Android y las aplicaciones instaladas regularmente actualizadas es igualmente importante, ya que los parches de seguridad suelen cerrar las vulnerabilidades exactas que explota el malware como OverlayPhantom.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| URL | hxxps://bitlrewards-app[.]com/api/download/IDAustria | URL de distribución utilizada para propagar OverlayPhantom |
| IP | 199.217[.]99[.]122 | Dirección IP del servidor C&C |
| Hash de Archivo (SHA-256) | 9ef37376bfaa18e193cc72218924ad8ebf56d2667d348f0eae5ae6ec45ab8775f | Hash de muestra del malware OverlayPhantom |
| Hash de Archivo (SHA-256) | 8b614a2918378063d6e6655b676ceb52ae65b1510e2cc08087fcac31acb7aeb8d | Hash de muestra del malware OverlayPhantom |
| Hash de Archivo (SHA-256) | dc1f2a75f3d5b5bd054a5367bd5015ebc90f3453d63c7cce438c12dc2ae86a | Hash de muestra del malware OverlayPhantom |
Nota: Las direcciones IP y los dominios han sido intencionalmente desactivados (ej., [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/android-banking-trojan-overlayphantom/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.