Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5692
)
-
▼
julio
(Total:
410
)
-
Explotan vulnerabilidades de RCE en WordPress Core...
-
Alarma por la IA de Google para menores
-
Novias IA causan caos en China
-
OpenAI notificará a padres sobre infracciones de h...
-
NadMesh usa Shodan para secuestrar infraestructura...
-
Hugging Face confirma brecha por IA: atacantes usa...
-
Tesla lanza bicicleta infantil mediocre
-
BleachBit: la mejor alternativa gratis y abierta a...
-
NVIDIA RTX Spark aparece en Cinebench 2026 rindien...
-
Gemini en Chrome analizará grupos de pestañas
-
Project Perception detectará fallos en Windows
-
Vulnerabilidad en Citrix Secure Access y Endpoint ...
-
Filtran Galaxy Z Fold 8
-
NVIDIA permite grabar partidas a 240 FPS
-
Nuevo ransomware Spirals cifra empresa IT en menos...
-
Claude accede a cuentas sin contraseñas sin llegar...
-
Kimi-K3 supera a IA de EE UU pero se identifica co...
-
X será de código abierto según Musk
-
Nueva botnet NadMesh rastrea servicios de IA expue...
-
FBI detiene hacker de criptomonedas en Steam
-
Fallo HollowByte en OpenSSL podría colapsar la mem...
-
LegacyHive: vulnerabilidad 0-Day de Windows permit...
-
Rectify11 es una herramienta gratuita optimiza Win...
-
Google integra AI Mode con YouTube Music y Canva
-
Nueva vulnerabilidad RCE en wp2shell afecta a mill...
-
Explotan vulnerabilidad 0-day de SonicWall SMA1000
-
Nova Lake-S: nueva marca y fecha de lanzamiento
-
Dos miembros de Scattered Spider condenados a 5,5 ...
-
George Lucas defiende la IA
-
Samsung añade IA a sus lavadoras
-
China lanza Kimi K3 para desafiar a OpenAI y Anthr...
-
El Kimi K3 chino de 2,8 billones de parámetros sup...
-
La Unión Europea obliga a Google a dar acceso al m...
-
Next.js lanza programa de seguridad mensual y corr...
-
Vulnerabilidad 0-day en AnyDesk permite ataques DoS
-
Gemini ahora suena como un humano
-
Google renombra NotebookLM como Gemini Notebook
-
Vulnerabilidad en cámaras TP-Link permite ataques ...
-
EE. UU. acusa a dos personas de lavar 43M$ proveni...
-
Un emulador y una demo del ordenador de bolsillo +...
-
Error en AWS Cost Explorer muestra estimaciones de...
-
IA de Google recrea el gol perdido de Pelé
-
OpenAI lanza un hardware de IA que es una mini-con...
-
La película de Jurassic Park usó Unix real
-
Kimi K3: la IA china que desafía a GPT y Claude
-
Coca-Cola informa que un ataque de ransomware a Fa...
-
Un usuario descubre que su Colorful RTX 5080 Vulka...
-
OpenAI reconoce que GPT-5.6 borra archivos ocasion...
-
Google cambia el nombre de NotebookLM
-
Integrantes de Scattered Spider condenados a cinco...
-
Fallo en el intercambio de tokens de n8n podría pe...
-
GhostPairing de WhatsApp permite secuestrar cuenta...
-
Ciberataque amenaza infraestructura crítica en Jap...
-
Abrir una shell de SYSTEM en el inicio de Windows ...
-
Tornyol: el dron con IA que elimina mosquitos
-
OpenAI usa GPT-Red para automatizar pruebas de iny...
-
Nueva botnet TuxBot v3 usa IA para secuestrar disp...
-
xAI demanda a usuario por deepfakes sexuales de me...
-
Vulnerabilidad sin parchear en aspiradoras Shark p...
-
Vulnerabilidades en Splunk Enterprise permiten ata...
-
Torvalds arremete contra NVIDIA
-
Red Hat lanza soporte indefinido para RHEL en sect...
-
Hackeo a cuenta de Microsoft borra 25 años de recu...
-
Zoom alerta sobre una vulnerabilidad crítica que p...
-
Policía holandesa desmantela red de fraude de inve...
-
CachyOS lidera ProtonDB
-
Fallo crítico de Cursor permite ejecución de códig...
-
GPT-5.6 Sol Ultra crea exploit de Chrome basándose...
-
F5 corrige vulnerabilidades de NGINX que permiten ...
-
Steam Machine Windows 11 vs SteamOS: el sistema op...
-
Linux 7.2-rc3 llega a Dreamcast
-
Paquetes de npm de AsyncAPI comprometidos distribu...
-
La Comisión Europea presenta el informe en el que ...
-
Google Imágenes renueva su portada
-
Intel Foundry habría llegado a un acuerdo con AMD,...
-
Nueva vulnerabilidad 0-day de Windows en LegacyHiv...
-
OpenAI busca crear un rival físico para Alexa
-
Grupos chinos usan Claude Code y DeepSeek en ciber...
-
Explotan vulnerabilidades 0-day críticas en SonicW...
-
Logran saltar app de verificación de edad de la UE...
-
Cuidado si utilizas LastPass o Bitwarden, están ll...
-
Microsoft corrige récord de 622 vulnerabilidades, ...
-
WhatsApp comienza a probar un servicio de copias d...
-
Réplicas casi idénticas SSD Samsung 870 EVO
-
SAP corrige fallo crítico de seguridad en NetWeave...
-
Altman presume GPT-5.6 y critica a Anthropic
-
Policía española desmantela red de fraude cibernét...
-
Cartuchos 3D NAND: la alternativa a los discos en ...
-
Spotify lanza IA de voz para pedir música
-
Instalar uBlock Origin en Brave post Manifest v2
-
IA sustituye a 12 enfermeras en Nueva York
-
Actualización de seguridad de SAP julio 2026: parc...
-
Grok Build subía repositorios completos de Git al ...
-
Vulnerabilidad crítica en ServiceNow permite ejecu...
-
EE. UU. impone sanciones a primer servicio de VPN ...
-
Reino Unido imputa a sospechosos vinculados a plat...
-
Intel anuncia sus SoC Starfire de 8 cores preparad...
-
Meta patenta una IA capaz de escuchar todo el día ...
-
Instagram elimina edición de fotos con IA por usua...
-
El secreto de 30 años de Windows 95
-
Escaneos globales buscan servidores MCP, credencia...
-
Reino Unido y UE culpan oficialmente a Rusia por e...
-
Grupo Turla usa fallo de SharePoint para acceder a...
-
Nuevo malware para macOS imita informes de Apple p...
-
IA vulnera Windows 11 en horas
-
Crea una GPU casera con 8.192 chips RISC-V
-
Hacktivistas proiranes lanzan ataques DDoS y filtr...
-
China pisa los talones a Micron: CXMT igualará su ...
-
Google critica el bloqueo de IPTV de LaLiga
-
STEPX Neo: el primer smartphone con IA agéntica
-
Prueba KDE Linux en máquina virtual
-
Un streamer ruso «destruye» su GPU RTX 5090 tras e...
-
Robo de datos de Salesforce vinculado a ShinyHunte...
-
Empresa alemana se declara en quiebra tras seis se...
-
Ciberataque obliga a cerrar los sistemas del mayor...
-
Google y Microsoft eliminan ModHeader con 1,6 mill...
-
EE. UU. sanciona a primer servicio VPN que ayudó a...
-
Intel invertirá 5.000 millones de euros para ampli...
-
Extensión de Chrome con 1,6 millones de usuarios r...
-
El dominio t.me de Telegram suspendido
-
Samsung borrará tus datos de salud si no entrenas ...
-
Lidl admite filtración de datos en su tienda onlin...
-
Nintendo planea Switch 2 OLED
-
Usan scripts de PowerShell con IA para enumerar cu...
-
Una ZOTAC GeForce RTX 5090 «explota» tras arrancar...
-
Usan materiales académicos reales para infectar in...
-
Progress ordena apagado urgente de servidor ShareF...
-
La UE impone sanciones al GRU ruso por ciberataques
-
-
▼
julio
(Total:
410
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
1531
)
vulnerabilidad
(
1446
)
software
(
821
)
hardware
(
819
)
google
(
722
)
Malware
(
708
)
privacidad
(
633
)
Windows
(
521
)
ransomware
(
504
)
android
(
448
)
cve
(
366
)
linux
(
366
)
exploit
(
356
)
tutorial
(
299
)
manual
(
281
)
nvidia
(
281
)
hacking
(
240
)
WhatsApp
(
173
)
ssd
(
171
)
Wifi
(
131
)
ddos
(
130
)
app
(
124
)
twitter
(
121
)
cifrado
(
120
)
programación
(
104
)
youtube
(
81
)
herramientas
(
80
)
Networking
(
73
)
firefox
(
73
)
sysadmin
(
71
)
firmware
(
70
)
office
(
62
)
adobe
(
61
)
Kernel
(
49
)
antivirus
(
48
)
hack
(
48
)
javascript
(
48
)
apache
(
45
)
juegos
(
42
)
contraseñas
(
39
)
cms
(
35
)
multimedia
(
35
)
eventos
(
32
)
flash
(
32
)
MAC
(
30
)
anonymous
(
28
)
ssl
(
24
)
Forense
(
20
)
conferencia
(
20
)
SeguridadWireless
(
17
)
documental
(
17
)
Debugger
(
14
)
Rootkit
(
14
)
auditoría
(
14
)
lizard squad
(
14
)
metasploit
(
13
)
técnicas hacking
(
13
)
Virtualización
(
11
)
delitos
(
11
)
reversing
(
10
)
adamo
(
9
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Tiny11 25H2 es una versión optimizada de Windows 11 que reduce el bloatware para funcionar con solo 8 GB de espacio y 2 GB de RAM , permiti...
-
Construcción de una GPU casera con 8.192 chips RISC-V que consume más de 2.000 W y ofrece una resolución de 320x200 píxeles para demostrar...
-
Meta ha solicitado una patente para una IA que analizaría las emociones del usuario mediante el tono de voz, el seguimiento ocular y el uso ...
RedWing MaaS presenta el fraude bancario en Android como un servicio de alquiler de Telegram
lunes, 13 de julio de 2026
|
Publicado por
el-brujo
|
Editar entrada
RedWing es un nuevo malware para Android que se alquila en Telegram como un servicio de fraude bancario para criminales sin conocimientos técnicos. Utiliza páginas de phishing y permisos de accesibilidad para robar contraseñas, interceptar códigos SMS y controlar el teléfono en tiempo real. Esta herramienta, vinculada a actores rusos, evade la seguridad convencional y recomienda instalar aplicaciones solo desde tiendas oficiales.
Una nueva operación de malware para Android llamada RedWing se está alquilando en Telegram como un servicio de fraude bancario ya preparado. Permite que incluso criminales con poca habilidad tomen el control del teléfono de una víctima, roben sus credenciales bancarias y capturen los códigos de un solo uso que protegen sus cuentas.
zLabs de Zimperium [https://zimperium.com/blog/redwing-a-mobile-malware-as-a-service-operation], que descubrió la operación, afirma que parece ser una nueva variante de Oblivion [https://www.certosoftware.com/insights/oblivion-the-new-300-android-rat-that-beats-every-major-phone-manufacturers-security/], una herramienta de malware en alquiler de 300 dólares al mes documentada a principios de este año.
RedWing se vende como un producto completo, con niveles de suscripción, descuentos por referidos, guías y vídeos instructivos, por lo que el comprador no necesita habilidades para escribir malware. Un bot de Telegram crea una aplicación personalizada para cada comprador bajo demanda.
Los investigadores afirman que un número considerable de los droppers y payloads resultantes evaden actualmente las herramientas de seguridad convencionales.
La infección comienza con un enlace de phishing que abre una página de tienda de aplicaciones falsa. El constructor de droppers del kit puede imitar Google Play, la Galaxy Store y AppGallery, o crear páginas totalmente personalizadas, con valoraciones, reseñas y recuentos de descargas falsos. Luego, la página persuade al usuario para que instale la aplicación fuera de la tienda oficial y apruebe sus permisos.
La aplicación solicita los permisos una pantalla a la vez. Una página web de aspecto inofensivo permanece en segundo plano mientras aparecen tarjetas emergentes que solicitan permisos presentados como rutinarios: desactivar los límites de la batería, establecer la aplicación como el gestor predeterminado de mensajes de texto y activar las notificaciones.
También pide activar el servicio de Accesibilidad de Android, que el malware utiliza para leer la pantalla y controlar el teléfono.
Con esos permisos, RedWing tiene un control amplio del teléfono. Sus capacidades incluyen:
* Pantallas de inicio de sesión falsas, llamadas overlays, que aparecen sobre aplicaciones reales de banca y criptomonedas para robar contraseñas.
* Lectura de mensajes entrantes para obtener códigos de un solo uso y uso de la Accesibilidad para extraer códigos, números de tarjeta y PINs de la pantalla mientras aparecen.
* Desvío silencioso de las llamadas entrantes de la víctima hacia el atacante, utilizando un código de operador oculto (*21*) para activar el desvío de llamadas, lo que anula la verificación basada en teléfono y las llamadas de comprobación de fraude bancario.
* Transmisión de pantalla en vivo y un keylogger, para que los operadores puedan observar y controlar el teléfono en tiempo real.
* Activación de la cámara y el micrófono, lectura de archivos, robo de contactos y registros de llamadas, y rastreo de la ubicación.
* Agrupación de teléfonos infectados para inundar un sitio web objetivo con tráfico, un ataque de denegación de servicio.
Los compradores eligen sus propios objetivos y el malware divide su focalización en dos. Las aplicaciones que vigila a través de la Accesibilidad están integradas en cada copia, lo que indica que se crea una aplicación nueva a medida una vez que el comprador elige los objetivos. Los objetivos de los overlays, por el contrario, pueden cambiarse posteriormente desde el panel de control sin necesidad de lanzar una nueva aplicación.
Zimperium contabilizó 82 instituciones objetivo en varios sectores, con un fuerte enfoque en firmas financieras rusas, aunque esa lista puede cambiar en cualquier momento. La evidencia apunta al mercado ruso: una muestra utilizó una página falsa para RuStore de Rusia. Los expertos dicen que la operación parece vinculada a actores de amenazas rusos, pero no llegan a confirmarlo.
RedWing encaja en un movimiento más amplio del crimen en Android hacia el fraude en el dispositivo, donde los atacantes operan dentro de la propia sesión bancaria de la víctima en lugar de robar una contraseña para usarla en otro lugar.
Los investigadores señalaron el año pasado un kit de alquiler casi idéntico para el mercado ruso, Fantasy Hub. Las mismas técnicas aparecen en Albiriox, dirigido a más de 400 aplicaciones financieras, y Klopatra, que utilizaba control remoto oculto y overlays falsos para vaciar cuentas mientras las víctimas dormían.
RedWing no necesita ningún exploit de Android. Funciona solo cuando un usuario instala la aplicación fuera de una tienda oficial y aprueba las solicitudes, por lo que la primera línea de defensa es lo que ocurre al momento de la instalación. Para ti:
* Instala aplicaciones solo desde tiendas oficiales y trata cualquier "actualización" que llegue por enlace o mensaje de texto como sospechosa.
* No actives la opción de "instalar desde fuentes desconocas" y no concedas acceso a Accesibilidad, al gestor de mensajes de texto predeterminado o a la excepción de batería a una aplicación sin una razón clara para necesitarlo.
* Estate atento a cualquier aplicación que oculte su icono después de instalarse, un truco común para pasar desapercibida.
En dispositivos gestionados, las mismas opciones pueden aplicarse de forma centralizada: bloquear la instalación de aplicaciones externas (sideloading) y marcar las aplicaciones que solicitan Accesibilidad o el rol de SMS predeterminado.
Los investigadores también han publicado indicadores de compromiso para los equipos que quieran rastrearlo. Debido a que el kit puede cambiar su apariencia y sus objetivos de overlay desde un panel, el mismo código puede volver a aparecer bajo nuevos nombres, por lo que los nombres de las aplicaciones no son una forma eficaz de rastrearlo. El comportamiento es la señal, no el nombre.
Fuente:
THN
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.