Los hackers han creado una infraestructura eficaz para engañar a los usuarios, con cientos de comentarios falsos e inflando el número de descargas
Las estafas cibernéticas, al igual que cualquier otra tecnología, están en constante evolución. Los atacantes no paran de desarrollar nuevos métodos con los que intentar robar cualquier información posible a los usuarios, así como su dinero. Las más comunes son el phishing (correos electrónicos falsos que se hacen pasar por una entidad bancaria, empresa o servicio público de confianza), el smishing (mensajes de texto fraudulentos que alertan sobre pagos, envíos o bloqueos urgentes para incitar el clic en enlaces maliciosos), el vhishing (llamadas telefónicas), códigos QR falsos o las manipulaciones con inteligencia artificial, entre otras.
Cada vez es más complicado no caer en estas trampas. Los métodos que utilizan los hackers se han ido perfeccionando con el tiempo hasta el punto de que resulta muy difícil distinguir entre una comunicación real y una falsa. Incluso la persona más desconfiada del mundo, en un momento dado puede convertirse en una víctima. Y más desde que la IA ayuda a hacerlas más personalizadas, creíbles y automatizadas, aumentado significativamente su eficacia y alcance.
Estas no son las únicas amenazas a las que se enfrenta la gente con acceso a un teléfono móvil u otro dispositivo inteligente. El malware también presenta muchos peligros, con variantes que buscan hacer daño a los usuarios de distintas maneras. Expertos en ciberseguridad han descubierto un nuevo tipo que afecta a las aplicaciones, incluso a las descargadas a través de las tiendas oficiales, haciendo creer que se está utilizando una versión segura cuando, en realidad, está infectada y espiando toda nuestra actividad.
Los investigadores de la empresa de seguridad móvil Zimperium han descubierto un nuevo malware que afecta a los smartphones, tabletas y el resto de dispositivos que utilizan el sistema operativo Android. Con el nombre de ClayRat, el malware se hace pasar por aplicaciones y servicios populares como WhatsApp, Google Photos, TikTok y YouTube, justamente algunas de las más utilizadas en todo el mundo.
ClayRat es un malware de tipo spyware. Los spyware se caracterizan por instalarse en los dispositivos de los usuarios sin su conocimiento/consentimiento para espiar todo lo que hacen con él y, así, recopilar información personal confidencial. La información que suele recopilar los spyware son contraseñas, datos bancarios y el historial de investigación. Cuando han recopilado lo suficiente, lo envían a los ciberdelincuentes para acceder a sus cuentas y robar dinero o hacerles daño de otro modo. Los spyware suelen aprovecharse del software gratuito, los adjuntos de correo electrónico y sitios web para apoderarse de los smartphones, tabletas y ordenadores.
Parece ser que ClayRat está atacando principalmente a usuarios rusos a través de canales de Telegram. Es una de las aplicaciones de mensajería instantánea más utilizadas en el país, aunque Vladimir Putin está impulsando la transición hacia una de origen gubernamental llamada MAX —desarrollada por la compañía local VK— que busca convertirse en una plataforma esencial para los residentes del país al combinar servicios gubernamentales con pago de facturas y verificación de identidad. El objetivo es replicar el éxito de WeChat en China, que es una superapp que se utiliza para muchas cosas.
La empresa de seguridad Zimperium afirma que han documentado más de 600 muestras y 50 droppers distintos en los últimos tres meses de ClayRat. El spyware utiliza portales de phishing cuidadosamente diseñados y dominios registrados que imitan muy bien los sitios web de servicios legítimos. Estos sitios alojan o redirigen a los visitantes a canales de Telegram donde se proporcionan archivos APK (instalables de Android) para infectar a los usuarios poco precavidos.
Para mejorar el engaño, los hackers agregaron comentarios falsos e inflaron los números de descarga para dar una falsa sensación de credibilidad. Incluso utilizaron una interfaz similar a la de la Play Store de Google, con instrucciones paso a paso sobre cómo instalar los archivos APK y eludir las advertencias de seguridad de Android que previenen de la instalación de aplicaciones maliciosas. La compañía de ciberseguridad afirma que el malware se anida al dispositivo utilizando un método de instalación “basado en sesión” para eludir las restricciones de Android 13 y posteriores.
ClayRat asume el papel de controlador de SMS predeterminado en los dispositivos infectados, permitiéndole leer todos los mensajes entrantes y almacenados, así como interceptarlos antes que otras apps, incluso modificar las bases de datos de SMS. El spyware establece comunicación con el C2, que está cifrado con AES-GCM en sus últimas versiones, y luego recibe uno de los 12 comandos compatibles:
- get_apps_list — envía la lista de aplicaciones instaladas a C2
- get_calls — enviar registros de llamadas
- get_camera — toma una foto con la cámara frontal y la envía al servidor
- get_sms_list — exfiltrar mensajes SMS
- messsms — envía SMS masivos a todos los contactos
- send_sms / make_call — envía SMS o realiza llamadas desde el dispositivo
- Notificaciones / Get_push_notifications: captura notificaciones y envía datos
- get_device_info — recopilar información del dispositivo
- get_proxy_data: obtiene una URL de WebSocket proxy, agrega el ID del dispositivo e inicializa un objeto de conexión (convierte HTTP/HTTPS a WebSocket y programa tareas)
- retransmisión — reenviar un SMS a un número recibido de C2
- Los usuarios, al otorgar los permisos necesarios, dan poder a ClayRat para recopilar los datos de contacto automáticamente y redactar/enviar mensajes SMS programáticamente a cada contacto para su propagación masiva.
Google, para evitar apps maliciosas, está aplicando ciertas medidas que impiden a desarrolladores no verificados distribuir sus creaciones en dispositivos Android. Es una decisión bastante polémica que va contra la esencia del sistema operativo, pero que ahorraría muchos sustos y dolores de cabeza.
Fuente:
