Alerta por nuevo malware para Android vendido en foros de hacking
Los investigadores de ciberseguridad han expuesto las operaciones de un proveedor de malware para Android. Este se asoci贸 con un segundo actor de amenazas. Lo hicieron para comercializar y vender un troyano de acceso remoto (RAT) capaz de tomar el control del dispositivo y exfiltrar mucha informaci贸n. Tambi茅n tiene la capacidad de exfiltrar fotos, ubicaciones, contactos y mensajes de aplicaciones populares como Messenger, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google.
El proveedor, que se conoce con el nombre de “Triangulum” en varios foros de la darknet. Presuntamente es un hombre de 25 a帽os de origen indio, y el individuo abri贸 una tienda para vender el malware hace tres a帽os. Espec铆ficamente el 10 de junio de 2017, seg煤n un an谩lisis publicado por Check Point Research.
“El producto era un RAT m贸vil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales a un servidor C&C. Este destruye datos locales e incluso borra todo el sistema operativo, en ocasiones”, dijeron los investigadores.
Un mercado clandestino activo para el malware m贸vil
Al reconstruir el rastro de actividades de Triangulum, la firma de ciberseguridad dijo que encontraron datos interesantes. El desarrollador de malware, adem谩s de conseguir publicidad para el RAT, tambi茅n busc贸 inversores y socios potenciales en septiembre de 2017. Esto para mostrar las caracter铆sticas de la herramienta antes de ofrecer el malware a la venta.
Posteriormente, se cree que Triangulum se sali贸 de la red durante aproximadamente un a帽o y medio. Estuvo sin signos de actividad en la darknet, solo para resurgir el 6 de abril de 2019, con otro producto llamado “Rogue”. Ahora lo ha hecho en colaboraci贸n con otro atacante llamado “HeXaGoN Dev”, que se especializ贸 en el desarrollo de RAT basados en Android.
Al se帽alar que Triangulum hab铆a comprado previamente varios productos de malware ofrecidos por HeXaGoN Dev, Triangulum anunciaba sus productos en foros de la darknet. Lo hizo con infograf铆as bien dise帽adas que enumeraban las caracter铆sticas completas del RAT. Adem谩s, HeXaGoN Dev se hizo pasar por un comprador potencial en un intento por atraer m谩s clientes.
El producto de 2017 se vendi贸 por $60 como una suscripci贸n de por vida, los proveedores pasaron a un modelo m谩s viable financieramente en 2020. Esto al cobrar a los clientes entre $30 (1 mes) y $190 (acceso permanente) por el malware Rogue.
Curiosamente, los intentos de Triangulum de expandirse al mercado de la darknet rusa fracasaron. Fracasaron tras la negativa del actor a compartir videos de demostraci贸n en la publicaci贸n del foro que anunciaba el producto.
Malware Rogue
Rogue (v6.2), que parece ser la 煤ltima versi贸n de un malware llamado Dark Shades (v6.0) que inicialmente vendi贸 HeXaGoN Dev. Lo vendi贸 antes de ser comprado por Triangulum en agosto de 2019. Tambi茅n viene con caracter铆sticas tomadas de una segunda familia de malware llamado Hawkshaw, cuyo c贸digo fuente se hizo p煤blico en 2017.
“Triangulum no desarroll贸 esta creaci贸n desde cero, tom贸 lo que estaba disponible en ambos mundos. Los mundos del c贸digo abierto y la darknet, y uni贸 estos componentes”, dijeron los investigadores.
Dark Shades result贸 en un “sucesor superior” de Cosmos. Este es un RAT separado vendida por el actor de HeXaGoN Dev, lo que hace que la venta de Cosmos sea redundante.
Rogue se comercializa como un RAT “hecho para ejecutar comandos con caracter铆sticas incre铆bles sin necesidad de una computadora (sic)”. Tiene capacidades adicionales para controlar a los clientes infectados de forma remota mediante un panel de control o un tel茅fono inteligente.
De hecho, el RAT cuenta con una amplia gama de funciones para controlar el dispositivo host y exfiltrar cualquier tipo de datos. Por ejemplo, fotos, ubicaci贸n, contactos y mensajes. Tambi茅n puede modificar los archivos en el dispositivo e incluso descargar payloads maliciosos adicionales. Esto al mismo tiempo que se asegura de que el usuario otorgue permisos intrusivos para llevar a cabo sus actividades nefastas.
Sigiloso
Tambi茅n est谩 dise帽ado para frustrar la detecci贸n al ocultar el 铆cono del dispositivo del usuario, evadir las restricciones de seguridad de Android. Lo hace al explotar las funciones de accesibilidad para registrar las acciones del usuario. Y, registra su propio servicio de notificaci贸n para espiar cada notificaci贸n que aparece en el tel茅fono infectado.
Adem谩s, el sigilo est谩 integrado en la herramienta. Rogue usa la infraestructura Firebase de Google como un servidor de comando y control (C2). Esto para disfrazar sus intenciones maliciosas, abusando de la funci贸n de mensajer铆a en la nube de la plataforma para recibir comandos del servidor. Tambi茅n usa Realtime Database y Cloud Firestore para cargar datos y documentos acumulados del dispositivo de la v铆ctima.
Rogue sufri贸 una fuga en abril de 2020
Triangulum puede estar actualmente activo y expandiendo su clientela, pero en abril de 2020, el malware termin贸 por filtrarse.
El investigador de ESET Lukas Stefanko, anunci贸 el a帽o pasado que el c贸digo fuente del backend de la botnet de Android Rogue se public贸. El c贸digo fue publicado en un foro clandestino, y se帽al贸 que “tiene muchos problemas de seguridad”. Y, que “es un nuevo nombre para Dark Shades V6.0 (mismo desarrollador)”.
Pero a pesar de la filtraci贸n, los investigadores de Check Point se帽alan que el equipo de Triangulum a煤n recibe mensajes de clientes interesados.
“Los proveedores de malware para dispositivos m贸viles se est谩n volviendo mucho m谩s ingeniosos en la darknet. Nuestra investigaci贸n nos permite vislumbrar la locura de la darknet: c贸mo evoluciona el malware y lo dif铆cil que es rastrearlo, clasificarlo y protegerse de manera efectiva.”
Jefe de investigaci贸n cibern茅tica de Check Point, Yaniv Balmas.
“El mercado clandestino sigue siendo como el salvaje oeste en cierto sentido. Esto hace que sea muy dif铆cil entender qu茅 es una amenaza real y qu茅 no”.