Alerta por nuevo malware para Android vendido en foros de hacking
Los investigadores de ciberseguridad han expuesto las operaciones de un proveedor de malware para Android. Este se asoció con un segundo actor de amenazas. Lo hicieron para comercializar y vender un troyano de acceso remoto (RAT) capaz de tomar el control del dispositivo y exfiltrar mucha información. También tiene la capacidad de exfiltrar fotos, ubicaciones, contactos y mensajes de aplicaciones populares como Messenger, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google.
El proveedor, que se conoce con el nombre de “Triangulum” en varios foros de la darknet. Presuntamente es un hombre de 25 años de origen indio, y el individuo abrió una tienda para vender el malware hace tres años. Específicamente el 10 de junio de 2017, según un análisis publicado por Check Point Research.
“El producto era un RAT móvil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales a un servidor C&C. Este destruye datos locales e incluso borra todo el sistema operativo, en ocasiones”, dijeron los investigadores.
Un mercado clandestino activo para el malware móvil
Al reconstruir el rastro de actividades de Triangulum, la firma de ciberseguridad dijo que encontraron datos interesantes. El desarrollador de malware, además de conseguir publicidad para el RAT, también buscó inversores y socios potenciales en septiembre de 2017. Esto para mostrar las características de la herramienta antes de ofrecer el malware a la venta.
Posteriormente, se cree que Triangulum se salió de la red durante aproximadamente un año y medio. Estuvo sin signos de actividad en la darknet, solo para resurgir el 6 de abril de 2019, con otro producto llamado “Rogue”. Ahora lo ha hecho en colaboración con otro atacante llamado “HeXaGoN Dev”, que se especializó en el desarrollo de RAT basados en Android.
Al señalar que Triangulum había comprado previamente varios productos de malware ofrecidos por HeXaGoN Dev, Triangulum anunciaba sus productos en foros de la darknet. Lo hizo con infografías bien diseñadas que enumeraban las características completas del RAT. Además, HeXaGoN Dev se hizo pasar por un comprador potencial en un intento por atraer más clientes.
El producto de 2017 se vendió por $60 como una suscripción de por vida, los proveedores pasaron a un modelo más viable financieramente en 2020. Esto al cobrar a los clientes entre $30 (1 mes) y $190 (acceso permanente) por el malware Rogue.
Curiosamente, los intentos de Triangulum de expandirse al mercado de la darknet rusa fracasaron. Fracasaron tras la negativa del actor a compartir videos de demostración en la publicación del foro que anunciaba el producto.
Malware Rogue
Rogue (v6.2), que parece ser la última versión de un malware llamado Dark Shades (v6.0) que inicialmente vendió HeXaGoN Dev. Lo vendió antes de ser comprado por Triangulum en agosto de 2019. También viene con características tomadas de una segunda familia de malware llamado Hawkshaw, cuyo código fuente se hizo público en 2017.
“Triangulum no desarrolló esta creación desde cero, tomó lo que estaba disponible en ambos mundos. Los mundos del código abierto y la darknet, y unió estos componentes”, dijeron los investigadores.
Dark Shades resultó en un “sucesor superior” de Cosmos. Este es un RAT separado vendida por el actor de HeXaGoN Dev, lo que hace que la venta de Cosmos sea redundante.
Rogue se comercializa como un RAT “hecho para ejecutar comandos con características increíbles sin necesidad de una computadora (sic)”. Tiene capacidades adicionales para controlar a los clientes infectados de forma remota mediante un panel de control o un teléfono inteligente.
De hecho, el RAT cuenta con una amplia gama de funciones para controlar el dispositivo host y exfiltrar cualquier tipo de datos. Por ejemplo, fotos, ubicación, contactos y mensajes. También puede modificar los archivos en el dispositivo e incluso descargar payloads maliciosos adicionales. Esto al mismo tiempo que se asegura de que el usuario otorgue permisos intrusivos para llevar a cabo sus actividades nefastas.
Sigiloso
También está diseñado para frustrar la detección al ocultar el ícono del dispositivo del usuario, evadir las restricciones de seguridad de Android. Lo hace al explotar las funciones de accesibilidad para registrar las acciones del usuario. Y, registra su propio servicio de notificación para espiar cada notificación que aparece en el teléfono infectado.
Además, el sigilo está integrado en la herramienta. Rogue usa la infraestructura Firebase de Google como un servidor de comando y control (C2). Esto para disfrazar sus intenciones maliciosas, abusando de la función de mensajería en la nube de la plataforma para recibir comandos del servidor. También usa Realtime Database y Cloud Firestore para cargar datos y documentos acumulados del dispositivo de la víctima.
Rogue sufrió una fuga en abril de 2020
Triangulum puede estar actualmente activo y expandiendo su clientela, pero en abril de 2020, el malware terminó por filtrarse.
El investigador de ESET Lukas Stefanko, anunció el año pasado que el código fuente del backend de la botnet de Android Rogue se publicó. El código fue publicado en un foro clandestino, y señaló que “tiene muchos problemas de seguridad”. Y, que “es un nuevo nombre para Dark Shades V6.0 (mismo desarrollador)”.
Pero a pesar de la filtración, los investigadores de Check Point señalan que el equipo de Triangulum aún recibe mensajes de clientes interesados.
“Los proveedores de malware para dispositivos móviles se están volviendo mucho más ingeniosos en la darknet. Nuestra investigación nos permite vislumbrar la locura de la darknet: cómo evoluciona el malware y lo difícil que es rastrearlo, clasificarlo y protegerse de manera efectiva.”
Jefe de investigación cibernética de Check Point, Yaniv Balmas.
“El mercado clandestino sigue siendo como el salvaje oeste en cierto sentido. Esto hace que sea muy difícil entender qué es una amenaza real y qué no”.
