Clicky

Alarma ante un nuevo malware de Android vendido en foros de piratería

Malware Rogue

El mercado clandestino sigue siendo como el salvaje oeste

Investigadores de ciberseguridad han expuesto las operaciones de un proveedor de malware de Android que se asoció con un segundo actor de amenazas para comercializar y vender un troyano de acceso remoto (RAT) capaz de tomar posesión de dispositivos y exfiltrar fotos, ubicaciones, contactos y mensajes de populares aplicaciones como Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google Messages.

El vendedor, que se conoce con el nombre de "Triangulum" en varios foros de la darknet, presuntamente es un hombre de origen indio de 25 años, que abrió la tienda individual para vender el malware hace tres años el 10 de junio de 2017, según un análisis publicado hoy por Check Point Research.

"El producto era un RAT móvil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales de un servidor C&C, destruyendo datos locales e incluso borrando todo el sistema operativo, en ocasiones", dijeron los investigadores.

Un activo mercado subterráneo para el malware móvil

Al reconstruir el rastro de actividades de Triangulum, la firma de ciberseguridad dijo que el desarrollador de malware, además de generar publicidad para el RAT, también buscó inversores y socios potenciales en septiembre de 2017 para mostrar las características de la herramienta antes de ofrecer la herramienta a la venta.

Posteriormente, se cree que Triangulum se salió de la red durante aproximadamente un año y medio, sin signos de actividad en la darknet, solo para reaparecer el 6 de abril de 2019 con otro producto llamado "Rogue", esta vez en colaboración con otro adversario llamado "HeXaGoN Dev", que se especializó en el desarrollo de RAT basados en Android.

Triangulum colabora con HeXaGoN

Observando que Triangulum había comprado previamente varios productos de malware ofrecidos por HeXaGoN Dev, Check Point dijo que Triangulum publicitó sus productos en diferentes foros de la darknet con infografías bien diseñadas que enumeraban las características completas del RAT. Además, HeXaGoN Dev se hizo pasar por un potencial comprador en un intento por atraer más clientes.

Si bien el producto de 2017 se vendió por $ 60 como una suscripción de por vida, los proveedores pasaron en 2020 a un modelo más viable financieramente al cobrar a los clientes entre $ 30 (1 mes) y $ 190 (acceso permanente) por el malware Rogue.

Curiosamente, los intentos de Triangulum de expandirse al mercado de la red oscura rusa fracasaron tras la negativa del actor a compartir vídeos de demostración en la publicación del foro que anunciaba el producto.

De Cosmos a Dark Shades a Rogue

Rogue (v6.2), que parece ser la última versión de un malware llamado Dark Shades (v6.0) que inicialmente vendió HeXaGoN Dev antes de ser comprado por Triangulum en agosto de 2019, también viene con características tomadas de una segunda familia de malware llamada Hawkshaw, cuyo código fuente se hizo público en 2017.

"Triangulum no desarrolló esta creación desde cero, tomó lo que estaba disponible en ambos mundos, el código abierto y la red oscura, y unió estos componentes", dijeron los investigadores.

bonet Cosmos

Resulta que Dark Shades es un "sucesor superior" de Cosmos, un RAT separada vendida por el actor de HeXaGoN Dev, lo que hace que la venta de Cosmos sea redundante.

Rogue se comercializa como un RAT "hecho para ejecutar comandos con características increíbles sin necesidad de una computadora (sic)", con capacidades adicionales para controlar a los clientes infectados de forma remota mediante un panel de control o un teléfono inteligente.

De hecho, el RAT cuenta con una amplia gama de funciones para obtener control sobre el dispositivo host y exfiltrar cualquier tipo de datos (como fotos, ubicación, contactos y mensajes), modificar los archivos en el dispositivo e incluso descargar cargas útiles maliciosas adicionales, al tiempo que se asegura de que el usuario otorgue permisos intrusivos para llevar a cabo sus nefastas actividades.

También está diseñado para frustrar la detección al ocultar el ícono del dispositivo del usuario, eludir las restricciones de seguridad de Android al explotar las funciones de accesibilidad para registrar las acciones del usuario y registrar su propio servicio de notificación para espiar cada notificación que aparece en el teléfono infectado.

Además, el sigilo está integrado en la herramienta. Rogue usa la infraestructura Firebase de Google como servidor de comando y control (C2) para disfrazar sus intenciones maliciosas, abusando de la función de mensajería en la nube de la plataforma para recibir comandos del servidor, y Realtime Database y Cloud Firestore para cargar datos y documentos acumulados desde el dispositivo de la víctima.

Rogue sufrió una fuga en abril de 2020

Triangulum puede estar actualmente activo y expandiendo su clientela, pero en abril de 2020, el malware terminó por filtrarse.

El investigador de ESET Lukas Stefanko, en un tweet el 20 de abril del año pasado, dijo que el código fuente del backend de la botnet de Android Rogue se publicó en un foro clandestino, y señaló que "tiene muchos problemas de seguridad" y que "es un nuevo nombre para Dark Shades V6.0 (mismo desarrollador)".

Pero a pesar de la filtración, los investigadores de Check Point señalan que el equipo de Triangulum todavía recibe mensajes de clientes interesados en el foro de Darknet del hogar del actor.

"Los proveedores de malware para dispositivos móviles se están volviendo mucho más ingeniosos en la red oscura. Nuestra investigación nos permite vislumbrar la locura de la red oscura: cómo evoluciona el malware, y lo difícil que es ahora rastrearlos, clasificarlos y protegerse contra ellos de una manera efectiva", dijo el Jefe de Investigación Cibernética de Check Point, Yaniv Balmas.

"El mercado clandestino sigue siendo como el salvaje oeste en cierto sentido, lo que hace que sea muy difícil entender qué es una amenaza real y qué no".

Jesus_Caceres