Investigadores de ciberseguridad descubrieron una nueva versión del malware SparkCat en Apple App Store y Google Play Store, más de un año después de que se descubriera el troyano dirigido a ambos sistemas operativos móviles. Se ha descubierto que el malware se oculta dentro de aplicaciones aparentemente benignas, como mensajería empresarial y servicios de entrega de alimentos, mientras

Un esfuerzo de un año para fortalecer la ciberseguridad y modernizar la tecnología en las agencias de inteligencia de EE. UU. ha llevado a estándares de políticas para el uso de IA para reforzar las defensas cibernéticas, un repositorio compartido de todas las aplicaciones que han sido sometidas a una revisión de ciberseguridad y más, anunció el jueves la Oficina del Director de Inteligencia Nacional.

Un resumen sin clasificar del trabajo de modernización cibernética y tecnológica durante el primer año de la dirección de DNI Tulsi Gabbard afirma que la oficina ha ampliado la automatización de la búsqueda de amenazas en las redes de la comunidad de inteligencia. (La Agencia de Seguridad de Infraestructura y Ciberseguridad lleva a cabo una búsqueda de amenazas en todas las agencias civiles federales).

La ODNI también ha desarrollado una estrategia de confianza cero que cambia “a un modelo de seguridad centrado en los datos que protege la información independientemente de la ubicación o la red”, según el resumen.

«Durante el año pasado, hemos tomado medidas significativas para comenzar a cumplir esa responsabilidad a través del mayor esfuerzo de modernización e inversión en tecnología de circuitos integrados de la historia», dijo Gabbard en un comunicado de prensa. «La comunidad de inteligencia del presidente Trump está avanzando más rápido y con mayor decisión que nunca en la modernización de la ciberseguridad y las inversiones en TI, ofreciendo defensas más sólidas, mayor eficiencia y ahorros de costos reales para el pueblo estadounidense».

Constituye el primer anuncio importante sobre ciberseguridad realizado por la oficina de Gabbard y la segunda administración de Trump.

Si bien el esfuerzo de un año comenzó antes del reciente lanzamiento de una estrategia cibernética nacional, las iniciativas de ODNI reflejan muchos de sus objetivos, incluida una mejor protección de las redes federales, el avance de la inteligencia artificial con fines defensivos y la ofensiva contra los ciberadversarios.

La ODNI ordenó a su Centro Nacional de Seguridad y Contrainteligencia “combatir proactivamente a los actores de inteligencia extranjeros que buscan participar en ciberataques contra intereses estadounidenses”, según el resumen.

La idea de un repositorio de autorizaciones de ciberseguridad de la comunidad de inteligencia es ahorrar tiempo y dinero, ya que permitiría a las agencias aprovechar las pruebas de aplicaciones que otras agencias han realizado sin tener que repetirlas.

En cuanto a la IA, la ODNI está «desarrollando el marco de políticas, la gobernanza y los estándares necesarios para acelerar la adopción de la IA para la ciberseguridad y otras tecnologías críticas», afirma el resumen.

«Proteger la información más sensible de nuestra nación de aquellos que buscan explotarla, y al mismo tiempo garantizar que nuestros profesionales de inteligencia tengan las herramientas y el acceso que necesitan para hacer su trabajo, no es opcional. Es esencial para nuestra seguridad nacional», dijo Gabbard.

La aparición de Gabbard a principios de este año durante una búsqueda del FBI en una oficina electoral en Georgia ha atraído el escrutinio del Congreso, una apariencia que ha defendido en parte citando el papel de su oficina en la coordinación y análisis de inteligencia. relacionado con la ciberseguridad. Las propias prácticas personales de ciberseguridad de Gabbard antes de asumir el puesto de DNI han también planteó preguntas.

Los piratas informáticos afiliados a la inteligencia rusa han obtenido acceso a las aplicaciones de mensajería de miles de usuarios con una campaña global de phishing, advirtieron el viernes el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad en un anuncio de servicio público.

Los objetivos de alto valor que persiguen incluyen a funcionarios actuales y anteriores del gobierno estadounidense, figuras políticas, personal militar y periodistas, dijeron las dos agencias en el PSA conjunto sobre los intentos de los piratas informáticos de infiltrarse en aplicaciones de mensajería comercial (CMA).

El alerta estadounidense viene inmediatamente después de un anterior Advertencia de las autoridades holandesas.quien dijo la semana pasada que los piratas informáticos rusos estaban “involucrados en un intento global a gran escala” de apoderarse de las cuentas de WhatsApp y Signal. La advertencia holandesa también siguió a una advertencia similar de Alemania en febrero.

Las agencias estadounidenses enfatizaron que los piratas informáticos no habían podido eludir el cifrado de extremo a extremo, sino que habían manipulado a los usuarios para que renunciaran al acceso. El esquema involucra a piratas informáticos que se hacen pasar por personal de ayuda de Signal y luego los invitan a hacer clic en un enlace o proporcionar códigos de verificación o un número de identificación personal de la cuenta.

«Después de comprometer una cuenta, los actores maliciosos pueden ver los mensajes y las listas de contactos de las víctimas, enviar mensajes y realizar phishing adicional contra otras cuentas CMA», explica la PSA. «(Nota: los informes muestran que los actores de amenazas se dirigen específicamente a las cuentas de Signal, pero pueden aplicar métodos similares contra otras CMA)».

Sin embargo, «los usuarios de CMA que fortalecen su ciberseguridad personal y se defienden contra los intentos de ingeniería social pueden reducir el riesgo de que la cuenta se vea comprometida y limitar la efectividad de las tácticas, técnicas y procedimientos actuales de los actores de amenazas», dijeron las agencias.

La campaña rusa es sólo la última que busca eludir las protecciones que ofrecen las aplicaciones comerciales de mensajería. CISA advirtió en noviembre sobre software espía dirigido a aplicaciones de mensajería.

En ocasiones ha habido un nexo de inteligencia ruso con el reciente ataque. El año pasado, Google Threat Intelligence Group destacó los intentos rusos de atacar a los usuarios de Signal en Ucrania.

«Anticipamos que las tácticas y métodos utilizados para atacar a Signal aumentarán en prevalencia en el corto plazo y proliferarán a actores de amenazas adicionales y regiones fuera del teatro de guerra de Ucrania», dijo la compañía.

Google el jueves anunciado un nuevo «flujo avanzado» para la descarga de Android que requiere un período de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados en un intento de equilibrar la apertura con la seguridad.

Los nuevos cambios se producen en el contexto de un mandato de verificación de desarrolladores que el gigante tecnológico anunció el año pasado que requiere que todas las aplicaciones de Android estén registradas por desarrolladores verificados para instalarse en dispositivos Android certificados. La medida, añadió, se hizo para detectar a los malos actores más rápidamente y evitar que distribuyan malware.

Esto también incluye escenarios potenciales en los que los ciberdelincuentes engañan a los usuarios desprevenidos que descargan dichas aplicaciones para que les otorguen privilegios elevados que permitan desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.

Sin embargo, el requisitos de registro obligatorios ha sido recibió críticas de más de 50 desarrolladores de aplicaciones y mercados, incluidos F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi, quienes dicen que corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre privacidad y vigilancia en ausencia de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.

Como una forma de sofocar algunos de estos problemas espinosos, Google ha enfatizado que el flujo avanzado recientemente desarrollado permite a los usuarios avanzados mantener la capacidad de descargar aplicaciones de desarrolladores no verificados con un proceso único que requiere que sigan los pasos a continuación:

• Habilite el modo desarrollador en la configuración del sistema.
• Confirme que están dando este paso por su propia voluntad y que no están siendo entrenados.
• Reinicie el teléfono y vuelva a autenticarse para evitar que un estafador controle las acciones que está realizando un usuario.
• Espere un período de 24 horas y confirme que realmente están realizando este cambio con autenticación biométrica o PIN del dispositivo.
• Instale aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o por un período de siete días.

«En ese período de 24 horas, creemos que a los atacantes les resulta mucho más difícil persistir en su ataque», dijo el presidente del ecosistema Android, Sameer Samat. citado diciendo a Ars Técnica. «En ese tiempo, probablemente puedas descubrir que tu ser querido no está realmente encarcelado o que tu cuenta bancaria no está realmente bajo ataque».

Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores aficionados y estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar una identificación emitida por el gobierno o pagar una tarifa de registro».

Vale la pena señalar que el proceso antes mencionado no se aplica a las instalaciones a través de Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados, así como el flujo avanzado para usuarios, estarán disponibles en agosto de 2026, antes de que los nuevos requisitos de verificación de desarrolladores entren en vigor el mes siguiente.

«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro ecosistema diverso», dijo Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos diferentes caminos para satisfacer sus necesidades específicas».

El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus que se dirige activamente a usuarios en Turquía e Italia con el objetivo de realizar apropiación de dispositivos (DTO) y fraude financiero.

Durante los cuatro meses, se han detectado al menos 17 familias de malware para Android. Incluyen FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su variante mejorada SURXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.

Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se está distribuyendo activamente en la naturaleza con el objetivo de realizar adquisición de dispositivos (DTO) y fraude financiero.

Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones de cuentagotas distribuidas a través de sitios de phishing.

«A través de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia», ThreatFabric dicho en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer información personal o financiera de alto valor».

Cerbero era documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, así como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluidas Alien, ERMAC y Fénix.

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

• Roja App Directa (com.xcvuc.ocnsxn) – Cuentagotas
• TvTApp (com.tvtapps.live) – Carga útil de Perseo
• PolBox Tv (com.streamview.players) – Carga útil de Perseus

El análisis de ThreatFabric ha descubierto que el malware se expande en el código base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.

Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposición y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:

• notas_escaneopara capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
• inicio_vncpara iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
• parada_vncpara detener la sesión remota.
• inicio_hvncpara transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de amenazas interactúe con los elementos de la interfaz de usuario mediante programación.
• parada_hvncpara detener la sesión remota.
• enable_accessibility_screenshotpara permitir la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desactivar_accesibilidad_captura de pantallapara desactivar la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desbloquear_aplicaciónpara eliminar una aplicación de la lista de bloqueo.
• claro_bloqueadopara borrar toda la lista de aplicaciones bloqueadas.
• acción_pantalla negrapara mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.
• camisónpara silenciar el audio.
• clic_coordpara realizar un toque en coordenadas de pantalla específicas.
• instalar_desde_desconocidopara forzar la instalación desde fuentes desconocidas.
• inicio_aplicaciónpara iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que esté funcionando en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.

«Perseus destaca la evolución continua del malware para Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.

«Sus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».

Google está probando una nueva función de seguridad como parte del Modo de protección avanzada de Android (AAPM) que evita que ciertos tipos de aplicaciones utilicen la API de servicios de accesibilidad.

El cambio, incorporado en Android 17 Beta 2, fue reportado por primera vez por Android Authority la semana pasada.

AAPM fue introducido por Google en Android 16, lanzado el año pasado. Cuando activadohace que el dispositivo entre en un estado de mayor seguridad para protegerse contra ataques cibernéticos sofisticados. Al igual que el modo de bloqueo de Apple, la función de inclusión prioriza la seguridad a costa de una funcionalidad y usabilidad disminuidas para minimizar la superficie de ataque.

Algunos de los configuraciones centrales incluyen bloquear la instalación de aplicaciones de fuentes desconocidas, restringir la señalización de datos USB y exigir el escaneo de Google Play Protect.

«Los desarrolladores pueden integrar esta función utilizando el Administrador de protección avanzada API para detectar el estado del modo, lo que permite que las aplicaciones adopten automáticamente una postura de seguridad reforzada o restrinjan la funcionalidad de alto riesgo cuando un usuario ha optado por participar», Google anotado en su documentación que describe las características de Android 17.

La última restricción agregada a la configuración de seguridad de un toque tiene como objetivo evitar que las aplicaciones que no están clasificadas como herramientas de accesibilidad puedan aprovechar las funciones del sistema operativo. API de servicios de accesibilidad. Herramientas de accesibilidad verificadas, identificadas por el isAccessibilityTool=»true» indicadorestán exentos de esta regla.

Según Google, sólo los lectores de pantalla, los sistemas de entrada basados ​​en interruptores, las herramientas de entrada basadas en voz y los programas de acceso basados ​​en Braille están designados como herramientas de accesibilidad. El software antivirus, las herramientas de automatización, los asistentes, las aplicaciones de monitoreo, los limpiadores, los administradores de contraseñas y los lanzadores no entran en esta categoría.

Si bien AccessibilityService tiene sus casos de uso legítimos, como ayudar a usuarios con discapacidades a usar dispositivos y aplicaciones Android, en los últimos años los malos actores han abusado ampliamente de la API para robar datos confidenciales de dispositivos Android comprometidos.

Con el último cambio, a cualquier aplicación que no sea de accesibilidad y que ya tenga el permiso se le revocarán automáticamente sus privilegios cuando AAPM esté activo. Los usuarios tampoco podrán otorgar permisos a las aplicaciones para la API a menos que la configuración esté desactivada.

Android 17 también viene con un nuevo selector de contactos que permite a los desarrolladores de aplicaciones especificar solo los campos a los que desean acceder desde la lista de contactos de un usuario (por ejemplo, números de teléfono o direcciones de correo electrónico) o permitir a los usuarios seleccionar ciertos contactos con una aplicación de terceros.

«Esto le otorga a su aplicación acceso de lectura solo a los datos seleccionados, lo que garantiza un control granular y al mismo tiempo proporciona una experiencia de usuario consistente con capacidades integradas de búsqueda, cambio de perfil y selección múltiple sin tener que crear o mantener la interfaz de usuario», dijo Google.

Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que cuentan con capacidades para robar datos de dispositivos comprometidos y realizar fraudes financieros.

El malware para Android abarca desde troyanos bancarios tradicionales como PixRevolución, TaxiSpy RATA, BeatBanker, miraxy RATA del olvido a herramientas completas de administración remota como SURXRAT.

PixRevolution, según Zimperium, apunta a la plataforma de pago instantáneo Pix de Brasil, secuestrando las transferencias de dinero de las víctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar del beneficiario previsto.

«Esta nueva cepa de malware opera sigilosamente dentro del dispositivo hasta el momento en que la víctima inicia una transferencia Pix», afirma el investigador de seguridad Aazim Yaswant. dicho. «Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador humano o agente de IA participa activamente en el extremo remoto, observando instantáneamente la pantalla del teléfono de la víctima, preparado para actuar en el momento preciso de la transacción».

El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para engañar a los usuarios para que instalen los archivos APK del dropper malicioso. Una vez instaladas, las aplicaciones instan a los usuarios a habilitar los servicios de accesibilidad para lograr sus objetivos.

También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes de latido periódicos que contienen información del dispositivo y activar la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. La funcionalidad principal de PixRevolution, sin embargo, es monitorear la pantalla de la víctima y ofrecer una superposición falsa tan pronto como la víctima ingresa la cantidad deseada y el clave de foto del destinatario para iniciar el pago.

En ese momento, el troyano muestra una superposición WebView falsa que dice «Aguarde…» (que significa «esperar» en portugués/español), mientras, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposición y a la víctima se le muestra una pantalla de confirmación de «transferencia completa» en la aplicación Pix.

«Desde la perspectiva de la víctima, no ocurrió nada inusual», dijo Yaswant. «La aplicación mostró brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias legítimas. La transferencia fue confirmada exitosamente. La cantidad que pretendían enviar fue deducida de su cuenta».

«Sólo más tarde, a veces mucho más tarde, la víctima descubre que el dinero fue a la cuenta equivocada. Y como las transferencias Pix son instantáneas y definitivas, la recuperación es extraordinariamente difícil».

Los usuarios brasileños también se han convertido en el objetivo de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing a través de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un mecanismo de persistencia inusual que implica reproducir en bucle un archivo de audio casi inaudible, una grabación de 5 segundos con palabras chinas, para evitar que se termine.

Además de incorporar comprobaciones de tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para comando y control (C2).

«Para lograr sus objetivos, los APK maliciosos llevan múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas», Kaspersky dicho. «Cuando el usuario intenta realizar una transacción USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la dirección de destino con la dirección de transferencia del actor de la amenaza».

El módulo bancario también monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser hasta las URL a las que accede la víctima. Además, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener un control total del dispositivo.

Se ha descubierto que en iteraciones recientes de la campaña se elimina BTMOB RAT en lugar del módulo bancario. Proporciona a los operadores control remoto integral, acceso persistente y vigilancia de dispositivos comprometidos. Se considera que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que se conoce con el alias en línea EVLF.

«También vimos la distribución y venta de código fuente BTMOB filtrado en algunos foros de la web oscura», dijo el proveedor de seguridad ruso. «Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como carga útil final».

TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y de las API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenidos del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de la pantalla de bloqueo y pulsaciones de teclas, así como apuntar a aplicaciones bancarias, criptomoneda y gubernamentales rusas al ofrecer superposiciones para llevar a cabo el robo de credenciales.

El malware combina la funcionalidad del troyano bancario tradicional con capacidades RAT completas, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar comandos enviados a través de mensajes push de Firebase. Se han publicado varias muestras de TaxiSpy. descubierto tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos por parte de los atacantes para evadir la detección basada en firmas y las defensas de listas negras.

«El malware aprovecha técnicas de evasión avanzadas, como el cifrado de biblioteca nativo, la ofuscación de cadenas XOR y el control remoto tipo VNC en tiempo real a través de WebSocket», CYFIRMA dicho. «Su diseño permite una vigilancia integral de los dispositivos, incluidos SMS, registros de llamadas, contactos, notificaciones y monitoreo de aplicaciones bancarias, lo que destaca su enfoque específico de la región y motivado financieramente».

Otro troyano bancario de Android digno de mención es miraxque ha sido anunciado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 dólares por una versión completa o 1750 dólares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilación de información (por ejemplo, pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para enrutar el tráfico malicioso a través de dispositivos comprometidos.

Mirax no es la única oferta de Android MaaS detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 dólares al mes (o 1.900 dólares al año y 2.200 dólares por acceso de por vida) y pretende eludir las funciones de detección y seguridad de los dispositivos de los principales fabricantes.

Una vez instalado, el malware emplea un mecanismo automatizado de concesión de permisos que no requiere interacción por parte de la víctima. Este enfoque, según el vendedor, funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).

«Lo que lo distingue no es una característica única. Es la combinación: omisión de permisos automatizada, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que pone todo al alcance de posibles piratas informáticos incluso con el nivel más mínimo de habilidad técnica», Certos dicho.

«Google ha hecho de las restricciones progresivas sobre el abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera creíble esas protecciones en la última versión, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un verdadero desafío para las defensas a nivel de plataforma».

También se distribuye comercialmente a través de un ecosistema MaaS basado en Telegram una familia de malware para Android llamada SURXRATque se considera una versión mejorada de Arsink. El malware abusa de los permisos de accesibilidad para un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.

Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del módulo LLM se activa solo cuando aplicaciones de juego específicas están activas en el dispositivo de la víctima, o cuando recibe nombres de paquetes de destino alternativos de forma dinámica desde el servidor.

• Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
• Free Fire x JUJUTSU KAISEN (com.dts.freefireth)

Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla estilo ransomware que hace posible que un operador remoto se apodere del control del dispositivo de una víctima y niegue el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice un pago.

«Esta evolución destaca cómo los actores de amenazas continúan reutilizando y ampliando los marcos RAT de Android existentes, acelerando los ciclos de desarrollo de malware y permitiendo la rápida introducción de nuevas funcionalidades de vigilancia y control», dijo Cyble. «La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente tecnologías emergentes para mejorar la efectividad operativa y evadir la detección».