Lunes 14 de Julio de 2025

Spyware para cometer fraudes bancarios, teamviewer, spynote

Publicado: 08-08-2023

Hemos observado un aumento en la actividad de software del tipo spyware (software espía) que generalmente suele utilizarse para recopilar datos de usuarios o realizar campañas de espionaje. Ahora, se emplea para realizar fraudes bancarios contra clientes.
El proceso de ataque comienza con una campaña de smishing, engañosa, en la que las víctimas reciben un mensaje SMS falso instándolos a instalar una nueva versión de una aplicación bancaria. Ocasionalmente este mensaje podría provenir por distintos canales de mensajería, como p.e.: Whatsapp. Posteriormente, los destinatarios son redirigidos a la aplicación legítima de TeamViewer, que en realidad permite a los atacantes obtener acceso remoto al dispositivo de la víctima e instalar malware.
El software espía explota los permisos de acceso y otros permisos otorgados durante la instalación de la aplicación para sustraer datos de los usuarios.
SpyNote es capaz de recopilar SMS y listas de contactos, registrar la digitación de teclas, rastrear ubicaciones de GPS y efectuar capturas de pantalla. Es capaz de interceptar códigos de “segundo factor de autenticación” (2FA) y transmitirlos al servidor C2 de los atacantes. Posee además capacidades para evadir la detección de antivirus y antimalware, emplea varias técnicas de evasión de defensa, como ofuscación de código, controles anti-emulador y código basura para ralentizar el análisis estático del código.
Las campañas que utilizan spyware se han vuelto cada vez más frecuentes y agresivas, últimamente la banda de ciberdelincuentes identificada como Winnti fue protagonista de una campaña de ciberespionaje que empleó los softwares espía WyrmSpy y DragonEgg para infectar dispositivos Android.
Recienemente fueron identificadas dos aplicaciones de software espía en Google Play Store que supuestamente funcionaban como: Recuperación de archivos y Recuperación de datos y Administrador de archivos, estas afectaron a aproximadamente 1,5 millones de usuarios. Estas aplicaciones recolectan información de los usuarios que las instalan, adquieren datos de forma ilícita, como el número de versión del sistema operativo, la marca y el modelo del dispositivo, el proveedor de red, el código de red del proveedor de SIM, el código de país y la ubicación del usuario en tiempo real.
Una versión actualizada del software espía GravityRAT para Android robaba archivos de back-up (copia de seguridad) recibía comandos para eliminar archivos de aplicaciones de mensajería como WhatsApp, etc.
La tendencia indica que es probable que los delincuentes continúen explotando las múltiples funcionalidades del malware para lanzar más ataques de fraude bancario. Los usuarios deben permanecer atentos a los ataques de phishing y actualizar periódicamente sus medidas de seguridad para defenderse de esas amenazas en constante evolución, es imprescindible evitar descargar software, contenido y actualizaciones de fuentes no seguras o desconocidas.

info@btrconsulting.com
www.btrconsulting.com

Tags: