Saltar al contenido
computerg

Atacantes patrocinados por el estado se infiltran en Play Store con una aplicación VPN falsa

octubre 16, 2021


El software espía puede adoptar muchas formas, y en mayo del año pasado, el grupo de análisis de amenazas de Google descubrió que los piratas informáticos patrocinados por el estado disfrazaron su malware como una aplicación VPN y lo descargaron en Google Play Store.

El grupo de análisis de amenazas del gigante de las búsquedas rastrea una amplia variedad de amenazas y piratas informáticos patrocinados por el estado para alertar a sus usuarios cuando han sido atacados en línea. Una de las campañas más notables que ha seguido recientemente fue llevada a cabo por piratas informáticos patrocinados por el estado iraní conocidos como APT35.

En mayo de 2020, los analistas de amenazas de Google descubrieron que APT35 intentó descargar software espía de Google Play Store al disfrazar su carga útil maliciosa como una aplicación VPN diseñada para imitar la apariencia de ExpressVPN. Si se instala en los dispositivos de un usuario, esta aplicación VPN falsa podría robar información confidencial, incluidos registros de llamadas, mensajes de texto, contactos y datos de ubicación del dispositivo.

Afortunadamente, Google detectó la aplicación rápidamente y la eliminó de Play Store antes de que los usuarios tuvieran la oportunidad de descargarla e instalarla. No obstante, el gigante de las búsquedas detectó recientemente que APT35 estaba intentando distribuir esta aplicación VPN falsa en otras plataformas en julio de 2021.

Phishing de nombre de usuario

Según una nueva publicación de blog del Threat Analysis Group de Google, a principios de este año APT35 comprometió un sitio web afiliado a una universidad del Reino Unido para alojar un kit de phishing.

Después de obtener el control del sitio, los piratas informáticos enviaron correos electrónicos con enlaces a él en un intento de recuperar las credenciales de varios servicios de correo electrónico populares, incluidos Gmail, Hotmail y Yahoo. No solo se engañó a las víctimas potenciales para que activaran una invitación para unirse a un seminario web falso al iniciar sesión, sino que el kit de phishing de APT35 también pudo solicitar códigos de autenticación de dos factores (2FA) enviados a sus dispositivos.

Si bien esta técnica también es popular entre los ciberdelincuentes, APT35 la ha estado utilizando desde 2017 para apuntar a cuentas de alto valor en una amplia variedad de industrias como el gobierno, el mundo académico, el periodismo, las ONG, la política exterior e incluso la seguridad nacional.

Cuando Google sospecha que un grupo de piratas informáticos respaldado por el gobierno como APT35 apunta a sus usuarios, su grupo de análisis de amenazas envía advertencias para informarles que han sido identificados como un objetivo. Al mismo tiempo, la empresa también bloquea los dominios maliciosos mediante la navegación segura de Google, que está integrada en Chrome.

A medida que las amenazas cibernéticas han aumentado en los últimos años, Google ahora anima a los usuarios de «alto riesgo» a que se registren en su programa de protección avanzada, y la compañía incluso planea distribuirles 10,000 claves de seguridad a lo largo de 2021..

Source link