Ha surgido una sofisticada campaña de phishing Android en toda la India, explotando la importancia cultural de las invitaciones de boda para distribuir software malicioso.
El ataque, denominado “Invitación de boda”, aprovecha la naturaleza ubicua de las plataformas de comunicación digital para atacar a los usuarios móviles desprevenidos a través de tácticas de ingeniería social cuidadosamente elaboradas.
La campaña de malware funciona a través de plataformas de mensajería populares que incluyen WhatsApp y Telegram, donde los atacantes distribuyen invitaciones de boda digitales aparentemente legítimas que contienen archivos APK maliciosos.
Estas aplicaciones engañosas se disfrazan de aplicaciones de boda auténticas, explotando la confianza de los usuarios y la curiosidad sobre los eventos sociales para facilitar la instalación de software comprometido.
Investigadores de Broadcom identificado Esta amenaza como parte de su monitoreo de seguridad continuo, señalando el enfoque sofisticado de la campaña para la distribución de malware móvil.
El ataque demuestra el panorama en evolución de las amenazas móviles, donde los ciberdelincuentes aprovechan cada vez más los contextos sociales y las prácticas culturales para mejorar sus tasas de éxito.
Una vez instalado con éxito en los dispositivos de destino, la aplicación maliciosa implementa las variantes de troyano de acceso remoto similares de SpyMax.
El malware demuestra capacidades de sigilo avanzadas, incluida la capacidad de ocultar su icono de aplicación de la interfaz del dispositivo, lo que hace que la detección de usuarios casuales sea significativamente más desafiante.
El spyware se activa automáticamente durante el inicio del sistema, estableciendo un acceso persistente al dispositivo comprometido.
Mecanismo de infección y exfiltración de datos
La implementación de rata SpyMax sigue un proceso de infección en varias etapas diseñado para maximizar la recopilación de datos al tiempo que minimiza la probabilidad de detección.
Tras una instalación exitosa, el malware establece capacidades de vigilancia integrales en múltiples funciones de dispositivos.
El troyano cosecha sistemáticamente información confidencial que incluye mensajes SMS, listas de contactos, registros de llamadas, patrones de pulsación de teclas y contraseñas únicas utilizadas para fines de autenticación.
El mecanismo de exfiltración emplea canales de comunicación dual para garantizar la transmisión de datos confiable. La transferencia de datos primario se produce a través de la infraestructura de Bot de telegrama, aprovechando las capacidades de mensajería cifradas de la plataforma para oscurecer los patrones de tráfico malicioso.
Además, el malware mantiene la comunicación alternativa con servidores dedicados de comando y control, proporcionando redundancia en caso de que los canales primarios no estén disponibles o sean comprometidos.
Los sistemas de protección de Symantec identifican esta amenaza a través de firmas de detección múltiple, incluida Android.Reputation.2 y Apprisk: clasificaciones de generisk para amenazas basadas en dispositivos móviles, mientras que los componentes basados en la web están cubiertos bajo categorías de seguridad integrales en todos los productos habilitados para webpulse.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
