Ha surgido una sofisticada campaña de malware, aprovechando 607 dominios maliciosos para distribuir aplicaciones de Android armadas disfrazadas de Telegram Messenger.
Esta operación a gran escala representa una escalada significativa en la distribución de malware móvil, dirigiéndose a los usuarios en múltiples regiones a través de una infraestructura de phishing cuidadosamente diseñada.
Los dominios maliciosos, alojados principalmente en idioma chino, utilizan técnicas de tipoquatación con variaciones como “Teleqram”, “Telegramapp” y “Apktelegram” para engañar a los usuarios desprevenidos.
El vector de ataque comienza con códigos QR alojados en estos dominios, lo que redirige a las víctimas a Zifeiji (.) Asia, un sitio web de telegrama falso de manera convincente completa con Favicon de aspecto oficial, APK descargable y un estilo temático auténtico.
Sitio de descarga de Telegram APK presentado en idioma chino (fuente – bfore.ai)
Este mecanismo de redirección centralizado permite a los atacantes mantener el control sobre el proceso de distribución mientras aparece legítimo para las víctimas potenciales.
Los archivos APK malicioso, que van desde un tamaño de 60 MB a 70 MB, se distribuyen con valores hash, incluidas las firmas MD5 ACFF2BF2A53F7F02DEF2F105C196 y EFDDC2DDDDC849517A06B89095B344647.
Bfore.ai analistas identificado Esta campaña a través de su división de investigación de amenazas de laboratorios Precrime ™, revelando el extenso alcance de la operación en múltiples dominios de nivel superior.
Los dominios utilizados con mayor frecuencia incluyen .com (316 instancias), .top (87 instancias) y .xyz (59 instancias), todos registrados a través del registrador GNAME.
Esta estrategia de distribución maximiza la resiliencia de la campaña contra los esfuerzos de derribo mientras mantiene la continuidad operativa.
La sofisticación técnica del malware radica en su explotación de la vulnerabilidad de Janus, específicamente dirigida a dispositivos Android que ejecutan las versiones 5.0 a 8.0.
Al utilizar esquemas de firma V1, el APK malicioso pasa por alto las restricciones de seguridad modernas y opera sin ser detectados en dispositivos vulnerables.
Mecanismo de ejecución de comandos remotos
El aspecto más preocupante de este malware implica sus capacidades de ejecución de comandos remotos a través de devoluciones de llamada basadas en sockets.
La aplicación maliciosa establece conexiones persistentes con servidores de comando y control, lo que permite la recepción y ejecución de instrucciones en tiempo real.
Esta funcionalidad se logra a través de la invocación de MediaPlayer combinada con protocolos de tráfico ClearText, incluidos HTTP y FTP, pasando deliberadamente los estándares de transmisión seguros.
El malware solicita permisos extensos que incluyen read_external_storage y write_external_storage, otorgando a los atacantes acceso integral a los datos del usuario.
Además, un script de seguimiento de JavaScript alojado en telegramt.net/static/js/ajs.js?v=3 recopila información del dispositivo y datos del navegador, enviando esta inteligencia a DSZB77 (.) Com para el análisis y el seguimiento del comportamiento del usuario.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
