Una nueva campaña de malware de troyano de acceso remoto. El malware de código abierto de Android lleva por nombre DogeRAT y tiene como objetivo una amplia base de clientes de distintos sectores, haciendo énfasis en el sector bancario y de entretenimiento.
Recientes investigaciones llevadas a cabo por CloudSek han descubierto un nuevo malware de código abierto de Android el cual ha sido denominado DogeRAT. El cual tiene como objetivo principal las industrias de banca, servicios financieros y seguros o BFSI, por sus siglas en inglés. Una vez instalado, el malware puede robar todo tipo de información sensible desde el dispositivo comprometido, entre esta información puede incluirse, información de contactos, mensajes y credenciales bancarias.
Abonado a lo anterior, el malware puede ser utilizado para tomar control del dispositivo de la víctima, para la realización de distintas actividades maliciosas, como él envió de mensajes basura, pagos no autorizados, modificar archivos, o bien tomar el control de las cámaras, tanto delantera como trasera, para la toma de fotografías del entorno físico de la víctima.
DogeRat
De las primeras menciones de este nuevo malware ocurrieron en dos canales de Telegram, donde el creador anunciaba su versión premium, con un valor de 30 dólares, con mayores capacidades de la versión normal, como capturas de pantalla, robo de imágenes desde la galería, funcionalidad de keylogger, entre otros.
El autor del malware también ha creado un repositorio en GitHub donde el troyano de acceso remoto se encuentra alojado, junto a un video tutorial sobre el mismo, junto a una lista de características ofrecidas por el malware
En un análisis mas detallado de DogeRAT se puede observar que es un troyano de acceso remoto basado en Java, hace uso de código del lado del servidor simple, escrito en NodeJs para poder interactuar con un canal de Telegram que funciona como panel de comando y control (C2) para los atacantes. Según inspección del tráfico HTTP, se pudo observar que el malware se encuentra entablando una comunicación con el código del servidor, el cual es manipulable por medio del bot de Telegram.
Cuando el malware es ejecutado, este requerirá una variedad de permisos, entre los cuales se pueden resaltar, acceso a los registros de llamadas, grabar audio y envío de mensajes de texto, media, fotos, entre otros permisos.
El malware también muestra contantemente la URL de la entidad objetivo en un Web View en la aplicación para así crear una apariencia legitima. Esta URL puede variar dependiendo del objetivo. Entre las aplicaciones suplantadas por el malware, se encuentran: Opera Mini, Android VulnScan, YOUTUVE PREMIUM, Netflix Premium, ChatGPT, Lite 1 (Facebook), Instagram Pro.
Es importante recalcar que esta campaña resulta ser un fuerte recordatorio sobre la constante evolución de las tácticas llevadas a cabo por actores maliciosos con motivaciones financieras. Las tácticas antiguas de phishing como los sitios web (que siguen siendo igual de efectivas), ahora son acompañadas con técnicas como es el caso de esta nota (Troyanos de acceso remoto modificados), con la finalidad de llevar a cabo campañas de fraude de bajo costo.
Recomendaciones
- Hace un análisis apropiado de los enlaces en los que se hace clic, así como los todos los enlaces que se encuentran adjuntos a correos o documentos.
- Mantener al día las actualizaciones de software, pues estos regularmente incluyen parches de seguridad.
- Tener presente cualquier indicio de estafa, estas pueden ser llevadas a cabo por distintos medios, por lo que es de gran importancia tener en cuenta todo movimiento o actividad sospechosa o fuera de lo que se consideraría “común”.
- De ser posible, capacitarse y/o capacitar a todo el personal sobre funcionalidades básicas de malware, como su detección o bien, el comportamiento de estos.
Indicadores de Compromiso
Nombre de la aplicación | Hash |
YOUTUBE PREMIUM | cee05d1c702a7fd8616341a44b555ea677e08438 |
YOUTUBE PREMIUM | 7caa0b2489ecd7758911e1899fdfee114a29e905 |
YOUTUBE PREMIUM | c6d9b3bb2420c69f5bc4aee673753dae6e1e693e |
VIDEO PLAYER | 51161c9f4a3ae9746550854f9467997dae6485e4 |
VIDEO PLAYER | b017c9b82a9ba30c0e3c5dff1e5eb5fd1ed5d3b4 |
YOUTUBE PREMIUM | a1691ae35fed37dbde16b478e5b28b408a848640 |
VIDEO PLAYER | 4af13c30115c5b68427f7cb334e6bd73138abe3e |
VIDEO PLAYER | b865436af198fc8480d85264a105152b2b6e3b02 |
YOUTUBE PREMIUM | 3421057008a57cdcdde4769a5629570184ce0f40 |
YOUTUBE PREMIUM | 514cc20a65419f0ae1adbfcb97e579c9405ecf36 |
YOUTUBE PREMIUM | b225975439ef0ef0dfc15f6d49f5d9e0c5da3bd7 |
YOUTUBE PREMIUM | deacaf38d16691ec6f27810ce6a89ab072cd55d3 |
YOUTUBE PREMIUM | 233bc1a0975472cc79080bf0536e711cc9cbaeb2 |
chat arab prvate | 7a85de6eacf06945a11b4e4cc44374d313a149ec |
YOUTUBE PREMIUM | 89cfdb2fb46203d2d8566c6fac3fb062553f2d48 |
YOUTUBE PREMIUM | faba0e797884b1b8e65e3a2336dec3d27d8e5f80 |
YOUTUBE PREMIUM | 716f4b35cd43cfc69dee46d6c9d62579a62161f1 |
YOUTUBE PREMIUM | 16b48e5d8e721eb36038670ad133962d21bb1c0c |
YOUTUBE PREMIUM | 8d091646dffce1fa20ace3abc4a64e0058109593 |
ZETFLIX | bb47baf96eddc4cb912a763f13e1cc1d91457abb |
SeoSprint | a027ee6ac9b11664f4666cdd2651f753d70aa2bd |
YOUTUBE PREMIUM | f4461c92466e5e96977a7ad5890f83fc5aa1ee00 |
YOUTUBE PREMIUM | 26c02a0378ed1fede09912b4f63a045e1147bbab |
YOUTUBE PREMIUM | e70a7778694e27d3bbb5de4051470421d6918f71 |
YOUTUBE PREMIUM | dfaa802d7c29b076ad225b81516e2d75a34f0ce8 |
YOUTUBE PREMIUM | 0651dfc1bbb165543f8313eab80e3021cfbb9c11 |
YOUTUBE PREMIUM | 5d3d54f0bf932c2972d61aa7c1693d413d56c107 |
SeoSprint | e4510748d0fb1280f77a4e8e9743dc6de13a8c22 |
girls video call sex | 3ae19f6485fdc992746d6d8e086346e4ddfbea8b |
VIP MOD BOX | c23d084d4c67729413212847224ca70d9fcf3656 |
AKUN FREE FIRE | f1b5c963e381471f99533b07f9645197060343f8 |
YOUTUBE PREMIUM | 5e4139f03a43a7174e72c149622261d91c6e09b0 |
YOUTUBE PREMIUM | 6df9f1b3ccc957a5ee32846b30bede62747bd342 |
YOUTUBE PREMIUM | fb4e9e5df4aee341761d91a7979f155101628528 |
YOUTUBE PREMIUM | db8e25a0acb56b51bc4a0f38dfb05d5f1032027a |
Petcoa | 08236c8f70a29c9edb05563756c357af619964ac |
Petcoa | e6b5678ce11bcf81e661838ec50aef76788e0d31 |
YOUTUBE PREMIUM | 562166f3c51e3e80e41b10f55f31a472dd1dbcd2 |
YOUTUBE PREMIUM | 31116da80f119d82124fd6b380e590d83a586fc2 |
YOUTUBE PREMIUM | 8b2435863c027df038c21d49aca8033994dd2dc7 |
Zetflix | 31c24678746e77fd89be9b21b31378b28eec4c03 |
YOUTUBE PREMIUM | f97e226f0fbd6ae22a1d6aa4a4a1319f166e8372 |
YOUTUBE PREMIUM | 059c094410275afca1cc5a2699c36f7b41f35480 |
YOUTUBE PREMIUM | 87ccf4554a34d29f56a5a8f00aa97b1818f09942 |
YOUTUBE PREMIUM | ad6cd355e133d786c2e7d885370d208ef3d6d839 |
Standoff 2 | f5b40debe607fb2978cbbba63dc432aa74a18941 |
YOUTUBE PREMIUM | b7f07acc602b1d136cab47303f2589f1d2093ff1 |
TELEGRAM PREMIUM | 7585fb1485c6bdd201aabead64250a6de9b8969d |
YOUTUBE PREMIUM | 4f0a2647b0f8feeef37e1779e6d38bcfa83685aa |
AKUN FREE FIRE | fa9cb759ee400362194804976f7fd05466d249d2 |