DogeRAT: Nueva campaña de malware

Una nueva campaña de malware de troyano de acceso remoto. El malware de código abierto de Android lleva por nombre DogeRAT y tiene como objetivo una amplia base de clientes de distintos sectores, haciendo énfasis en el sector bancario y de entretenimiento.

Recientes investigaciones llevadas a cabo por CloudSek han descubierto un nuevo malware de código abierto de Android el cual ha sido denominado DogeRAT. El cual tiene como objetivo principal las industrias de banca, servicios financieros y seguros o BFSI, por sus siglas en inglés. Una vez instalado, el malware puede robar todo tipo de información sensible desde el dispositivo comprometido, entre esta información puede incluirse, información de contactos, mensajes y credenciales bancarias.

Abonado a lo anterior, el malware puede ser utilizado para tomar control del dispositivo de la víctima, para la realización de distintas actividades maliciosas, como él envió de mensajes basura, pagos no autorizados, modificar archivos, o bien tomar el control de las cámaras, tanto delantera como trasera, para la toma de fotografías del entorno físico de la víctima.

DogeRat

De las primeras menciones de este nuevo malware ocurrieron en dos canales de Telegram, donde el creador anunciaba su versión premium, con un valor de 30 dólares, con mayores capacidades de la versión normal, como capturas de pantalla, robo de imágenes desde la galería, funcionalidad de keylogger, entre otros.

El autor del malware también ha creado un repositorio en GitHub donde el troyano de acceso remoto se encuentra alojado, junto a un video tutorial sobre el mismo, junto a una lista de características ofrecidas por el malware

En un análisis mas detallado de DogeRAT se puede observar que es un troyano de acceso remoto basado en Java, hace uso de código del lado del servidor simple, escrito en NodeJs para poder interactuar con un canal de Telegram que funciona como panel de comando y control (C2) para los atacantes. Según inspección del tráfico HTTP, se pudo observar que el malware se encuentra entablando una comunicación con el código del servidor, el cual es manipulable por medio del bot de Telegram.

Cuando el malware es ejecutado, este requerirá una variedad de permisos, entre los cuales se pueden resaltar, acceso a los registros de llamadas, grabar audio y envío de mensajes de texto, media, fotos, entre otros permisos.

El malware también muestra contantemente la URL de la entidad objetivo en un Web View en la aplicación para así crear una apariencia legitima. Esta URL puede variar dependiendo del objetivo. Entre las aplicaciones suplantadas por el malware, se encuentran: Opera Mini, Android VulnScan, YOUTUVE PREMIUM, Netflix Premium, ChatGPT, Lite 1 (Facebook), Instagram Pro.

Es importante recalcar que esta campaña resulta ser un fuerte recordatorio sobre la constante evolución de las tácticas llevadas a cabo por actores maliciosos con motivaciones financieras. Las tácticas antiguas de phishing como los sitios web (que siguen siendo igual de efectivas), ahora son acompañadas con técnicas como es el caso de esta nota (Troyanos de acceso remoto modificados), con la finalidad de llevar a cabo campañas de fraude de bajo costo.

Recomendaciones

  • Hace un análisis apropiado de los enlaces en los que se hace clic, así como los todos los enlaces que se encuentran adjuntos a correos o documentos.
  • Mantener al día las actualizaciones de software, pues estos regularmente incluyen parches de seguridad.
  • Tener presente cualquier indicio de estafa, estas pueden ser llevadas a cabo por distintos medios, por lo que es de gran importancia tener en cuenta todo movimiento o actividad sospechosa o fuera de lo que se consideraría “común”.
  • De ser posible, capacitarse y/o capacitar a todo el personal sobre funcionalidades básicas de malware, como su detección o bien, el comportamiento de estos.

Indicadores de Compromiso

Nombre de la aplicación Hash
YOUTUBE PREMIUM cee05d1c702a7fd8616341a44b555ea677e08438
YOUTUBE PREMIUM 7caa0b2489ecd7758911e1899fdfee114a29e905
YOUTUBE PREMIUM c6d9b3bb2420c69f5bc4aee673753dae6e1e693e
VIDEO PLAYER 51161c9f4a3ae9746550854f9467997dae6485e4
VIDEO PLAYER b017c9b82a9ba30c0e3c5dff1e5eb5fd1ed5d3b4
YOUTUBE PREMIUM a1691ae35fed37dbde16b478e5b28b408a848640
VIDEO PLAYER 4af13c30115c5b68427f7cb334e6bd73138abe3e
VIDEO PLAYER b865436af198fc8480d85264a105152b2b6e3b02
YOUTUBE PREMIUM 3421057008a57cdcdde4769a5629570184ce0f40
YOUTUBE PREMIUM 514cc20a65419f0ae1adbfcb97e579c9405ecf36
YOUTUBE PREMIUM b225975439ef0ef0dfc15f6d49f5d9e0c5da3bd7
YOUTUBE PREMIUM deacaf38d16691ec6f27810ce6a89ab072cd55d3
YOUTUBE PREMIUM 233bc1a0975472cc79080bf0536e711cc9cbaeb2
chat arab prvate 7a85de6eacf06945a11b4e4cc44374d313a149ec
YOUTUBE PREMIUM 89cfdb2fb46203d2d8566c6fac3fb062553f2d48
YOUTUBE PREMIUM faba0e797884b1b8e65e3a2336dec3d27d8e5f80
YOUTUBE PREMIUM 716f4b35cd43cfc69dee46d6c9d62579a62161f1
YOUTUBE PREMIUM 16b48e5d8e721eb36038670ad133962d21bb1c0c
YOUTUBE PREMIUM 8d091646dffce1fa20ace3abc4a64e0058109593
ZETFLIX bb47baf96eddc4cb912a763f13e1cc1d91457abb
SeoSprint a027ee6ac9b11664f4666cdd2651f753d70aa2bd
YOUTUBE PREMIUM f4461c92466e5e96977a7ad5890f83fc5aa1ee00
YOUTUBE PREMIUM 26c02a0378ed1fede09912b4f63a045e1147bbab
YOUTUBE PREMIUM e70a7778694e27d3bbb5de4051470421d6918f71
YOUTUBE PREMIUM dfaa802d7c29b076ad225b81516e2d75a34f0ce8
YOUTUBE PREMIUM 0651dfc1bbb165543f8313eab80e3021cfbb9c11
YOUTUBE PREMIUM 5d3d54f0bf932c2972d61aa7c1693d413d56c107
SeoSprint e4510748d0fb1280f77a4e8e9743dc6de13a8c22
girls video call sex 3ae19f6485fdc992746d6d8e086346e4ddfbea8b
VIP MOD BOX c23d084d4c67729413212847224ca70d9fcf3656
AKUN FREE FIRE f1b5c963e381471f99533b07f9645197060343f8
YOUTUBE PREMIUM 5e4139f03a43a7174e72c149622261d91c6e09b0
YOUTUBE PREMIUM 6df9f1b3ccc957a5ee32846b30bede62747bd342
YOUTUBE PREMIUM fb4e9e5df4aee341761d91a7979f155101628528
YOUTUBE PREMIUM db8e25a0acb56b51bc4a0f38dfb05d5f1032027a
Petcoa 08236c8f70a29c9edb05563756c357af619964ac
Petcoa e6b5678ce11bcf81e661838ec50aef76788e0d31
YOUTUBE PREMIUM 562166f3c51e3e80e41b10f55f31a472dd1dbcd2
YOUTUBE PREMIUM 31116da80f119d82124fd6b380e590d83a586fc2
YOUTUBE PREMIUM 8b2435863c027df038c21d49aca8033994dd2dc7
Zetflix 31c24678746e77fd89be9b21b31378b28eec4c03
YOUTUBE PREMIUM f97e226f0fbd6ae22a1d6aa4a4a1319f166e8372
YOUTUBE PREMIUM 059c094410275afca1cc5a2699c36f7b41f35480
YOUTUBE PREMIUM 87ccf4554a34d29f56a5a8f00aa97b1818f09942
YOUTUBE PREMIUM ad6cd355e133d786c2e7d885370d208ef3d6d839
Standoff 2 f5b40debe607fb2978cbbba63dc432aa74a18941
YOUTUBE PREMIUM b7f07acc602b1d136cab47303f2589f1d2093ff1
TELEGRAM PREMIUM 7585fb1485c6bdd201aabead64250a6de9b8969d
YOUTUBE PREMIUM 4f0a2647b0f8feeef37e1779e6d38bcfa83685aa
AKUN FREE FIRE fa9cb759ee400362194804976f7fd05466d249d2
Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.