Los investigadores de seguridad han descubierto un nuevo kit de herramientas de botnet de Android que se está desarrollando como una oferta de Malware-as-a-Service (MaaS) para otros ciberdelincuentes.

El conjunto de herramientas, denominado Black Rose Lucy por investigadores de la empresa de seguridad Check Point Software Technologies, está compuesto por un panel de control llamado Lucy Loader y un implante Android llamado Black Rose Dropper. El malware fue creado por un equipo de desarrolladores de habla rusa que Check Point llama Lucy Gang.

“Al momento de escribir este artículo, creemos que Lucy Gang ya ha realizado varias demostraciones a posibles clientes maliciosos y, aunque todavía puede estar en sus primeras etapas, con el tiempo podría convertirse fácilmente en una nueva navaja ciber swiss que permite a grupos de cibercriminales en todo el mundo”. para controlar una amplia gama de ataques”, dijeron los investigadores en un artículo del blog.

Una instancia descubierta del tablero de instrumentos de Lucy Loader ya está siendo utilizada para controlar 86 smartphones con Android, en su mayoría de Rusia, que se habían infectado desde agosto. Los atacantes pueden usarlo para enviar malware adicional a los dispositivos comprometidos.

El implante Black Rose se distribuye como una actualización falsa del sistema Android o un archivo de imagen y abusa del servicio de accesibilidad de Android para instalar cargas útiles de malware sin la necesidad de tener la interacción del usuario.

Tras la instalación, Black Rose oculta su icono y se ejecuta en segundo plano. Cada 60 segundos le pide al usuario que habilite el servicio de accesibilidad para una aplicación llamada “Seguridad del sistema”, que en realidad es ella misma.

Si se registra como un servicio de accesibilidad, Black Rose puede simular los clics del usuario sobre otras aplicaciones y menús. Esto le permite otorgar automáticamente privilegios de administrador e ignorar las optimizaciones de la batería que pueden matar su proceso.

También permite que el malware instale nuevos APK (aplicaciones de Android) recibidos del servidor de comando y control. Las versiones más nuevas también admiten cargas útiles DEX más potentes que se pueden cargar dinámicamente en dispositivos Android.

Black Rose comprueba la presencia de diversas herramientas y aplicaciones de seguridad en el teléfono e intenta cerrarlas. También evita que los usuarios accedan al menú de restablecimiento de fábrica en la configuración del teléfono que podría usarse para reiniciar el teléfono y eliminar el malware.

“Durante nuestro análisis del código, sentimos un fuerte sentido de las ambiciones globales de Lucy Gang”, dijeron los investigadores. “De hecho, tenemos la impresión de que Black Rose Lucy tiene planes para convertirse en un servicio de botnet mucho más allá de la frontera rusa debido al implante Black Rose que actualmente admite una interfaz de usuario en inglés, turco y ruso”.

Más de 2 mil millones de dispositivos siguen siendo vulnerables a BlueBorne

Un año después de que se revelara públicamente un ataque crítico basado en Bluetooth, más de 2 mil millones de dispositivos siguen siendo vulnerables.

BlueBorne es un vector de ataque aéreo que explota las vulnerabilidades en las implementaciones Bluetooth de Linux, Android, Windows e iOS. En muchos casos, puede conducir a la ejecución remota de código malicioso en los dispositivos afectados y en otros permite la interceptación del tráfico del hombre en el medio.

Cuando se anunció en septiembre de 2017, se estima que BlueBorne afectará a 5.300 millones de dispositivos, incluidas computadoras, teléfonos móviles, dispositivos IoT y básicamente cualquier cosa con un chip de radio Bluetooth. Fue un nuevo tipo de ataque que desde entonces ha estimulado la investigación adicional y ha llevado al descubrimiento de vulnerabilidades adicionales de Bluetooth.

Sin embargo, resulta complicado parchar pilas Bluetooth a gran escala y muchos dispositivos antiguos se han quedado atrás. Según Armis, la compañía que descubrió BlueBorne, más de 2 mil millones de dispositivos no han recibido parches hasta la fecha.

“La mayoría de estos dispositivos son casi mil millones de dispositivos Android e iOS activos que están al final de su vida útil o al final de su soporte y no recibirán actualizaciones críticas que los parcheen y los protejan de un ataque BlueBorne”, dijo la compañía en un comunicado. “Los otros 768 millones de dispositivos todavía ejecutan versiones sin parches o no aptas de Linux en una variedad de dispositivos, desde servidores y relojes inteligentes hasta dispositivos médicos y equipos industriales”.

El desglose por sistema operativo es el siguiente: 768 millones de dispositivos con Linux, 734 millones de dispositivos con Android 5.1 (Lollipop) y anteriores, 261 millones de dispositivos con Android 6 (Marshmallow) y versiones anteriores, 200 millones de dispositivos con versiones afectadas de Windows y 50 millones de dispositivos ejecutando iOS versión 9.3.5 y anterior.

Incluso para dispositivos que eventualmente recibieron parches, los vendedores se pusieron de pie. Por ejemplo, Lenovo lanzó parches BlueBorne para algunas de sus tabletas Android más antiguas en junio de 2018, 268 días después de que se revelara por primera vez el ataque.

“Los dispositivos no gestionados y de IoT están creciendo exponencialmente en la empresa”, dijo Armis. “Llevan la promesa de conectividad y productividad. Sin embargo, también son el nuevo paisaje de ataque. Los atacantes se enfocan cada vez más en nuevos métodos para explotar estos dispositivos porque aprovechan los nuevos métodos de conectividad (como Bluetooth) y debido a su inherente falta de protección”.

También puedes leer: RAMpage la nueva vulnerabilidad de Android

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *