Descubren un nuevo malware que viene de Corea del Norte y que puede entrar por tu WhatsApp
Un grupo de hackers norcoreano ha diseñado un malware que desarma todas las medidas de seguridad del dispositivo y que se distribuye por WhatsApp usando ingeniería social.
No es la primera vez que hablamos de seguridad referida a Android. Tampoco será la última. Cada cierto tiempo aparecen noticias que ponen en evidencia alguna vulnerabilidad o la existencia de aplicaciones infectadas, algo que siempre es preocupante. Tengamos en cuenta que, en 2022, al menos 2 de cada 3 móviles de 2021 pudieron [ser espiados de forma remota] gracias a un problema de seguridad no parcheado.
Ahora ha aparecido una nueva amenaza. Tal y como hemos podido saber a través de The Hacker News, un grupo de ciberdelincuentes norcoreano etiquetado como UNC2970 está encabezando un ataque de phishing que se distribuye a través de WhatsApp. Al parecer los objetivos son organizaciones relacionadas con los medios de comunicación y la tecnología.
Un malware que se distribuye por WhatsApp
Al parecer, la actividad de UNC2970 se puede vincular a actividad de dos grupos más: UNC577 (también conocido como Temp.Hermit) y UNC4034. Este último grupo usaba la ingeniería social para hacer que las víctimas descargasen una archivo que servía como puerta trasera en sus dispositivos a través de WhatsApp.
Al parecer el ataque comienza con una aproximación inicual a los usuarios a través de LinkedIn, usando cuentas falsas muy bien diseñadas, tanto que parecen legítimas. A estos usuarios se les realizaba una oferta de trabajo falsa, que después pasaba a la app de mensajería propiedad de Meta. Después, en WhatsApp se entregaba al objetivo una carga útil de phising bajo la apariencia de una descripción de un puesto de trabajo.
Una vez el objetivo estaba ya infectado, los ciberdelincuentes desplegaban un troyano que era capaz de descargar y ejectuar código en el dispositivo desde un servidor remoto. Todo esto, por supuesto, a espaldas del usuario y sin que este llegase a darse cuenta.
Este malware después instala una versión legítima de un controlador del teléfono con vulnerabilidades conocidas, desde la cual se pueden efectuar operaciones para desarmar el software de seguridad que la máquina objetivo pueda tener instalado.
Según el medio, UNC2970 es uno de los grupos más activos de la actualidad. Su desearrollo y despliegue de herramientas de infección es continuo, lo que lo convierte en uno de los grupos de cibercriminales más peligrosos de la actualidad.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.