Redazione RHC : 16 septiembre 2025 10:36
Expertos de F6 y RuStore informan haber descubierto y bloqueado 604 dominios que formaban parte de la infraestructura de hackers que infectaron dispositivos móviles con el troyano DeliveryRAT. El malware se hacía pasar por aplicaciones de entrega de comida a domicilio, mercados, servicios bancarios y servicios de seguimiento de paquetes.
En el verano de 2024, los analistas de F6 descubrieron un nuevo troyano para Android, llamado DeliveryRAT. Su principal tarea era recopilar datos confidenciales para el procesamiento de préstamos en organizaciones de microfinanzas, así como robar dinero a través de la banca en línea. Posteriormente, se descubrió el bot de Telegram del equipo de Bonvi, en el que DeliveryRAT se distribuía mediante el esquema MaaS (Malware como servicio). Resultó que, a través del bot, los atacantes recibían una muestra gratuita del troyano, tras lo cual debían entregarla ellos mismos al dispositivo de la víctima.
Los propietarios del bot ofrecían dos opciones: descargar el APK compilado o conseguir un enlace a un sitio web falso, supuestamente generado por separado para cada trabajador.
Los dispositivos de las víctimas se infectaron mediante varios escenarios comunes. «Para atacar a la víctima, los atacantes utilizaron diversos escenarios ingeniosos: crearon anuncios falsos de compraventa o de trabajo remoto con un salario alto», afirma Evgeny Egorov, analista sénior del Departamento de Protección de Riesgos Digitales de F6. «Después, la conversación con la víctima se transfiere a servicios de mensajería y se la convence para que instale una aplicación móvil que resulta ser maliciosa». Haciéndose pasar por vendedores o gerentes, los delincuentes contactan a la víctima por Telegram o WhatsApp. Durante la conversación, la víctima les proporciona sus datos personales (nombre completo del destinatario, dirección de entrega del pedido y número de teléfono). Para rastrear el pedido falso, el operador solicita descargar una aplicación maliciosa.
Los hackers también crean anuncios falsos de trabajo remoto con condiciones favorables y un buen salario. La comunicación con la víctima también se transfiere a servicios de mensajería, donde primero recopilan sus datos: SNILS, número de tarjeta de crédito, número de teléfono y fecha de nacimiento. Después, los estafadores solicitan instalar una aplicación maliciosa, supuestamente necesaria para el trabajo.
Además, los expertos han detectado la distribución de anuncios publicitarios. En Telegram, invitaban a los usuarios a descargar una aplicación infectada con DeliveryRAT. En este caso, el malware solía camuflarse como aplicaciones con descuentos y códigos promocionales. El informe enfatiza que este esquema fraudulento está muy extendido porque la creación de enlaces generados en bots de Telegram no requiere conocimientos técnicos especiales. Los investigadores también afirman que la principal característica del esquema es el alto grado de automatización del proceso.
RedazioneEn uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
