CIBERDELINCUENTES REALIZAN NUEVA CAMPAÑA USANDO MONEYMONGER

16/12/2022

BOLETÍN NRO 2022-731

Se ha observado una campaña de malware para Android no documentada, que hasta ahora se aprovecha aplicaciones de préstamo de dinero donde los usuarios deben pagar altos intereses para que los ciberdelincuentes no revelen su información personal.

Servicios Afectados

• Sistemas operativos Android

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

MoneyMonger se aprovecha del marco de Flutter para ofuscar características maliciosas y complicar la detección de actividad maliciosa mediante análisis estático, segun investigadores de Zimperium.

Debido a la naturaleza de Flutter, el código malicioso y la actividad ahora se esconden detrás de un marco fuera de las capacidades de análisis estático de los productos de seguridad móvil heredados.

La campaña, que se cree que está activa desde mayo de 2022, forma parte de un esfuerzo más amplio revelado anteriormente por la empresa india de ciberseguridad K7 Security Labs.

Ninguna de las 33 aplicaciones utilizadas en el esquema engañoso se ha distribuido a través de Google Play Store. Las aplicaciones de préstamo de dinero, en cambio, están disponibles a través de tiendas de aplicaciones no oficiales o sideloaded a los teléfonos a través de smishing, sitios web comprometidos, anuncios falsos, o campañas de medios sociales.

Una vez instalado, el malware supone un riesgo, ya que está diseñado para pedir a los usuarios que le concedan permisos intrusivos con el pretexto de garantizar un préstamo, y recopilar una amplia gama de información privada.

Los datos recopilados incluyen ubicaciones GPS, SMS, contactos, registros de llamadas, archivos, fotos y grabaciones de audio, que se emplean después como táctica de presión para obligar a las víctimas a pagar intereses excesivamente altos por los préstamos, a veces incluso después de haberlos devuelto.

Además, los ciberdelincuentes someten a los prestatarios a acoso, amenazándoles con revelar su información, llamar a personas de la lista de contactos y enviar mensajes abusivos y fotos transformadas desde los dispositivos infectados.

La escala de la campaña no está clara debido al uso de la carga lateral y de tiendas de aplicaciones de terceros, pero se estima que las aplicaciones maliciosas han acumulado más de 100.000 descargas a través del vector de distribución.

La campaña de malware MoneyMonger, extremadamente novedosa, pone de relieve una tendencia creciente de los atacantes usan el chantaje y las amenazas para estafar dinero a las víctimas.

Los hallazgos se producen dos semanas después de que Lookout descubriera cerca de 300 aplicaciones de préstamos móviles en Google Play y App Store de Apple que, en conjunto, tienen más de 15 millones de descargas y han demostrado tener un comportamiento parecido.

Estas aplicaciones no solo filtran volúmenes extraordinarios de datos de usuarios, sino que también incluyen comisiones ocultas, tipos de interés elevados y condiciones de pago que se utilizan para obligar a las víctimas a pagar préstamos fraudulentos.

Se aprovechan del deseo de las víctimas de obtener dinero rápido para atrapar a los prestatarios en contratos de préstamos abusivos y exigirles que den acceso a información confidencial, como contactos y mensajes SMS.

Los países en desarrollo son uno de los principales objetivos de las aplicaciones de préstamos fraudulentos, ya que los préstamos digitales han experimentado un crecimiento explosivo en mercados como la India, donde la gente recurre sin darse cuenta a este tipo de plataformas después de haber sido rechazada por los bancos por no cumplir los requisitos de ingresos.

En agosto, Google reveló que había eliminado más de 2.000 aplicaciones de desembolso de créditos de su Play Store en India desde principios de año por infringir sus condiciones.

Indicadores de Compromiso

Hash

MD5: defa2f98de8d66676ac6ed9f1ef2457a

SHA-256: 0958dc9429d6420d1a41d758e16d17d346c1917faa08b1b295906ab927aa45f3

MD5: 749001e42839ab55de809b22d39e4dac

SHA-256: e029a5970260a885bd0e63d8dbc7aafb1ec964a8bfb01b791cd5c9f625fca7a1

MD5: c3ceca33930e846ef32e13fba0fed870

SHA-256: 30e72b38534b7b25f9342b9a3c7776efa75ee129635424c3d7fbcedcaa61427b

MD5: ba5ca9573c4bff554a7cdf3b06c48f7d

SHA-256: 4724db488c0cfd776049640ec3c90b43db573c4b4b02b7cc3f1ec6a5bcd7faae

MD5: fae4108bad198015196afa0f5301d780

SHA-256: 59750bfa95c6f7cf355a413a2221a971d735da30f8e05a0de9d0d51820ce28f8

MD5: be7d3246be48543019e718739fb7d504

SHA-256: 5f2c5f46c66f2a5a7bf8ee7990a2763c25fa1f22ce42c1e8793e9fea0ad25176

MD5: d6a6325b4fa43cbd80c87b7ff835c956

SHA-256: edca55d474f0dd6fed7e8e581373bd91e8c831fde4e822196a207328321acddc

MD5: 0f1a1e95ac9058d27a38373ac9847fd4

SHA-256: 720384c47bcad4899d9d51885324ce7a5e1f66cdfa715efa18d05967ee903a08

MD5: db7ada3c4b71ddfbcc946a7968893ae0

SHA-256: f7d811099089b1f48675da6f8ead4ecf3bc7f53fbc2532d3e31623879a3ffc11

MD5: deeaa58da25d0e17bf612534b0af6216

SHA-256: 038f3f4d54f2025c5f8c949c347f6451e84a5340c39175fb01ac14fe37916b6d

MD5: 0b2cd54b1e01f003a4f3c41d1af61fbd

SHA-256: 9c8a0bf3dd9c26cafa06d6e1a8ebdbe8110706d0f7d15bf7d2c5893b8f5e3e36

MD5: f820d1ed0afa8257997e673d1e5ff409

SHA-256: 9dd78817f006b22b900a377b30b3898c4897158d16ccd005d2eeb958ee1bdcac

MD5: 7b788ba0d32d18fcd23bffc8f33ab6d2

SHA-256: 5a22bbd4945037f33d78d0d9236de293ced27f6182cbb3bdeadbdeb608dca217

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Android Malware Campaign Leverages Money-Lending Apps to Blackmail Victims 
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​