Este nuevo malware puede tomar el control de tu móvil sin que te enteres

Nueva semana, nueva amenaza descubierta en Android. Desde Bleeping Computer se han hecho eco de un nuevo caso de malware que, en los últimos meses, habría puesto en peligro a los usuarios de Android, al ser capaz de tomar el control total de los dispositivos para llevar a cabo ataques de fraude. El conocido como "Octo Android" es un malware capaz de tomar el control de tu móvil para robarte datos sensibles, incluyendo datos bancarios.

Para lograrlo, el troyano hacía pensar al usuario que el dispositivo tenía la pantalla apagada, y mientras tanto era capaz de robar información sensible, incluyendo claves de acceso a aplicaciones bancarias, contenido de gestores de contraseñas o claves de apps de criptomonedas.

Según los investigadores especializados en ciberseguridad de Threat Fabric, las aplicaciones infectadas por el malware superaban las 50000 instalaciones, y habían sido distribuidas a través de la Play Store. Por tanto, el troyano habría sido capaz de eludir los sistemas de detección de amenazas de Google Play Protect.

El troyano, basado en un malware ya conocido por los investigadores, es capaz de realizar ataques de fraude en el dispositivo --ODF, por sus siglas en inglés--, uno de los tipos de amenaza más peligrosos y discretos que existen.

"El ODF es el tipo de fraude más peligroso, arriesgado y discreto, en el que las transacciones se inician desde el mismo dispositivo que la víctima utiliza todos los días. En este caso, los motores antifraude se enfrentan al reto de identificar la actividad fraudulenta con un número significativamente menor de indicadores sospechosos en comparación con otros tipos de fraude realizados a través de diferentes canales."

Tras descargar una de las aplicaciones infectadas y ejecutarlas por primera vez, el troyano aprovecha permisos de accesibilidad para tomar el control del dispositivo de la víctima. De este modo, es capaz de retransmitir en directo el contenido de la pantalla al centro de control del atacante. Asimismo, el software malicioso silencia las notificaciones y oscurece la pantalla por completo, de modo que el usuario piense que la pantalla se encuentra apagada y el dispositivo permanece en reposo.

Sin embargo, es en ese momento cuando el malware comienza a trabajar, realizando todo tipo de acciones desde copiar y pegar texto, hacer scroll, abrir aplicaciones y menús, etc. para robar todo tipo de información sensible, incluyendo contraseñas, datos de acceso a entidades bancarias, mensajes privados y mucho más.

El malware fue descubierto por los investigadores en diferentes aplicaciones y páginas web presentes en Google Play. Entre los nombres, se incluyen Fast Cleaner 2021 y Pocket Screencaster como apps infectadas distribuidas a través de la tienda de apps. También se ha descubierto el mismo malware presente en aplicaciones falsas de entidades bancarias populares de varios países, distribuidas a través de páginas web de terceros.

¡De locos! Microsoft marcó como malware alguna de sus propias actualizaciones |

Microsoft Defender es uno de los antivirus gratuitos más populares del momento, un antivirus que viene instalado por defecto en nuestro sistema operativo Windows 10 o Windows 11, y si bien hace fenomenal su trabajo, a veces también puede marcar falsos poisitivos.

Pero cuando estos falsos positivos involucran a un programa relativo de la propia Microsoft, todo pasa al plano de lo anecdótico como pasó recientemente con una actualización para Office.

Y es que tal como ha estado informando la comunidad de usuarios en sitios como reddit, Microsoft Defender para punto de conexión, que es la plataforma empresarial para la seguridad del punto de conexión concebida para ayudar a impedir, detectar e investigar las amenazas avanzadas y responder a ellas, comenzó a detectar actualizaciones para su propia aplicación de Office como si fuera ransomware.

El programa antivirus estaba identificando el archivo "OfficeSvcMgr.exe" como malicioso, cuando pertenecía a una actualización oficial de la propia Microsoft. Esto sucedió hace escasas horas cuando los administradores de sistema comenzaron a recibir ciertas alertas de ransomware al actualizar a la última versión de Microsoft Defender para punto de conexión.

Ante la queja de la comunidad, Steve Scholz de Microsoft, explicó en Reddit que se trataba de un falso positivo y que se ha corregido ya el problema.

Desde el 16 de marzo los clientes pueden haber experimentado una serie de detecciones de falsos positivos que se atribuyen a una detección de comportamiento de ransomware en el sistema de archivos. Microsoft ha investigado este pico de detecciones y ha determinado que son resultados de falsos positivos. Microsoft ha actualizado la lógica de la nube para suprimir estos falsos positivos.

De esta forma, ya no debería volver a aparecer ningún falso positivo de este archivo de Office, por lo que si has recibido una alerta sobre este archivo no deberías preocuparte.

New 'Highly Sophisticated' Malware Linked to Chinese Cyberattackers

A leading cybersecurity firm says it has discovered a “highly sophisticated” piece of malware being used by Chinese hacking teams to attack government and critical infrastructure targets.

Symantec, a division of U.S.-based software designer and manufacturer Broadcom, said the earliest known sample of the malware, which has been dubbed Daxin, dates back to 2013, while Microsoft first documented the hacking tool in December 2013.

A report by the company’s Threat Hunter Team says Daxin is “without doubt” the most advanced piece of malware it has seen used “by a China-linked actor.” The unit says Daxin was discovered along with other hacking tools previously used by Chinese cyberattackers.

The hackers have deployed Daxin against “organizations and governments of strategic interest to China.” The malware permits the attackers to communicate directly with infected computers on highly secured networks where direct internet connectivity is not available, allowing them to extract data without raising suspicions.

Vikram Thakur, a technical director with Symantec, told Reuters that Daxin “can be controlled from anywhere in the world once a computer is actually infected.” Thakur said Daxin’s victims included high-level, non-Western government agencies in Asia and Africa, including justice ministries.