Expertos en seguridad reportaron la identificación de una campaña maliciosa operada por el grupo de hacking DoNot. En esta se explota el Firebase Cloud Messaging (FCM), servicio de mensajería multiplataforma en la nube de Google, con el objetivo de desplegar el Firestarter, malware de Android, mediante Internet.
Los especialistas afirman que DoNot está utilizando FCM como un mecanismo de comunicación para conectarse con sus servidores de comando y control (C&C). De esta forma, poder evadir la detección de algunos mecanismos de seguridad empleando un ataque identificado como Firestarter.
DoNot viene experimentando con nuevas variaciones de ataques para mantener un punto de entrada en los dispositivos de las víctimas. Demostrando así lo peligroso que puede ser este grupo de hacking y el desarrollo que han conseguido en muy poco tiempo.
En relación a las víctimas, los principales objetivos de ataque de DoNot residen en Pakistán e India. Por lo general, son funcionarios del gobierno pakistaní y organizaciones no gubernamentales. Estos cibercriminales utilizan APKs no disponibles en Play Store con nombres de archivos como Kashmir_Voice_v4.8.apk, kashmir_sample.apk y otras variantes similares.
Estos cibercriminales buscan convencer a las víctimas de instalar estas apps maliciosas aseverando que son plataformas de chat inofensivas. Una vez que el usuario descarga e instala la aplicación, visualizará un mensaje en el que se informa a los usuarios que la app no es compatible con su dispositivo y el archivo será aparentemente desinstalado. Sin embargo, por más que el ícono de la aplicación desaparece, el software sigue estando instalado y presente en el dispositivo.
La aplicación comenzará a funcionar en segundo plano. Posteriormente, descargará una carga útil cuando se establece comunicación con su servidor C&C mediante el FCM. Esto hace a esta variante de ataque mucho más peligrosa para las potenciales víctimas.
Fuente: Noticias de Seguridad Informática
Para más información ingresar aquí.
Comentarios