Investigadores Comprobar Pointa notaron un nuevo malware de un conocido proveedor de malware de Android que esta vez se asoció con otro delincuente con el que anuncia y vende un troyano de acceso remoto (RAT) que puede tomar el control de un dispositivo infectado y extraer fotos, datos de ubicación, contactos y mensajes de aplicaciones populares como Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google Messages.
El vendedor, que aparece bajo el nombre de “Triangulum” en numerosos foros de la web oscura, es supuestamente un hombre de origen indio de 25 años. Se trata de un hombre que hace tres años, el 20 de octubre de 2017, puso a la venta su primer malware para Android, que había anunciado meses atrás en un foro de hackers. El malware era un RAT móvil, destinado a dispositivos Android y capaz de robar datos confidenciales de los dispositivos, destruir datos locales e incluso todo el sistema operativo, dijeron los investigadores.
Después de eso, Triangulum desapareció durante un año y medio, y el 6 de abril de 2019 reapareció y ofreció hasta 4 productos diferentes en solo seis meses. El hecho de que ofreciera cuatro programas maliciosos a los investigadores en tan poco tiempo parecía sospechoso, porque estaba claro que una persona no podía desarrollar cuatro programas maliciosos en solo medio año. La investigación reveló que Triangulum colaboró con otro desarrollador que aparece en los foros con el nombre de “HeXaGoN Dev” y que se especializa en el desarrollo de RAT para Android.
Triangulum compró varios malware de HeXaGoN Dev, que publicitó en foros. Curiosamente, HeXaGoN Dev se presentó como un cliente potencial en un intento de atraer a tantos clientes como fuera posible.
Inicialmente, el dúo ofreció una suscripción permanente por $ 60, y el año pasado recurrieron a un modelo de negocio SaaS más viable financieramente (Software-as-a-Service), cobrando a los clientes $ 30 por una suscripción mensual y $ 190 por acceso permanente a malware. . quien llamó a Rogue.
Los intentos de Triangleum de expandirse al mercado ruso fracasaron porque se negó a compartir videos de demostración en el foro donde anunciaba el malware, por lo que los usuarios no confiaban en él.
Rogue (v6.2) es la última versión del malware Dark Shades (v6.0) vendido por HeXaGoN Dev antes de que Triangulum lo comprara en agosto de 2019. El malware viene con características tomadas de otra familia de malware llamada Hawkshaw, cuyo código fuente se convirtió en público en 2017.
“Triangulum no desarrolló esta creación desde cero, tomó lo que estaba disponible en ambos mundos, el código abierto y la red oscura, y combinó estos componentes”, dijeron los investigadores.
Dark Shades resultó ser el “heredero superior” de Cosmos, una RAT especial vendida por HeXaGoN Dev, haciendo superflua la venta de Cosmos.
Rogue se vende como un RAT “creado para ejecutar comandos, con características sorprendentes y sin necesidad de una computadora”, con opciones adicionales para el control remoto de los dispositivos infectados mediante un panel de control o un teléfono inteligente.
RAT cuenta con una amplia gama de funciones que le permiten obtener el control del dispositivo y extraer cualquier tipo de datos del dispositivo, modificar archivos en el dispositivo e incluso descargar malware adicional.
También está diseñado para evitar la detección al ocultar el ícono del dispositivo del usuario, eludir las restricciones de seguridad de Android mediante el uso de funciones de accesibilidad para registrar las acciones del usuario y registrar su propio servicio de notificación para ver cualquier notificación que aparezca en un teléfono infectado.
Triangulum ganó una nueva clientela, pero en abril de 2020, el malware se filtró, lo que fue anunciado por el investigador de ESET Lukas Stefanko el 20 de abril del año pasado, cuando dijo en Twitter que el código fuente del malware Rogue se publicó en un foro. Pero a pesar de eso, los investigadores de Check Point notan que Triangulum continúa recibiendo mensajes de clientes interesados.
Source: Informacija.rs by www.informacija.rs.
*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
