Actualización de Google Play y sus Implicaciones
En la última actualización de los servicios de Google Play, se introdujo una función de reinicio automático para dispositivos Android. Esta función complica la extracción de datos mediante herramientas forenses modernas. Cuando el teléfono se reinicia, vuelve al estado anterior al primer desbloqueo, en el cual la mayoría de los datos del usuario permanecen cifrados. Sin embargo, una vez que se realiza el primer desbloqueo, en el estado posterior a este (AFU), los datos se vuelven accesibles para la extracción.
Amenazas en Aplicaciones Móviles
Gracias a la nueva función, el dispositivo se reiniciará automáticamente si permanece inactivo durante 72 horas. Investigadores de Dr.Web han reportado la existencia de aplicaciones troyanizadas preinstaladas en versiones económicas de modelos premium de smartphones Android de marcas como Samsung y Huawei. Entre las aplicaciones modificadas se encuentran mensajeros como WhatsApp y Telegram, así como escáneres de códigos QR, entre otros.
«El malware Shibai intercepta el proceso de actualización de aplicaciones y busca en los chats direcciones de billeteras de criptomonedas Ethereum o Tron, reemplazándolas por direcciones fraudulentas.»
Además, escanea las imágenes almacenadas en el dispositivo en busca de frases semilla. Los atacantes operan utilizando alrededor de 30 dominios para distribuir malware y más de 60 servidores de comando.
Impacto Financiero del Malware
En los últimos dos años, las billeteras asociadas con el esquema han recibido más de 1.6 millones de dólares. Investigaciones de Coinspect han descubierto vulnerabilidades críticas en billeteras de navegador como Stellar Freighter, Frontier Wallet y Coin98, que permiten el robo de activos sin que se detecte la actividad maliciosa.
Al conectarse a aplicaciones descentralizadas (dapps), estas billeteras inyectan código en cada pestaña que el usuario visita, estableciendo un canal de comunicación que permite a la aplicación identificar la billetera y solicitar acceso a funciones clave, como consultar el saldo o iniciar solicitudes para aprobar transacciones.
Vulnerabilidades de Seguridad y Respuestas
Los mensajes se transmiten al script de fondo, que tiene acceso a la clave privada del usuario. En este contexto, la interacción final se lleva a cabo en la interfaz de la billetera. A diferencia de las conexiones de larga duración, que crean canales separados para diferentes partes de la extensión, este método carece de dicha separación, lo que permite que un atacante cause confusión intencionadamente al enviar mensajes a una API privilegiada a través de un oyente en el script de fondo. Las solicitudes maliciosas pueden imitar las legítimas y llevar a la exhibición de la frase semilla para fines de respaldo.
Los expertos han compartido detalles sobre estas vulnerabilidades con los desarrolladores de cada una de las billeteras mencionadas, y hasta el momento, todas han realizado las correcciones necesarias.
Incidentes Recientes
El 14 de abril, el foro en línea 4chan fue víctima de un ataque serio, lo que llevó a la suspensión temporal de sus operaciones. Miembros de la imagenboard Soyjak.party asumieron la responsabilidad del incidente. Se filtraron en línea capturas de pantalla del panel de control de administración y del personal, así como una lista de correos electrónicos que presuntamente pertenecen a los líderes y moderadores de la plataforma.
«La posible interceptación de herramientas de mantenimiento otorga a los hackers acceso a la ubicación y dirección IP de cualquier usuario.»
Más adelante ese mismo día, el código fuente del foro apareció en Kiwi Farms. Los supuestos hackers no revelaron el vector de ataque, aunque se especula que podría ser una versión desactualizada de PHP de la plataforma de 2016. Para minimizar el impacto del ataque, los administradores supuestamente apagaron los servidores, y el sitio no está disponible al momento de redactar este informe.
Iniciativas en la Darknet
Por otro lado, la empresa suiza de ciberseguridad Prodaft ha anunciado la adquisición de cuentas de foros en la darknet, enfocándose en cuentas de XSS, Exploit, RAMP4U, Verified y BreachForums registradas antes de diciembre de 2022. A los propietarios de estas cuentas se les garantiza un pago en criptomonedas, siendo mayor el monto ofrecido para cuentas de moderadores o administradores.
La cuenta no debe encontrarse en la lista de las más buscadas por ninguna agencia de aplicación de la ley. También, como parte de esta iniciativa, los usuarios tienen la oportunidad de denunciar de forma anónima delitos cibernéticos perpetrados por otros. El proceso se lleva a cabo de forma anónima mediante canales de comunicación seguros, y los datos obtenidos sin información del vendedor se transferirán posteriormente a las autoridades para su uso en operaciones de HUMINT e infiltración en comunidades cibernéticas criminales cerradas.
Solicitudes de Eliminación de Contenido
Finalmente, la plataforma estadounidense Reddit recibió 122 solicitudes de eliminación de contenido por parte de agencias gubernamentales y de fuerza pública de varios países durante la segunda mitad de 2024. En particular, Rusia envió 15 solicitudes únicas, de las cuales la red social solo satisfizo cuatro (26%). Según el informe, menos de un tercio del contenido solicitado (27%) realmente infringía las normas de la plataforma. En ningún caso se aplicó geoblocking. El mayor número de solicitudes (24) fue enviado por las autoridades de los EUA. Además, un total de 27 solicitudes legales resultaron ser fraudulentas, según notificaciones de Reddit a las agencias de la ley.
