España vuelve a situarse en el punto de mira del cibercrimen: en los últimos días, los expertos en ciberseguridad han lanzado una alerta sobre Klopatra, un nuevo y sofisticado troyano bancario para Android que se disfraza de aplicación de televisión por internet (IPTV) o, incluso, de red privada virtual (VPN), con el fin de robar dinero directamente de las cuentas bancarias de sus víctimas.

¿Su principal objetivo? Los usuarios españoles que buscan por Internet aplicaciones para ver fútbol gratis.

Un troyano disfrazado de entretenimiento

Según el equipo de Inteligencia de Amenazas de Cleafy, la empresa que ha identificado la amenaza, Klopatra es un troyano de acceso remoto (RAT) que empezó a circular a finales de agosto: El malware se distribuye bajo la apariencia de Mobdro, una conocida aplicación de streaming de contenidos con copyright que ya fue cerrada por las autoridades españolas en 2021. Los atacantes la promocionan aprovechando el atractivo de ofrecer canales deportivos 'gratuitos'.

Una vez que la víctima instala la aplicación, esta solicita permisos de accesibilidad, una función legítima pensada para ayudar a personas con discapacidad. Pero al otorgarlos, el usuario entrega al troyano el control total del dispositivo. Desde ese momento, Klopatra puede grabar la pantalla, registrar pulsaciones de teclado, acceder a las aplicaciones instaladas e incluso desbloquear el móvil sin intervención del usuario.

El ataque: cuando duermes, Klopatra trabaja

El comportamiento del malware ha sorprendido a los investigadores por su nivel de planificación y sigilo: Klopatra espera a que el móvil esté inactivo, normalmente durante la noche, cuando detecta que la pantalla está apagada. En ese momento, el atacante accede al dispositivo de forma remota, introduce el PIN o patrón de desbloqueo, reduce el brillo de la pantalla y entra en la aplicación bancaria de la víctima. Una vez dentro, realiza transferencias sucesivas hasta vaciar por completo la cuenta.

El proceso puede completarse en cuestión de minutos, sin que el propietario del teléfono llegue a percibir actividad extraña. Por la mañana, la víctima simplemente descubre que su saldo ha desaparecido.

• España e Italia, los principales objetivos: Las investigaciones de Cleafy revelan que España e Italia son los países más afectados. Ambos comparten un elemento común: la popularidad de las IPTV con contenido no autorizado y el fútbol como principal reclamo. Los ciberdelincuentes se aprovechan de este fenómeno para atraer a los usuarios que buscan alternativas gratuitas a los servicios de televisión de pago.

En Genbeta

Cuidado con este peligroso troyano bancario que se disfraza de todo tipo de apps (y se desinstala cuando ha terminado de robarte)

• Desde Turquía con amor. Cleafy ha identificado dos campañas activas y al menos 3.000 dispositivos comprometidos, de los cuales cerca de 1.000 pertenecen a usuarios españoles. Los servidores de mando y control (C2) utilizados por el malware apuntan a un grupo criminal de habla turca, que opera de forma profesional y organizada.

Un malware muy sofisticado

Klopatra no es un troyano más. Utiliza técnicas avanzadas de evasión y ocultamiento que dificultan su detección incluso por los antivirus más potentes. Entre ellas destaca el uso de Virbox, una herramienta comercial de protección de software que encripta y oculta el código malicioso, impidiendo que los sistemas de análisis lo identifiquen.

Además, recurre a bibliotecas nativas de Android en lugar del habitual código Java, lo que complica el trabajo de los analistas y refuerza su persistencia dentro del dispositivo. En palabras de los expertos, Klopatra representa un salto cualitativo en la profesionalización del cibercrimen móvil. Ya no se trata de simples estafas, sino de operaciones estructuradas, con infraestructura propia y una clara intención de monetizar las infecciones a gran escala.

Cómo protegerte

La principal puerta de entrada del malware es la instalación de aplicaciones fuera de la Play Store, algo habitual entre quienes buscan ver fútbol o series sin pagar. Los especialistas recomiendan seguir unas pautas básicas para evitar caer en la trampa:

• No instales apps desde fuentes desconocidas. Descarga solo desde tiendas oficiales como Google Play o la App Store.
• Desconfía de las ofertas demasiado buenas. Si una app promete acceso gratuito a contenidos de pago, probablemente sea un fraude.
• Revisa los permisos antes de aceptar. Un servicio de televisión no necesita acceso a tus servicios de accesibilidad o tus SMS bancarios.
• Mantén el sistema operativo actualizado. Las actualizaciones pueden corregir vulnerabilidades que los atacantes podrían explotar.
• Activa las alertas bancarias por SMS o correo para detectar transferencias no autorizadas en tiempo real.

Vía | Europa Press

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar un fraude o delito: qué hacer paso a paso y dónde acudir 

Ya hemos abordado en el pasado las estafas basadas en las amenazas vacías de correos de sextorsión ("tenemos vídeos tuyos viendo porno") que aparentaban haber sido enviados desde la cuenta de la víctima como forma de otorgar veracidad a las reclamaciones de haber sufrido un hackeo.

Ahora, sin embargo, un nuevo tipo de estafa ha convertido en muy real la posibilidad de que algún ciberdelincuente tenga en su poder vídeos por el estilo.

Y es que, en las últimas semanas, los expertos en ciberseguridad han encendido las alarmas frente a una nueva oleada de ataques digitales protagonizados por Stealerium, un malware que ya no se limita únicamente a robar contraseñas o credenciales bancarias, sino que además activa la cámara del ordenador para grabar a los usuarios en 'momentos íntimos' y así poder chantajearlos después.

¿Qué es Stealerium?

Stealerium es un 'infostealer', es decir, un malware ladrón de información. Funciona como un caballo de Troya: se disfraza de archivo legítimo (una factura, una citación judicial o una reserva de hotel), pero al ejecutarse se infiltra en el sistema.

Su misión inicial no era distinta de otros programas maliciosos: recolectar contraseñas, cookies de navegadores, credenciales bancarias, tokens de juegos online, claves de criptomonedas o datos de VPN y Wi-Fi.

Sin embargo, sus últimas variantes han introducido un giro inesperado que lo hace mucho más peligroso: el malware revisa las pestañas del navegador y, si detecta contenido pornográfico, toma una captura de pantalla y activa la webcam para fotografiar al usuario. En resumen, un material perfecto para la extorsión.

Cómo se propaga

Las investigaciones de Proofpoint detallan que Stealerium se distribuye sobre todo mediante campañas de 'phishing'. Los atacantes emplean para ello los anzuelos clásicos en estos casos:

• Facturas o pagos pendientes.
• Avisos de tribunales o citaciones legales.
• Confirmaciones de reservas de viaje u hotel.
• Donaciones o mensajes con urgencia financiera.

Estos correos suelen incluir archivos comprimidos (JavaScript, VBScript, ISO o IMG) que instalan el malware al abrirlos. 

En Genbeta

Mucho cuidado con estas amenazas que llegan a tu WhatsApp: la estafa del proxeneta/sicario ha vuelto

¿Qué hace dentro del equipo?

Una vez instalado, Stealerium despliega varias técnicas de persistencia y evasión:

• Ejecuta comandos para enumerar perfiles Wi-Fi y redes cercanas.
• Añade excepciones en Windows Defender para que no lo detecte.
• Programa tareas automáticas para mantenerse activo.
• Envía los datos robados mediante canales como Telegram, Discord, SMTP o GoFile.
• Incluso puede autodestruirse para borrar huellas si algo sale mal.

La capacidad de automatizar la sextorsión es lo que lo hace especialmente peligroso: en segundos puede recopilar imágenes comprometedoras y transferirlas al atacante, sin que la víctima note nada.

El impacto social: del chantaje al silencio

La sextorsión no es nueva: desde hace años circulan estafas en las que criminales afirman tener videos íntimos de sus víctimas, aunque en realidad no poseen nada. Lo que cambia con Stealerium es que ya no se trata de un farol, sino de un ataque real con material tangible.

Y eso logra que el miedo y la vergüenza sean los mejores aliados de los extorsionadores: muchas víctimas no denuncian por temor a la exposición pública, lo que facilita que este modelo criminal prospere.

Por eso muchos criminales apuestan ahora por esta estafa: no busca grandes rescates a empresas, sino pequeños pagos individuales difíciles de rastrear.

Además, la combinación con 'deepfakes' y otras clases de IA multiplica el riesgo: aunque las imágenes captadas sean limitadas, siempre existe la posibilidad de manipularlas y hacerlas más comprometedoras.

Consejos de protección

Los expertos recomiendan varias medidas para minimizar el riesgo:

1. Desconfía de correos sospechosos: no abras archivos adjuntos ni enlaces de remitentes desconocidos.
2. Mantén actualizado tu antivirus y tu sistema operativo.
3. En entornos corporativos, monitoriza el tráfico de red en busca de grandes volúmenes de datos hacia servicios no autorizados.
4. Desconecta físicamente o cubre tu webcam cuando no la uses. Es una medida básica de autoprotección contra intentos de espionaje.
5. Y, sobre todo, pierde el miedo a denunciar. El silencio solo protege a los atacantes.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas 

Microsoft ha lanzado una alerta sobre un nuevo (y sofisticado) malware denominado StilachiRAT, un malware troyano de acceso remoto (RAT, por sus siglas en inglés) que representa una amenaza para los usuarios de Windows, especialmente aquellos que utilizan el navegador Google Chrome.

Este malware, descubierto el pasado mes de noviembre, combina técnicas avanzadas de evasión, persistencia y robo de información sensible (incluyendo credenciales almacenadas, datos del sistema y claves de criptomonedas).

¿Qué es StilachiRAT y cómo opera?

StilachiRAT es una pieza de software malicioso que se instala sigilosamente en un sistema Windows, generalmente mediante programas o actualizaciones falsas que aparentan ser legítimos. Una vez infectado el equipo, el troyano se comunica con servidores remotos, permitiendo a los atacantes ejecutar comandos, recopilar información y mantenerse ocultos durante largos periodos de tiempo.

Microsoft aún no ha atribuido este troyano a un grupo cibercriminal específico ni ha identificado una geolocalización precisa de su origen, aunque advierte que sus capacidades son preocupantes.

En Genbeta

Los timadores saben que CapCut es uno de los mejores editores de vídeo: por eso lo están usando de anzuelo para difundir este troyano

Principales capacidades del troyano

• Reconocimiento del sistema: El malware recopila información detallada del sistema, incluyendo el sistema operativo, el número de serie del BIOS, la presencia de webcam, sesiones activas de Escritorio Remoto (RDP) y qué aplicaciones se están ejecutando. Toda esta información permite al atacante perfilar minuciosamente al dispositivo infectado.
• Robo de credenciales y datos del navegador: StilachiRAT es capaz de extraer las credenciales almacenadas en Google Chrome, accediendo y descifrando la clave de cifrado maestra que protege las contraseñas guardadas en el navegador.
• Ataque a carteras de criptomonedas: Uno de los objetivos más preocupantes del troyano es el robo de criptomonedas. El malware escanea el sistema en busca de extensiones de monederos digitales instaladas en Chrome, como MetaMask, Trust Wallet, Phantom, entre otras 20, y extrae sus configuraciones para comprometer las claves privadas y contraseñas.

• Control remoto y persistencia: El troyano establece comunicación con servidores externos a través de los puertos TCP 53, 443 o 16000, ejecutando (a petición de quien los controla) órdenes como reiniciar el sistema, borrar registros, ejecutar aplicaciones, manipular el registro de Windows o incluso poner el sistema en suspensión. Además, cuenta con mecanismos de persistencia que permiten su reinstalación automática si es eliminado.
• Monitorización del portapapeles: Una de sus funciones más invasivas es la vigilancia continua del contenido del portapapeles. StilachiRAT busca específicamente información sensible como direcciones, claves y contraseñas relacionadas con la criptomoneda TRON, ampliamente utilizada en Asia.
• Evasión forense: El malware borra registros de eventos, detecta herramientas de análisis, evita entornos sandbox y ofusca llamadas a APIs del sistema para dificultar su detección y análisis técnico.

Recomendaciones de Microsoft para protegerse

Microsoft ha difundido una serie de recomendaciones para mitigar el riesgo de infección:

• Evitar descargas de fuentes no oficiales, especialmente de software, extensiones o supuestas actualizaciones.
• Usar navegadores con protección integrada: aquí aprovechan para proponer su proopio software, Microsoft Edge (que incorpora SmartScreen para bloquear sitios maliciosos).
• Activar herramientas antimalware.

Imagen | Marcos Merino mediante IA

En Xataka Android | Google está eliminando un montón de aplicaciones de la Play Store. Estas son las razones

"Hola, [nombre del cliente], gracias por usar la factura electrónica. Ya puedes consultar tu última factura". Leer eso en un e-mail, junto al logo de Endesa, el enlace de descarga de la factura, los enlaces a las apps móviles de Endesa… no parece que sea algo que haga desconfiar.

Pero como siempre ocurre en estos casos... sí, debemos desconfiar.

La Guardia Civil se hizo en su momento eco en su cuenta de Twitter de un aviso de la Oficina de Seguridad del Internauta, en el que se notificaba la existencia de una nueva campaña de difusión de malware a través de e-mails fraudulentos.

Haz click en la imagen para ir al tuit

En este caso, los afectados son los clientes de Endesa (y, en general, cualquier persona que 'por si acaso' termine abriendo el archivo adjunto).

Según informa la OSI, el correo pretende suplantar la identidad de la compañía energética, con el objetivo de instalar un 'troyano bancario' conocido como Grandoreiro (ya os hemos hablado antes de él) en el dispositivo de la víctima.

En el cuerpo del mensaje, se indica al receptor que ya puede descargar su factura correspondiente a un período determinado (varía según el email) a través de un enlace incluido en el cuerpo del mismo. Y ahí radica el objetivo de este e-mail malicioso…

En Genbeta

Cada vez más correos fraudulentos usan 'PDFs' adjuntos para colarte malware: cómo asegurarte de que un fichero es lo que dice ser

¿Dónde radica el peligro de este e-mail?

…en animarnos a descargar la supuesta factura, aparentemente contenida en un fichero comprimido (.zip), lo cual llevará a muchos usuarios a ejecutar el único fichero contenido en el ZIP, que es realmente un ejecutable (.msi) que desatará la infección una vez lo abramos.

El verdadero contenido de la 'factura'

Y, una vez que Grandoreiro esté circulando por nuestro sistema, empezará a rastrear información financiera y contraseñas alojadas en nuestro disco duro para remitírsela a los cibercriminales.

Basta con que no hagamos doble clic 'sin ton ni son' tras abrir el ZIP: si nos molestamos en mirar, veremos que el fichero que contiene no presenta el tipo de extensión de archivo (.pdf) que sería de esperar en este caso.

Así que recuerda, como siempre te recordamos, comprobar siempre que

• Cada archivo que te descargues sea del formato esperable en cada caso.
• Tu aplicación antimalware está actualizada.
• Usar un gestor de contraseñas para dificultar el acceso a las mismas por parte de troyanos bancarios.
• Comprobar que el remitente de cada e-mail que recibamos sea quien dice ser.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas

Mientras navegamos por internet, debemos asumir muchos peligros que nos podemos encontrar. Y es que aunque las diferentes compañías tecnológicas tratan de frenar todas estas amenazas, siempre hay cierto riesgo de entrar en una web maliciosa que tiene la intención de instalarnos un malware. Algo que puede provocar que un atacante entre a nuestra cuenta bancaria o incluso que se graben las conversaciones que se tienen.

Algo a destacar es que muchos de estos troyanos pasan totalmente desapercibidos en nuestro dispositivo móvil o en el ordenador, pero en realidad están analizando todo lo que estás haciendo. En los últimos días, el troyano que ha ido ganando 'fama' es Brokewell que puede captar toda nuestra información de una forma discreta.

Un troyano que buscará robar tus credenciales bancarias

Para poder acceder al dispositivo móvil, los atacantes se aprovechan de aquellos usuarios que tienen la mentalidad de que tener todo actualizado es sinónimo de máxima seguridad. Esto es totalmente cierto, pero hay que destacar que la fuente de las actualizaciones también es muy importante.

Los atacantes en este sentido van a engañar a sus víctimas a través de un sitio web que simula una página de actualizaciones de Google Chrome. En esta página se va a pedir descargar una actualización para su navegador, que se baja en forma de APK que en realidad es completamente fraudulenta y que solo robará toda tu información bancaria.

Los investigadores apuntan en este caso a que el troyano se ejecuta con un menú falso donde se solicita el código de bloqueo del móvil. A priori parece ser que lo pide para poder instalar la actualización de Google Chrome, pero en realidad están abriendo la puerta a que acceda al dispositivo móvil.

Este troyano permite monitorizar toda la actividad que se está haciendo en el móvil Android. Lo verdaderamente interesante que quieren los atacantes es el movimiento de acceso a la cuenta bancaria desde el propio móvil. Como se está monitorizando todo, se manda al servidor del atacante el usuario y la clave de acceso.

En Genbeta

Aquella vez que un PC con Windows XP infectado de malware se vendió por 1.3 millones de dólares como una obra de arte

De esta manera, lo más importante siempre es no confiar en la descarga de una APK. Todas las actualizaciones, tanto en Android como en iOS, se van a tener que hacer a través de las tiendas oficiales. De esta manera nos garantizamos el hecho de tener siempre la mayor de las seguridades a la hora de realizar cualquier tipo de instalación.

Imágenes | Daniel Romero Robinraj Premchand

En Genbeta | Cuando el verdadero malware es esa ventana que dice haber detectado malware (falso) en tu PC: así funciona el 'scareware'

Una de las claves de las estafas basadas en phishing es intentar suplantar a una persona cercana o a una institución que transmita autoridad/fiabilidad. Como, por ejemplo, la Policía Nacional. Y es exactamente esa la estrategia por la que opta la última campaña contra la que nos advierte el INCIBE.

Así, simulando ser la Policía Nacional, los ciberdelincuentes están distribuyendo malware a través de correos electrónicos fraudulentos que contienen supuestas notificaciones oficiales, con menciones poco claras a un informe policial y a una citación para asistir como testigo a una audiencia.

Aspecto del email fraudulento

"Se han detectado correos con asuntos como: “INFORME POLICIAL EMITIDO” y direcciones de origen con similar estructura de dominio, donde XXXX son números aleatorios:

“POLICIA NACIONAL” <intimacionesXXXXX@fastinse.from-fl.com>
“POLICIA NACIONAL” <intimacionesXXXXX@fastinse.from-in.com>
“POLICIA NACIONAL” <intimacionesXXXXX@fastinse.from-id.com>"

El engaño reside en un enlace incluido en el mensaje, que promete acceso al documento de la citación pero, en realidad, descarga malware en el dispositivo del usuario: este esquema busca engañar a los usuarios para que ejecuten dicho archivo malicioso (un ejecutable con extensión .msi).

El malware difundido por esta campaña ha sido identificado como Mekotio, un troyano especialmente dirigido a países de habla hispana cuya misión consiste en apropiarse de bitcoins o robar credenciales de acceso a webs, aunque también puede inutilizar dispositivos borrando archivos del sistema.

Resultado de evaluar con Virustotal el archivo malicioso

Cómo reaccionar

Resulta esencial estar alerta ante correos que presentan determinadas características sospechosas, como la falta de logotipos oficiales o el uso de dominios no relacionados con la Policía Nacional.

En Genbeta

Cómo denunciar fraudes en Internet y ciberestafas

En el caso de que hayas recibido un e-mail como los descritos más arriba, puedes hacer tres cosas:

• Si has recibido uno de estos correos, pero no has interactuado con el enlace ni descargado el archivo, se recomienda clasificar el mensaje como spam y eliminarlo.
• En caso de haber descargado el archivo sin ejecutarlo, es crucial eliminarlo de inmediato de la carpeta de descargas y de la papelera de reciclaje.
• Para aquellos que hayan ejecutado el archivo, se aconseja desconectar el dispositivo afectado de la red, realizar un escaneo completo con un antivirus actualizado y considerar restablecer el dispositivo a su configuración de fábrica si el malware persiste. Capturar pantallas del correo fraudulento y los archivos adjuntos puede ser útil como evidencia si decides presentar una denuncia ante las autoridades.

Contar con un antivirus actualizado y usar un gestor de contraseñas siempre añade una capa extra de seguridad ante troyanos como Mekotio.

Y recuerda: ante cualquier duda sobre la legitimidad de una comunicación supuestamente oficial, se aconseja verificar contactando directamente con la entidad correspondiente. O llamar al 017, el teléfono de dudas de ciberseguridad del INCIBE.

Imagen | Marcos Merino mediante IA

En Genbeta | Si caes en una estafa de phishing, esto es lo que dice la ley sobre si puedes o no reclamar el dinero robado al banco

Ningún sistema operativo es 100% seguro, ni siquiera el que es desarrollado por la propia Apple aunque se tenga una concepción muy diferente. Esto es algo que se ha vuelto a confirmar recientemente tras la publicación este miércoles de varias actualizaciones para macOS, iOS y watchOS a raíz de dos importantes agujeros de seguridad usados para ataques de espionaje en estos dispositivos.

Los responsables de descubrir esta brecha de seguridad ha sido la firma rusa de ciberseguridad Kaspersky que a principio de mes describieron un ataque que habían sufrido ellos mismos en sus dispositivos. Esto ha desembocado en que Apple tenga que meter una marcha para lanzar una solución lo más pronto posible para dar por cerrado este importante hallazgo.

El troyano 'Triangulation' pone en jaque a Apple

En concreto esta compañía ha categorizado este ataque como "extremadamente complejo" que se basa en la colocación muy discreta de un spyware en los dispositivos. Este troyano se ha denominado 'Triangulation' y llega a través de un mensaje en iMessage sin que el usuario tenga que hacer nada aprovechando las vulnerabildiades en parte del software. En concreto uno de los agujeros se encuentra en el kernel y otro en el WebKit de Apple.

El kernel es realmente importante en cualquier dispositivo, ya que es el responsable de realizar la comunicación entre software y hardware con el objetivo de gestionar recursos y los procesos de comunicación. Es por ello que a partir de que entra el spyware va a permitir transmitir información privada a los servidores de los hackers. Entre estos datos se incluyen grabaciones del micrófono, fotos, geolocalización y todas las actividades que se hagan con el iPhone o el Mac.

Los investigadores creen que una de las razones para que Triangulation pase desapercibido es que iOS o macOS actúa como una caja negra donde poca gente tiene acceso. Es por ello que los expertos tienen complicado investigar y detectar estas amenazas al tener Apple el monopolio de las herramientas necesarias.

En Genbeta

Hábitos, utilidades y consejos para protegerse del ransomware

Desde Apple no han dado respuesta a este informe, pero la actualización de este miércoles donde se cierran estos agujeros de seguridad queda patente que la información les ha llegado. Esto hace que el propio INCIBE haya lanzado una alerta de nivel 5 (la máxima disponible) para recomendar a todos los que tengan un Mac, iPhone o Apple Watch a actualizar cuanto antes para evitar que este spyware pueda seguir llevando a cabo su misión de espionaje.

Imágenes | Markus Spiske Pete Linforth

En Genbeta | Qué fue del virus 'ILoveYou', el malware que hizo colapsar Internet y causó 10.000 millones de dólares en daños

Es habitual que las campañas de phishing (e-mails fraudulentos cuyo fin es que cedamos inadvertidamente nuestros datos a ciberestafadores) recurran a usar como anzuelos los reembolsos de impuestos, las citaciones judiciales o la entrega de paquetes. Menos habitual (aunque igual de ingenioso, y bastante más miserable) es que para ello traten de 'colarnos' el fallecimiento de algún familiar.

"Comunicado de fallecimiento" es el asunto de una de las últimas campañas de e-mail detectadas por ESET (la compañía desarrolladora de antivirus) entre usuarios hispanohablantes. En ella, los sobrinos de María Antonella Oviedo nos comunican su muerte y su deseo de "compartir este dolor con ustedes, nuestros seres queridos" (el dolor, de la herencia no dicen nada).

vía ESET

Y eso es curioso, porque ninguno de los receptores de este e-mail parece saber nada de la tal María Antonella ni de sus sobrinos.

Podría tratarse, claro, de un mero error en el envío del e-mail, quizá estemos criticando antes de tiempo a una familia que está sufriendo en algún lugar no determinado del mundo (aunque el '.com.ar' del dominio de origen del e-mail revela su origen argentino). Sin embargo, hay otro detalle relevante en el e-mail en cuestión:

"Queremos compartir con ustedes una nota de falecimiento (sic) que hemos publicado en línea. Les proporcionaremos el enlace a continuación para que puedan leerla y honrar su memoria".

En Genbeta

Uso un gestor de contraseñas y aunque llegué por la seguridad, me quedé por las funciones extra: así me ayuda en mi día a día

No cliques. ¿Para qué clicas?

Mucho usuario, carcomido por la duda de si de verdad ha conocido o no a dicha mujer, optará por hacer clic en el enlace. Por si acaso. Y es ahí donde empiezan los problemas, porque el enlace nos llevará a una web alojada en la plataforma Azure que nos mostrará un mensaje de "Descargando su archivo PDF…". Sólo que tal archivo PDF es en realidad un ZIP… cuyo nombre empieza por 'Fac_tura_CFDI'.

Llegados a este punto, deberían haber saltado ya todas nuestras alarmas: todo indica que están reutilizando una web maliciosa de una campaña de phishing enfocada en usuarios mexicanos (el CFDI es el 'Comprobante Fiscal Digital por Internet', su versión de la factura electrónica).

vía ESET

No causará ninguna sorpresa que, una vez abramos el citado archivo ZIP, tampoco nos encontremos ningún documento PDF, sino un .exe. Éste, al ser ejecutado, mostrará una ventana que tratará de simular ser el Adobe Acrobat Reader… una versión muy extraña del mismo, pues requiere que rellenemos un captcha.

Cuando lo rellenemos, se nos dirá que el PDF "está cargando" y después aparecerá un aviso de error: "Hubo un error al ver su documento, reinicie su computadora y vuelva a intentarlo".

Llegados a este punto, posiblemente hayamos renunciado a querer saber más sobre la tía María Antonella, pero ya es tarde: mientras nos hemos entretenido intentando visualizar el documento de marras, se ha estado instalando un troyano bancario (muy similar a Grandoreiro, del que ya hemos hablado hace poco) que localizará aquellas credenciales de acceso a entidades bancarias (y, en algunos casos, también de carteras de criptodivisas) que tengamos almacenadas en nuestro equipo, y las remitirá a los responsables de la ciberestafa.

¿Qué hacer?

Los consejos en estos casos son los habituales:

• Desconfiar de e-mails de remitente desconocido.
• Desconfiar de ficheros que no son lo que dijeron ser cuando hicimos clic (un supuesto PDF que realmente es un ZIP con un EXE dentro es el mejor ejemplo de ello).
• Mantener instalada y actualizada una aplicación antimalware en nuestro equipo.
• Mantener las credenciales de acceso (a banca web o a cualquier otro servicio online) a buen recaudo en un gestor de contraseñas.

Imágenes | Elaboración propia vía IA, ESET España

En Genbeta | Tus contraseñas y datos bancarios corren peligro: una oleada de emails fraudulentos revela el retorno de dos peligrosos troyanos

Los malware no descansan nunca, y cada pocos días aparece una nueva amenaza para todos los que navegamos por internet y usamos nuestros dispositivos de manera activa. Hace pocos días hablábamos de una alerta de Google sobre cuatro aplicaciones con malware que llevaban mucho tiempo infectando a diferentes dispositivos. Hoy nos hacemos eco de otro malware que hace peligrar nuestras cuentas bancarias.

En muchos casos pecamos de confiar demasiado en las tiendas aplicaciones y sus filtros de seguridad, y es que estos no son perfectos. En muchos casos los desarrolladores de este tipo de malware aprovechan para poder infiltrar sus aplicaciones con el objetivo de que sean descargadas con aparente confianza. Y este justamente es el modo de filtración que ha tenido el troyano Xenomorph que ha sido descubierto por The Zscaler Threat Labz.

Un troyano que se camuflaba en una app de Android

Como es ya una costumbre, los troyanos pasan de manera desapercibida a nuestros ojos gracias a que están en el código de una aplicación. En el caso de Xenomorph estaba alojado en la app 'Todo: Day Manager' que contaba con más de medio millón de descargas y que aparentaba ser un simple gestor de tareas en Android.

Pero en realidad al instalarlo en un dispositivo Android comenzaba su verdadera función. Este troyano se aprovecha de los permisos que se les concede muchas veces a las apps de manera descontrolada por nuestra parte, para leer notificaciones y mensajes de texto. Y es que a priori estos permisos nos deben parecer extraños, pero casi nunca miramos lo que estamos autorizando.

Con la posibilidad de leer todas las notificaciones y los mensajes de texto, la aplicación que para el usuario cumple su función de gestionar las tareas, comienza a recopilar información. Lo que más le interesa son las claves de la aplicación del banco. De esta manera el delincuente que está tras la aplicación va a poder hacer lo que quiera con tu cuenta al contar con acceso a los SMS donde se reciben los códigos de verificación.

En Genbeta

Malware, virus, gusanos, spyware, troyanos, ransomware...: estas son sus principales diferencias

Ante esta situación Google ya ha reaccionado eliminando la aplicación y recomendando que cualquier persona que la tenga en su dispositivo la desinstale cuanto antes. Igualmente como usuarios debemos siempre consultar todas las reseñas de la aplicación y tener la costumbre de lo que estamos autorizando. Al igual que no firmamos un contrato a ciegas, los permisos tampoco se deben conceder a ciegas.

Vía | LaptotMag

La web de información sobre ciberseguridad Malwarebytes ha alertado de diversas aplicaciones que estuvieron disponibles y que han sido descargadas en más de un millón de dispositivos. Estaban infectadas de un tipo de malware, llamado adware (un virus muy común en las apps), que llena los dispositivos de anuncios emergentes que son peligrosos. Google ha confirmado que la información es cierta.

Eso sí, estas apps siguieron en la tienda de aplicaciones durante varios días después de la publicación de la investigación, pero ya han sido eliminadas."Las aplicaciones identificadas en el informe ya no están disponibles en Google Play y el desarrollador de estas apps ha sido expulsado" de la plataforma, ha explicado un portavoz de Google a ZDNET.

Si la has descargado sigues en peligro

Sin embargo, aunque las aplicaciones ya no están disponibles para su descarga, los usuarios que las hayan instalado seguirán estando infectados por el malware. Para limpiar tu teléfono de estas peligrosas apps tienes que desinstalarlas manualmente.

Las cuatro aplicaciones identificadas como maliciosas eran de un desarrollador llamado Mobile apps Group y son las siguientes: 'Bluetooth Auto Connect', 'Bluetooth App Sender', 'Mobile transfer: smart switch', y 'Driver: Bluetooth, Wi-Fi, USB'. Sólo la aplicación Bluetooth Auto Connect ha tenido más de un millón de descargas y llevaba al menos dos años en Google Play.

Qué peligro entrañan

Según los investigadores, las aplicaciones al principio no dan problemas así cuesta más indentificar qué trae el problema posterior. Después de que pasan un par de días o más de la descarga comienza el problema. Este consiste en bombardear a las víctimas con ventanas emergentes de anuncios que vienen con enlaces maliciosos.

Tras abrirse esta ventana emergente no tendrás más problemas hasta dos horas después. Ahí comienzan a aparecer anuncios y la aplicación abre repetidamente pestañas en Google Chrome para mostrar enlaces publicitarios, que intentan generar clics para obtener ingresos. La víctima ni siquiera necesita estar utilizando activamente su teléfono para que aparezcan las ventanas emergentes: los enlaces pueden abrirse en segundo plano.

En Genbeta

El peligroso spyware Joker lleva cinco años eludiendo los controles de Android: estas son las 20 apps que han encontrado en Google Play

Además, por su tecnología, tendrían la capacidad de dirigir al usuario a sitios de phishing para robar información privada del usuario, aunque desde MalwareBytes no han podido concluir que eso se haya llegado a hacer.

Se recomienda a los usuarios que hayan descargado la aplicación que la desinstalen para eliminar el malware de su dispositivo Android. Además, cuando vayas a descargar una app, fíjate en los comentarios de otros usuarios. En el caso de estas apps, había quejas de otras personas sobre la cantidad de ventanas y publicidad que esa app había llevado a su dispositivo.