Elibomi Android Malware

Elibomi Android Malware Descripción

Se ha detectado que los ciberdelincuentes utilizan una nueva familia de malware de phishing para Android en ataques en vivo. La amenaza fue descubierta por los investigadores que la llamaron Elibomi. La amenaza se basa en tácticas de ingeniería social y aplicaciones de Android falsas para recopilar información de sus víctimas y exfiltrarla a servidores bajo el control de los piratas informáticos.

Primer ataque de Elibomi

El primer ataque que involucró la amenaza Elibomi tuvo lugar a fines de 2020. Los actores de la amenaza entregaron una aplicación falsa de 'Certificado de TI' a los dispositivos de sus víctimas. La aplicación armada imitaba un módulo de gestión de certificados de TI que pretende validar el dispositivo con un servidor inexistente. La aplicación solicita recibir permisos de SMS, así como privilegios de administrador. Es probable que se abuse de este último para dificultar cualquier intento de eliminación. Mientras que a las víctimas se les presenta un 'Escaneo de seguridad' ficticio, en segundo plano, la aplicación recopila información confidencial como correos electrónicos, números de teléfono, mensajes SMS / MMS almacenados y más.

Segundo ataque de Elibomi

La campaña más reciente que desplegó la amenaza Elibomi se dirigió a los contribuyentes indios. Los piratas informáticos cambiaron la identidad de su aplicación falsa y ahora se presentó como una solicitud de declaración de impuestos. El ataque comienza con la difusión de mensajes SMS dirigidos que afirman ser del Departamento de Impuestos sobre la Renta de la India. Para parecer más legítimo, los mensajes de señuelo mencionan los nombres de las personas objetivo. El objetivo en esta etapa es hacer que la víctima haga clic en el enlace proporcionado bajo el falso pretexto de que ha habido una actualización urgente de sus Reembolsos de impuestos sobre la renta.

Los enlaces corruptos conducen a una página de phishing que nuevamente afirma pertenecer al Departamento de Impuestos sobre la Renta de la India. La página de phishing dirige a los usuarios a descargar la aplicación que lleva la amenaza Elibomi en secreto. El paquete de la aplicación amenazante se nombra siguiendo el patrón: palabra aleatoria, cadena aleatoria, móvil. Los investigadores de infosec descubrieron que se distribuían varias versiones de la aplicación falsa, algunas de las cuales solo mostraban una página de inicio de sesión falsa, mientras que otras también tenían una opción para solicitudes de devolución de impuestos y registros falsos.

La amenaza Elibomi captura nuevamente datos confidenciales del dispositivo comprometido, así como cualquier información financiera que logra obtener de sus víctimas. Puede obtener correos electrónicos, números de teléfono, mensajes SMS / MMS, datos financieros e información de identificación personal. Curiosamente, los datos recolectados se cargaron en servidores que estaban abiertos a Internet, exponiendo la información de la víctima al público de manera efectiva. Los piratas informáticos pueden haber notado que se descubrió su error y la información recopilada ya no está disponible.