Troyano Wroba

El troyano Wroba es una amenaza troyana móvil que se ha implementado contra usuarios en Japón, Corea y otros lugares de la región desde al menos 2013. Sin embargo, los piratas informáticos detrás de esta amenaza de malware ahora lo han equipado con varias técnicas modernas y lo han desatado contra usuarios en los EE. UU. por primera vez, mostrando una expansión significativa de su alcance.

Las versiones iniciales de Wroba fueron capturadas fingiendo ser una aplicación legítima de Google Play Store, mientras que las iteraciones posteriores abusaron de la configuración de DNS de los enrutadores comprometidos para enviar a los usuarios a sitios web corruptos. El último vector de distribución para el troyano Wroba es a través de los llamados 'smishing': SMS de phishing. Los piratas informáticos envían avisos de entrega de paquetes falsificados que han sido diseñados para imitar los mensajes provenientes de servicios legítimos de entrega de paquetes específicos para cada país atacado.

El troyano Wroba aún está siendo desarrollado por los piratas informáticos

El troyano Wroba puede afectar a los dispositivos iOS y Android, pero sus objetivos son diferentes para los dos entornos móviles. Si los usuarios de Android hacen clic en el enlace de la notificación de entrega del paquete falso, son llevados a un sitio web corrupto que intenta engañarlos para que descarguen el malware que esta vez se disfraza como una supuesta actualización del navegador. El sitio web afirma que el navegador del dispositivo comprometido está desactualizado y debe actualizarse de inmediato. Sin embargo, este método de distribución no funciona en dispositivos iOS. En cambio, Wroba redirige a los usuarios a una página de phishing que se crea para que se parezca a una página de inicio de sesión de Apple como en un posible intento de recopilar sus credenciales de ID de Apple.

Si el troyano Wroba logra infiltrarse en un dispositivo con éxito, puede ejecutar una amplia gama de funciones dañinas. El troyano puede acceder a las listas de contactos del usuario, enumerar los paquetes instalados, superponer páginas de inicio de sesión para varias instituciones bancarias con páginas de phishing para recopilar credenciales de cuenta, obtener detalles de transacciones financieras e intentar propagarse más mediante el envío de mensajes SMS falsos.

Si bien Wromba Trojan tiene la funcionalidad de un malware móvil típico en su núcleo, sus últimas versiones muestran que los piratas informáticos detrás de él todavía lo están actualizando. Por ejemplo, Wroba muestra algunas técnicas que rara vez se ven, como el uso del formato MessagePack y el cifrado DES para ocultar el tráfico de comunicaciones a su infraestructura de Comando y Control (C2, C&C). Una de las últimas tendencias entre los ciberdelincuentes es utilizar servicios sociales legítimos como ubicaciones sin salida para los datos codificados. El troyano Wroba se mantiene actualizado y también puede modificar su lista de servidores C2 de acuerdo con la información obtenida de las cuentas de redes sociales configuradas por los piratas informáticos.