- Un nuevo complemento de CloudZ, fenoMicrosoft secuestra Phone Link para robar SMS y OTP de dispositivos Android conectados
- Esto permite a los atacantes eludir 2FA sin comprometer el teléfono
- Si bien RAT conserva todas las capacidades de acceso remoto, los investigadores piden alejarse de la autenticación basada en SMS
Los expertos han revelado que una nueva versión del troyano de acceso remoto (RAT) CloudZ para Windows ahora viene con un nuevo complemento que roba datos de un dispositivo Android conectado.
El investigador de seguridad Cisco Talos detectó recientemente la variante mejorada mientras investigaba una infracción que se remonta a enero de 2026.
Los sistemas operativos Windows 10 y 11 incluyen una función llamada Microsoft Phone Link, que permite a los usuarios conectar sus dispositivos móviles Android e iOS a su computadora. Luego pueden usar su computadora y hacer llamadas, enviar mensajes de texto a personas y más, sin necesidad de levantar el teléfono inteligente.
El artículo continúa a continuación.
Robar 2FA y OTP
Si bien esta es sin duda una característica útil para responder mensajes grupales de WhatsApp y Telegram, es aún más conveniente cuando el dispositivo requiere autenticación de dos factores (2FA). Sin embargo, esta es exactamente la razón por la que se introdujo un nuevo complemento llamado CloudZ Pheno.
Lo que nos lleva al día de hoy.
Al secuestrar la conexión, los atacantes pueden extraer fácilmente no sólo las credenciales, sino también las contraseñas temporales que se envían a los dispositivos móviles, sin necesidad de comprometer el teléfono.
Pheno funciona monitoreando las sesiones de enlace telefónico activo y accediendo a una base de datos SQLite local que contiene SMS y contraseñas de un solo uso (OTP).
“Con la actividad de PhoneLink confirmada en la máquina víctima, un atacante que utilice CloudZ RAT puede interceptar el archivo de base de datos SQLite de la aplicación PhoneLink en la máquina víctima, comprometiendo potencialmente los mensajes OTP basados en SMS y otros mensajes de notificación de aplicaciones de autenticación”, dijo Cisco Talos.
Aparte de eso, CloudZ viene con todas las capacidades RAT habituales, como manipulación de archivos, ejecución de comandos de shell, grabación de pantalla y más. Intenta ocultar su actividad haciendo un bucle entre tres cadenas de agente de usuario codificadas, haciendo que el tráfico HTTP aparezca como solicitudes válidas del navegador.
Cisco Talos no pudo determinar cómo las víctimas fueron infectadas por CloudZ, pero advirtió que los usuarios deberían evitar los servicios OTP basados en SMS y en su lugar utilizar aplicaciones de autenticación que no requieran notificaciones automáticas interrumpibles.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
