¿Has instalado alguna aplicación de modificación de voz con Inteligencia Artificial en Android o iOS? La compañía de seguridad informática Kaspersky alerta que el malware Gipy emplea GitHub, una plataforma muy utilizada por programadores para la gestión y colaboración de proyectos, para almacenar archivos protegidos con contraseña como carga útil final. Esto facilita el robo de información sensible, la minería de criptomonedas y la descarga de software malicioso adicional.
Gipy ha estado operativo desde mediados de 2023 y se destaca por usar herramientas de IA como señuelo para propagar sus infecciones. Estas comienzan cuando un usuario descarga un archivo malicioso desde un sitio web de phishing que imita una aplicación de IA para cambiar voces. Dichos sitios están muy bien diseñados y pueden engañar a cualquiera. La recomendación es siempre revisar el URL para determinar si es la página oficial. Si fue así el caso, pues es muy probable que tengas el malware en tu smartphone.
Una constante es que los enlaces a estos archivos maliciosos a menudo se colocan en sitios web de terceros comprometidos que usan WordPress. Por lo tanto, de haber más softwares en el dispositivo, podrás darte cuenta que la batería del celular se descarga más rápido o la navegación es más lenta cuando abres muy pocas aplicaciones a la vez.
Cuando el usuario hace clic en el botón “Instalar”, se inicia el instalador de una aplicación legítima, pero -en segundo plano- un noscript ejecuta actividades maliciosas y es Gipy el que descarga y lanza malware desde GitHub, empaquetado en archivos ZIP protegidos con contraseña.
Entre los malwares descargados por Gipy también figuran Apocalypse ClipBanker, un criptominero llamado Corona, y varios RATs como DCRat y RADXRat. Además, los expertos de Kaspersky descubrieron otros ladrones de contraseñas como RedLine, RisePro y Loli, así como una puerta trasera llamada TrueClient.
Los países más afectados por Gipy son Rusia, Taiwán, Estados Unidos, España y Alemania.
Contenido GEC