Cisco Talos identificó una campaña activa desde al menos enero de 2026 protagonizada por el troyano de acceso remoto CloudZ, que aprovecha el momento de la sincronización entre teléfonos y ordenadores para intentar robar credenciales y mensajes. El hallazgo muestra que el malware actúa justo cuando un móvil se conecta al PC, lo que facilita la extracción inmediata de datos sensibles durante la transferencia.
El vector observado es Phone Link, la aplicación preinstalada en Windows 10 y Windows 11 (antes Your Phone) que conecta móviles por Bluetooth o Wi‑Fi para llamadas, SMS y notificaciones. Los investigadores explican que CloudZ está compilado como ejecutable.NET, emplea ofuscación y detección de depuradores, carga instrucciones en memoria, contacta servidores de comando y control y ejecuta scripts PowerShell para preparar la extracción y el envío de datos.
El módulo específico denominado Pheno opera vigilando continuamente los procesos de Phone Link; si detecta una conexión intenta hacerse con el archivo SQLite de la aplicación. Cuando logra acceder a esa base de datos, CloudZ puede capturar credenciales, mensajes SMS y otros datos que se transfieren desde el móvil al equipo. Los investigadores no han identificado un método claro de entrada inicial para el troyano.
La técnica tiene implicaciones directas para usuarios que utilizan funciones de enlace entre dispositivos, porque la presencia de Phone Link preinstalada amplía la superficie de ataque y reduce la ventana de detección. Cisco Talos recomienda aplicar las prácticas de seguridad publicadas por los expertos para mitigar la amenaza y revisar las configuraciones de sincronización entre dispositivos.
Fuentes
Respuestas (0)
Aún no hay respuestas en este tema.
