En los últimos meses, el juego de Telegram Hamster Kombat ha tomado por asalto el mundo de los entusiastas de los juegos con criptomonedas. Aunque el modo de juego, es bastante simple ―pulsar repetidamente la pantalla del dispositivo móvil― los jugadores buscan algo más: la posibilidad de ganar mucho dinero una vez que los creadores de Hamster Kombat revelen la prometida nueva criptomoneda vinculada al juego.

Debido a su éxito, el juego ya ha atraído a innumerables imitaciones que replican su nombre e ícono, con una jugabilidad similar. Por suerte, todos los primeros ejemplos que encontramos no eran maliciosos, pero sí pretendían ganar dinero con los anuncios in-app.

Desafortunadamente, los investigadores de ESET descubrieron que los cibercriminales también han comenzado a sacar provecho de la popularidad de Hamster Kombat. Exponiendo los riesgos de intentar obtener juegos y software relacionado de fuentes no oficiales, encontramos varias amenazas que abusan de la fama de Hamster Kombat en lugares como malware para Android controlado remotamente distribuido a través de un canal de Telegram no oficial de Hamster Kombat, falsas tiendas de aplicaciones que ofrecen anuncios no deseados y repositorios de GitHub que distribuyen Lumma Stealer para dispositivos Windows mientras afirman ofrecer herramientas de automatización para el juego.

Puntos clave del blogpost:
  • El éxito de Hamster Kombat atrajo a actores maliciosos que intentan abusar del interés por el juego para obtener beneficios económicos.
  • Los investigadores de ESET descubrieron un spyware para Android llamado Ratel que se hacía pasar por Hamster Kombat, distribuido a través de un canal no oficial de Telegram.
  • Los usuarios de Android también son el objetivo de falsas tiendas de aplicaciones que afirman ofrecer el juego, pero en su lugar entregan anuncios no deseados.
  • Los usuarios de Windows pueden encontrar repositorios de GitHub que ofrecen bots de granja y clickers automáticos que en realidad contienen criptores Lumma Stealer.

¿Qué es Hamster Kombat?

Hamster Kombat es un juego de clicker in-app de Telegram en el que los jugadores ganan moneda ficticia completando tareas sencillas, con incentivos para iniciar sesión en el juego al menos diariamente. Como en otros juegos de clicker para móviles, el modo de juego básico de Hamster Kombat consiste en tocar la pantalla repetidamente para conseguir más puntos en el juego. La figura 1 ilustra la interfaz del juego.

Figure 1. In-game screenshot of Hamster Kombat
Figura 1. Captura de pantalla del juego Hamster Kombat

Lanzado en marzo de 2024, Hamster Kombat parece ganar popularidad con bastante rapidez. En junio de 2024, los desarrolladores afirmaron que su juego ya había conseguido alcanzar los 150 millones de usuarios activos. Teniendo en cuenta que esto situaría a Hamster Kombat -un juego dirigido únicamente al subgrupo de jugadores móviles entusiastas de las criptomonedas y disponible sólo a través de Telegram- entre los 20 juegos móviles más jugados de todos los tiempos, la afirmación debe tomarse con cautela. Sin embargo, el juego es indudablemente popular: la cuenta oficial de Hamster Kombat en X tiene más de 10 millones de seguidores, y el canal de anuncios de Hamster Kombat cuenta con más de 50 millones de suscriptores en el momento de la publicación de este blogpost.

Como era de esperar, la principal razón del creciente interés por el Hamster Kombat es el deseo de los jugadores de ganar dinero con el juego: La hoja de ruta de desarrollo del Hamster Kombat incluye planes para lanzar una nueva criptomoneda vinculada al juego. Posteriormente, el token se distribuirá entre los jugadores en función del cumplimiento de determinados criterios, una técnica también conocida como airdrop.

El equipo detrás de Hamster Kombat parece estar tratando de replicar el éxito de otro juego basado en Telegram llamado Notcoin, que en mayo de 2024 introdujo el token NOT en la plataforma de blockchain The Open Network (TON) y lo lanzó a los jugadores en función de sus puntuaciones en el juego. El lanzamiento del token NOT tuvo mucho éxito, y algunos afirman que fue el mayor lanzamiento de tokens de criptojuegos de 2024 hasta la fecha.

Se supone que la entrega de tokens de Hamster Kombat también utilizará la red TON. Sin embargo, a diferencia de Notcoin, el número de tokens recibidos no dependerá de la puntuación total, sino de otros factores, como el beneficio por hora.

Análisis de la amenaza

Como era de esperar, el éxito de Hamster Kombat también ha atraído a los ciberdelincuentes, que ya han empezado a desplegar malware dirigido a los jugadores del juego. ESET Research ha descubierto amenazas dirigidas tanto a usuarios de Android como de Windows. Los usuarios de Android son objetivo de spyware y falsas tiendas de aplicaciones llenas de anuncios no deseados, mientras que los usuarios de Windows pueden encontrarse con repositorios de GitHub con criptores Lumma Stealer.

Como todo proyecto que promete ganancias a cambio de poco esfuerzo, el juego en sí también está en el radar de expertos en ciberseguridad y funcionarios del gobierno, que advierten sobre los potenciales riesgos financieros que implica jugar. Hasta el momento, ESET no ha visto ninguna actividad maliciosa desde la app original.

Amenazas para Android

Hemos identificado y analizado dos tipos de amenazas dirigidas a usuarios de Android: una aplicación maliciosa que contiene el spyware para Android Ratel y sitios web falsos que se hacen pasar por interfaces de tiendas de aplicaciones y afirman tener Hamster Kombat disponible para su descarga.

El spyware Ratel

Los investigadores de ESET encontraron un canal de Telegram (https://t[.]me/hamster_easy) que distribuía un spyware para Android, llamado Ratel, disfrazado de Hamster Kombat; véase la Figura 2.

Figure 2. HAMSTER EASY Telegram channel sharing the malicious app
Figura 2. Canal de Telegram de HAMSTER EASY compartiendo la app maliciosa; el mensaje con la descarga de la app resaltado con un rectángulo azul

Este malware es capaz de robar notificaciones y enviar mensajes SMS. Los operadores del malware utilizan esta funcionalidad para pagar suscripciones y servicios con los fondos de la víctima sin que ésta se dé cuenta.

Aunque la aplicación maliciosa utiliza el nombre de Hamster Kombat para atraer a posibles víctimas, no contiene ninguna funcionalidad del juego e incluso carece de interfaz de usuario. Como se muestra en la Figura 3, al iniciarse, la aplicación solicita permiso de acceso a notificaciones y pide que se la establezca como aplicación de SMS predeterminada. Una vez concedidos estos permisos, el malware obtiene acceso a todos los mensajes SMS y es capaz de interceptar todas las notificaciones mostradas.

Figure 3. Malicious Hamster Kombat access requests
Figura 3. Solicitudes de acceso maliciosas de Hamster Kombat

A continuación, Ratel inicia la comunicación con su servidor de C&C(http://77.91.124[.]14:260) y, como respuesta, recibe un número de teléfono: véase la Figura 4. ¡A continuación, envía un mensaje SMS con el texto Привет ! Набери мне: logID (traducción: ¡Hola! Llámame) a ese número de teléfono, que muy probablemente pertenece a los operadores del malware.

Figure 4. Network communication
Figura 4. Comunicación en red

A continuación, los actores de la amenaza son capaces de controlar el dispositivo comprometido a través de SMS: el mensaje del operador puede contener un texto que debe enviarse a un número especificado, o incluso ordenar al dispositivo que llame a ese número. El malware también es capaz de comprobar el saldo actual de la cuenta bancaria de la víctima en el Sberbank Russia enviando un mensaje con el texto баланс (traducción: saldo) al número 900. Lo más probable es que esto se haga con el fin de decidir si los operadores deben perseguir otros escenarios de ataque para acceder a los fondos de la víctima.

Ratel también abusa de los permisos de acceso a notificaciones para ocultar notificaciones de más de 200 apps basándose en una lista codificada (véase el Apéndice para la lista completa). La lista incluye aplicaciones como Telegram, WhatsApp y varias aplicaciones de mensajería SMS. Si el dispositivo afectado recibe una notificación de una aplicación de la lista, la víctima no podrá verla. Ocultarse es la única acción que el malware realiza con estas notificaciones; no se reenvían al servidor de C&C. Lo más probable es que el objetivo de interceptar las notificaciones sea impedir que la víctima descubra los mensajes de confirmación enviados por los servicios de suscripción.

Como se muestra en la Figura 5, en caso de que haya una notificación de una app no incluida en la lista, Ratel permite al usuario verla, al tiempo que la reenvía al servidor de C&C. Creemos que esto podría hacerse para que los operadores puedan comprobar si es necesario añadir una nueva app a la lista.

Figure 5. Notification exfiltrated to C&C server
Figura 5. Notificación filtrada al servidor de C&C

Sitios web falsos

Además de la aplicación con el programa espía Ratel, también descubrimos falsos escaparates de aplicaciones que decían ofrecer Hamster Kombat para su descarga. Sin embargo, al pulsar los botones Instalar o Abrir sólo se conduce al usuario a anuncios no deseados. En la Figura 6 se muestran ejemplos de sitios web falsos.

Figure 6. Fake websites impersonating an app store interface
Figura 6. Sitios web falsos que suplantan la interfaz de una tienda de aplicaciones.

Amenazas para Windows

Aunque Hamster Kombat es un juego para móviles, también encontramos malware que abusaba del nombre del juego para propagarse en Windows. Los ciberdelincuentes intentan atraer a los usuarios de Windows con herramientas auxiliares que pretenden facilitar a los jugadores la maximización de los beneficios en el juego. Nuestra investigación reveló repositorios de GitHub (véase la Figura 7) que ofrecían bots de granja de Hamster Kombat y autoclickers, que son herramientas que automatizan los clics en un juego. Estos repositorios resultaron ocultar criptores del infame malware Lumma Stealer.

Figure 7. Example GitHub repository spreading Lumma Stealer via an “offer” for a farm bot
Figura 7. Ejemplo de repositorio de GitHub que difunde Lumma Stealer a través de una "oferta" para un bot de granja (sin código fuente)

LummaStealer es un infostealer ofrecido como malware-as-a-service, disponible para su compra en la dark web y en Telegram. Observado por primera vez en 2022, este malware se distribuye habitualmente a través de software pirata y spam, y tiene como objetivo monederos de criptomonedas, credenciales de usuario, extensiones de navegador de autenticación de dos factores y otra información sensible. Tenga en cuenta que las capacidades de Lumma Stealer no están cubiertas por la matriz ATT&CK de MITRE en este blogpost, ya que la atención se centra en los criptors que entregan este infostealer, no en el infostealer en sí.

Los repositorios de GitHub que encontramos o bien tenían el malware disponible directamente en los archivos de lanzamiento, o bien contenían enlaces para descargarlo desde servicios externos de intercambio de archivos. Identificamos tres versiones diferentes de los cryptors Lumma Stealer acechando en los repositorios: Aplicaciones C++, aplicaciones Go y aplicaciones Python. De las tres, sólo las aplicaciones Python tienen una interfaz gráfica de usuario (GUI).

Aplicaciones C

En el caso de las aplicaciones C++, Lumma Stealer se cifra mediante el cifrado RC4 y se incrusta en el ejecutable que descarga la víctima. Una vez ejecutado, la aplicación inyecta Lumma Stealer en el proceso recién creado C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe.

Aplicaciones Go

Para las aplicaciones Go, Lumma Stealer también está incrustado en el ejecutable, pero esta vez, está encriptado usando AES-GCM. El cryptor utiliza código copiado y ofuscado de go_libpeconv, una librería Go para cargar archivos PE, para realizar el vaciado del proceso en el primer archivo encontrado con la extensión .exe bajo el directorio C:\Windows.

Aplicaciones Python

Las aplicaciones Python se incluían con PyInstaller o se compilaban con Nuitka. Cuando la víctima ejecuta el archivo descargado del repositorio de GitHub, aparece una falsa ventana de instalación con un botón I agree (Acepto ), como puede verse en la Figura 8. Al hacer clic en el botón, el programa se conecta a la red. Al hacer clic en el botón, el programa se conecta a un servidor FTP y descarga un archivo ZIP protegido por contraseña (contraseña: crypto123) que contiene el cryptor con Lumma Stealer incrustado. Encontramos cryptors C++ y Go en el servidor FTP, lo que nos lleva a la conclusión de que estas aplicaciones son probablemente diferentes versiones de la misma familia de malware.

Figure 8. Fake installer window
Figura 8. Ventana del falso instalador

Una vez cerrada la ventana, el cryptor envía al servidor C&C las marcas de tiempo de cuando la víctima hizo clic en el botón Acepto y cuando se ejecutó el malware. Estos datos se envían una sola vez y no hay más comunicación de C&C con el cryptor. Como se muestra en la Figura 9, encontramos un comentario report to telegramm[sic] en el código fuente Python del malware, lo que significa que probablemente los datos se envían desde el C&C a la cuenta o canal de Telegram de los operadores en algún momento.

Figure 9. Python code
Figura 9. Código Python que almacena la hora a la que se ejecutó el malware (en un diccionario como cadena), aparentemente para ser reportado vía Telegram, según el comentario (traducción automática: Bot opened)

Conclusión

La popularidad de Hamster Kombat lo hace propicio para el abuso, lo que significa que es muy probable que el juego atraiga a más actores maliciosos en el futuro. Aunque muchas aplicaciones imitadoras de Hamster Kombat parecen estar libres de malware, hemos descubierto un troyano controlado remotamente que se distribuye a través de Telegram disfrazado del juego. El malware es capaz de enviar mensajes SMS, realizar llamadas y ocultar sus acciones ocultando notificaciones que podrían sugerir que el dispositivo está comprometido. Aparte del troyano de Android, también encontramos tiendas de aplicaciones falsas que decían ofrecer Hamster Kombat para descargar; los enlaces, sin embargo, a menudo conducen a anuncios no deseados. Por último, en la plataforma Windows, descubrimos repositorios de GitHub que atraen a los jugadores con la promesa de bots de granja y autoclickers de Hamster Kombat pero que, en realidad, sirven a las víctimas con criptores que contienen Lumma Stealer.

Gracias a Anton Cherepanov por sus contribuciones.

Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, por favor contáctenos en threatintel@eset.com
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Puede encontrar una lista completa de Indicadores de Compromiso (IoCs) y muestras en nuestro repositorio GitHub.

Archivos

SHA-1

Filename

Detection

Description

ACD260356E3337F775E1
AA6259B55E2D3BB11F80

Hamster.apk

Android/Spy.Ratel.A

Android malware impersonating Hamster Kombat.

C51266A3F60984897645
79C4A62B8509249F00E5

Setup.exe

Win32/Kryptik.HWZI

Windows malware targeting Hamster Kombat players.

7BE8D85301C9CCE39455
61878C924908A8E1F714

Hamster-Kombat.exe

Win32/Kryptik.HXDB

Windows malware targeting Hamster Kombat players.

91351285CB1448D22C88
3BC9DC1273CA46E3C90A

update.exe

WinGo/TrojanDropper.
Agent.CW

Windows malware targeting Hamster Kombat players.

46A83FBCF1AA068C8F6C
46AE239ABE968094E0ED

Setup_v1.1.2.exe

WinGo/TrojanDropper.
Agent.CW

Windows malware targeting Hamster Kombat players.

2B17E3A93A59E4F9350F
EF831456C9F02ACF9A75

update.exe

Win32/Kryptik.HXIB

Windows malware targeting Hamster Kombat players.

9DEB6D5E9209A9EC2B8D
12972225B6A2166387EA

update.exe

Win32/Kryptik.HXIB

Windows malware targeting Hamster Kombat players.

16B815C14941ECFE164B
DF074F47817DCB90CCBF

update.exe

Win32/Kryptik.HXIB

Windows malware targeting Hamster Kombat players.

2E257D5ABB0E76AB57A0
D6AE470340F71738480F

Open.exe

WinGo/Agent.VY

Windows malware targeting Hamster Kombat players.

78F1B8C6087348EC83B7
F85EEFDEEC5DB506D851

update.exe

Win32/Kryptik.HXIB

Windows malware targeting Hamster Kombat players.

6F14278BC5DEA7803C9D
3780BCA2BDB63A854F16

AUTOCLICKER.exe

Win32/GenKryptik.GXGC

Windows malware targeting Hamster Kombat players.

812799738C18ACB88D5C
9987CBFBB678C35142D8

HAMSTER KOMBAT BALANCE HACK.exe

Win32/Kryptik.HXDV

Windows malware targeting Hamster Kombat players.

B11B1CD89EA5F0D562D1
8278278EE247B18190E9

Hamster-Kombat-NEW.exe

Win32/Kryptik.HXCA

Windows malware targeting Hamster Kombat players.

FE51C824245FFE8CB509
B73C25CDF02871A38F1A

update.exe

Win32/Kryptik.HXIB

Windows malware targeting Hamster Kombat players.

592215355FB25521FD76
64B9EC017B1CA2FEA73B

update.exe

Win32/Kryptik.HXDB

Windows malware targeting Hamster Kombat players.

92B028A302FAA31BDB78
8DA3C511983AD5B08084

update.exe

Win32/Kryptik.HXDB

Windows malware targeting Hamster Kombat players.

12B0BD4B2F1EB173B782
B98C89BA6880C6F88056

Run.exe

Python/TrojanDownloader.
Agent.AFC

Windows malware targeting Hamster Kombat players.

3021E974D78544E62F43
E5E0059EBC879594E55C

Install.exe

Python/TrojanDownloader.
Agent.AFB

Windows malware targeting Hamster Kombat players.

F79C575D0D887427B7B3
8ECBFB42046270FB89E8

Run.exe

Python/TrojanDownloader.
Agent.AFC

Windows malware targeting Hamster Kombat players.

Red

IP

Domain

Hosting provider

First seen

Details

77.91.124[.]14

N/A

Daniil Yevchenko

2024‑05‑11

Android/Spy.Ratel.A C&C server.

76.76.21[.]164

www.hamsterkombat‑ua
[.]pro

Amazon.com, Inc.

2024‑06‑08

Fake website.

172.67.159[.]114

hamsterkombat‑win
[.]pro

Cloudflare, Inc.

2024‑06‑13

Fake website.

N/A

www.hamster‑ua[.]pro

N/A

2024‑06‑10

Fake website.

N/A

www.ua‑hamster‑kombat
[.]pro

N/A

2024‑06‑04

Fake website.

N/A

www.hamster‑kombat‑ua
[.]pro

N/A

2024‑06‑04

Fake website.

N/A

www.hamstercasino‑ua‑on
[.]pro

N/A

2024‑06‑16

Fake website.

104.21.86[.]106

incredibleextedwj
[.]shop

Cloudflare, Inc.

2024‑04‑13

Lumma Stealer C&C server.

104.21.11[.]250

productivelookewr
[.]shop

Cloudflare, Inc.

2024‑04‑14

Lumma Stealer C&C server.

104.21.89[.]202

tolerateilusidjukl
[.]shop

Cloudflare, Inc.

2024‑04‑13

Lumma Stealer C&C server.

104.21.95[.]19

shatterbreathepsw
[.]shop

Cloudflare, Inc.

2024‑04‑13

Lumma Stealer C&C server.

104.21.76[.]102

detailbaconroollyws
[.]shop

Cloudflare, Inc.

2024‑05‑26

Lumma Stealer C&C server.

104.21.74[.]118

horsedwollfedrwos
[.]shop

Cloudflare, Inc.

2024‑05‑26

Lumma Stealer C&C server.

104.21.55[.]248

patternapplauderw
[.]shop

Cloudflare, Inc.

2024‑05‑26

Lumma Stealer C&C server.

104.21.22[.]94

understanndtytonyguw
[.]shop

Cloudflare, Inc.

2024‑05‑26

Lumma Stealer C&C server.

104.21.63[.]189

liabiliytshareodlkv
[.]shop

Cloudflare, Inc.

2024‑06‑07

Lumma Stealer C&C server.

104.21.74[.]169

notoriousdcellkw
[.]shop

Cloudflare, Inc.

2024‑06‑07

Lumma Stealer C&C server.

104.21.59[.]152

conferencefreckewl
[.]shop

Cloudflare, Inc.

2024‑06‑07

Lumma Stealer C&C server.

104.21.76[.]157

flourhishdiscovrw
[.]shop

Cloudflare, Inc.

2024‑06‑07

Lumma Stealer C&C server.

104.21.71[.]242

meltedpleasandtws
[.]shop

Cloudflare, Inc.

2024‑05‑30

Lumma Stealer C&C server.

104.21.53[.]89

varianntyfeecterd
[.]shop

Cloudflare, Inc.

2024‑05‑25

Lumma Stealer C&C server.

104.21.16[.]251

snaillymarriaggew
[.]shop

Cloudflare, Inc.

2024‑06‑12

Lumma Stealer C&C server.

104.21.62[.]244

thidrsorebahsufll
[.]shop

Cloudflare, Inc.

2024‑05‑29

Lumma Stealer C&C server.

104.21.75[.]100

distincttangyflippan
[.]shop

Cloudflare, Inc.

2024‑05‑30

Lumma Stealer C&C server.

104.21.30[.]167

greentastellesqwm
[.]shop

Cloudflare, Inc.

2024‑05‑29

Lumma Stealer C&C server.

104.21.28[.]32

considerrycurrentyws
[.]shop

Cloudflare, Inc.

2024‑05‑26

Lumma Stealer C&C server.

104.21.92[.]10

corruptioncrackywosp
[.]shop

Cloudflare, Inc.

2024‑05‑17

Lumma Stealer C&C server.

104.21.52[.]185

negotitatiojdsuktoos
[.]shop

Cloudflare, Inc.

2024‑05‑18

Lumma Stealer C&C server.

104.21.32[.]80

museumtespaceorsp
[.]shop

Cloudflare, Inc.

2024‑05‑18

Lumma Stealer C&C server.

104.21.76[.]185

stickyyummyskiwffe
[.]shop

Cloudflare, Inc.

2024‑05‑29

Lumma Stealer C&C server.

104.21.26[.]6

vivaciousdqugilew
[.]shop

Cloudflare, Inc.

2024‑05‑29

Lumma Stealer C&C server.

146.19.207[.]14

N/A

Cloud Hosting Solutions, Limited.

N/A

Windows malware targeting Hamster Kombat players C&C server.

Certificados de firma de código

Serial number

0997C56CAA59055394D9A9CDB8BEEB56

Thumbprint

15F760D82C79D22446CC7D4806540BF632B1E104

Subject CN

NVIDIA Corporation

Subject O

NVIDIA Corporation

Subject L

Santa Clara

Subject S

N/A

Subject C

US

Valid from

2023-01-13 00:00:00

Valid to

2026-01-16 23:59:59

Técnicas ATT&CK de MITRE

Esta tabla se construyó utilizando la versión 15 de las técnicas móviles ATT&CK de MITRE.

Tactic

ID

Name

Description

Initial Access

T1660

Phishing

Android spyware Ratel has been distributed using an unofficial Telegram channel.

Persistence

T1624.001

Event Triggered Execution: Broadcast Receivers

Android spyware Ratel registers to receive the SMS_RECEIVED, SMS_DELIVER, PACKAGE_REMOVED, PACKAGE_REPLACED, PACKAGE_ADDED, and PACKAGE_CHANGE broadcast intents to activate itself.

Collection

T1517

Access Notifications

Android spyware Ratel can collect messages from various apps.

Command and Control

T1644

Out of Band Data

Android spyware Ratel can use SMS to receive commands to execute.

Exfiltration

T1646

Exfiltration Over C2 Channel

Android spyware Ratel exfiltrates data using HTTP.

Impact

T1616

Call Control

Android spyware Ratel can make phone calls.

T1582

SMS Control

Android spyware Ratel can send and receive SMS messages.

Esta tabla se ha creado utilizando la versión 15 de las técnicas móviles ATT&CK de MITRE.

Tactic

ID

Name

Description

Defense Evasion

T1027.009

Obfuscated Files or Information: Embedded Payloads

Lumma Stealer uses C++ and Go binaries to embed its payload.

T1055.012

Process Injection: Process Hollowing

Lumma Stealer uses process hollowing.

Command and Control

T1071.001

Application Layer Protocol: Web Protocols

Lumma Stealer communicates with the C&C server via HTTP

T1071.002

Application Layer Protocol: File Transfer Protocols

Lumma Stealer downloader uses FTP to download the payload.

Exfiltration

T1041

Exfiltration Over C2 Channel

Lumma Stealer exfiltrates the victim’s data to the C&C server.

Apéndice

A continuación se muestra la lista de aplicaciones de las que el malware Ratel oculta notificaciones:

com.android.incallui

com.texter.voxuedigital

com.zeopoxa.fitness.cycling.bike

com.coloros.gallery3d

com.whatsapp

applock.lockapps.fingerprint.password.lockit

com.playrix.township

ru.yandex.taximeter

notification

com.google.android.apps.wellbeing

com.rstgames.durak

com.duolingo

com.blinkmap

limehd.ru.ctv

com.google.android.packageinstaller

com.dreamy.screen.plot

cn.baos.watch.w100

com.sec.android.gallery3d

pedometer.stepcounter.calorieburner.
pedometerforwalking

com.facebook.lite

com.transsnet.store

ru.auto.ara

weata.taxi

com.samsung.android.game.gamehome

com.mazegame.notpopsong.popmaze

ru.mail.cloud

com.sec.android.app.shealth

in.sweatco.app

ru.yandex.yandexnavi

com.yandex.searchapp.beta

ru.mail.mailapp

com.facebook.katana

com.samsung.android.scloud

uz.kundalik.mobile

com.relaxplayer.android

com.sh.smart.caller

ru.aalab.androidapp.uamp.
app58cbb075e7ee62000602fe37

com.mediatek.simprocessor

com.allstarunion.myths

com.google.android.setupwizard

com.mediatek.callrecorder

com.android.updater

nevada.dos.governor

com.uznewmax.theflash

com.app.champion.pro

dev.ragnarok.fenrir_public

com.desktop.genius.spote

com.snaptube.premium

com.android.providers.downloads

com.sec.android.app.sbrowser

com.mytube.floatviewer2

com.google.android.dialer

com.samsung.android.game.gametools

com.google.android.googlequicksearchbox

com.google.android.apps.messaging

com.google.android.youtube

com.xiaomi.hm.health

com.accurate.weather.forecast.live

yo.app.free

ma.safe.bn

com.huawei.mediacontroller

org.telegram.plus

com.devexpert.weather

ru.bristol.bristol_app

com.sec.android.app.samsungapps

org.telegram.messenger

com.gamegou.football

com.dating.mylove

re.sova.five

com.namaztime

com.allgoritm.youla

com.vtosters.lite

com.mixerbox.tomodoko

com.google.android.apps.maps

com.taxsee.taxsee

drug.vokrug

com.coloros.alarmclock

com.launcher.brgame

com.mxtech.videoplayer.ad

com.yandex.browser

com.tencent.ig

com.huawei.contacts

ru.yandex.uber

com.grif.vmp

us.ultrasurf.mobile.ultrasurf

com.waplog.social

com.huawei.health

com.miui.gallery

org.findmykids.child

ru.rt.smarthome

sg.bigo.live

com.onlyspark

com.boombitgames.DrivingSchoolParking

app.nicegram

cn.xiaofengkj.fitpro

ru.euphoria.moozza.new

com.cuttosave.tobehero.ropepuzzle

com.sec.android.daemonapp

com.google.android.apps.photos

com.kiloo.subwaysurf

free.zaycev.net

com.hmdglobal.app.camera

com.samsung.android.dynamiclock

ru.vk.store

com.dywx.larkplayer

com.pinterest

com.vk.love

com.osp.app.signin

com.samsung.android.app.smartcapture

net.hubalek.android.reborn.beta

ru.farpost.dromfilter

ru.dublgis.dgismobile

ru.stoloto.mobile

com.nemo.vidmate

com.babilonm.app

com.samsung.android.lool

com.android.dialer

com.internet.speed.meter.lite

com.twitter.android

free.tube.premium.advanced.tuber

com.avito.android

com.android.providers.contacts

ru.fotostrana.sweetmeet

ru.cardsmobile.mw3

com.soundcloud.android

com.android.ztescreenshot

com.heytap.browser

ir.ilmili.telegraph

com.android.messaging

com.gbox.com.instagram.android

ru.gdemoideti.child

com.truecaller

cc.coolline.client.pro

com.samsung.android.oneconnect

com.chess

com.ihappydate

com.huawei.systemmanager

com.instagram.android

com.dts.freefireth

com.android.settings

com.viber.voip

com.livescore

ru.ok.android

com.snapchat.android

com.huami.watch.hmwatchmanager

com.word.grid.challenge

com.whatsapp.w4b

com.iMe.android

com.evermatch

com.android.vending

com.discord

com.eapoker.durak.international

com.vkontakte.android

com.google.android.gm

com.gbox.com.google.android.youtube

com.xiaomi.discover

ru.cian.main

pedometer.steptracker.
calorieburner.stepcounter

steptracker.healthandfitness.
walkingtracker.pedometer

com.beermoneygames.demolition3

org.thunderdog.challegram

com.google.android.apps.nbu.files

com.android.systemui

com.transsion.batterylab

org.telegram.mdgram

com.vk.im

com.android.chrome

org.telegram.messenger.web

com.instagram.lite

tv.twitch.android.app

android

com.axlebolt.standoff2

ru.yandex.searchplugin

friends.denied.bend

com.shaiban.audioplayer.mplayer

ru.yandex.yandexmaps

com.toto.pwapp

marshall.threesome.vibrator

video.like

ru.yandex.weatherplugin

belarus.topless.income

com.ss.android.ugc.trill

mood.cove.humidity

ru.tander.magnit

com.tblenovo.lewea

com.rockbite.zombieoutpost

com.isharing.isharing

com.google.android.apps.magazines

com.heytap.market

org.vidogram.lite

videoeditor.videorecorder.screenrecorder

com.samsung.android.incallui

com.yingsheng.hayloufun

com.nektome.chatruletka.voice

com.oplus.games

ru.tsk.ftc.bender.qpay

com.miui.securitycenter

com.coloros.gamespaceui

tech.jm

com.yandex.searchapp

app.source.getcontact

com.sec.android.app.camera

com.facebook.orca

com.devuni.flashlight

provide.dairy.measurements

com.android.contacts

com.xiaomi.mi_connect_service

com.taxsee.driver

com.coinmarketcap.android

com.vkmp3mod.android

mans.auto.phone.cooling.master

ru.dnevnik.app

com.google.android.gms

com.miui.player

com.lenovo.anyshare.gps

com.samsung.android.app.tips

org.aka.messenger

com.sec.android.app.myfiles