App espía para Android que se hace pasar por aplicaciones de Telegram y Threema

Recientemente se descubrió que un grupo de piratas informáticos conocido por sus ataques en el Medio Oriente, al menos desde 2017, se hacía pasar por aplicaciones de mensajería legítimas como Telegram y Threema para infectar dispositivos Android con un nuevo malware previamente indocumentado.

Citar"En comparación con las versiones documentadas en 2017, Android / SpyC23.A tiene una funcionalidad de espionaje extendida, incluida la lectura de notificaciones de aplicaciones de mensajería, grabación de llamadas y grabación de pantalla, y nuevas funciones de sigilo, como descartar notificaciones de aplicaciones de seguridad de Android integradas" dijo la firma de ciberseguridad ESET   en un análisis del miércoles.

Detallado por primera vez por Qihoo 360 en 2017 bajo el nombre de  Two-tailed Scorpion (también conocido como APT-C-23 o Desert Scorpion), el malware móvil se ha considerado "software de vigilancia" por su capacidad para espiar los dispositivos de las personas objetivo, exfiltrando registros de llamadas. , contactos, ubicación, mensajes, fotos y otros documentos confidenciales en el proceso.

En 2018, Symantec descubrió una  variante más reciente  de la campaña que empleaba un reproductor multimedia malicioso como señuelo para obtener información del dispositivo y engañar a las víctimas para que instalen malware adicional.

Luego, a  principios de este año , Check Point Research detalló nuevos signos de actividad APT-C-23 cuando los operadores de Hamas se hicieron pasar por jóvenes adolescentes en Facebook, Instagram y Telegram para atraer a los soldados israelíes a instalar aplicaciones infectadas con malware en sus teléfonos.


La última versión del software espía detallado por ESET amplía estas características, incluida la capacidad de recopilar información de las redes sociales y las aplicaciones de mensajería a través de la grabación de pantalla y capturas de pantalla, e incluso capturar llamadas entrantes y salientes en WhatsApp y leer el texto de las notificaciones de las redes sociales. aplicaciones, incluidas WhatsApp, Viber, Facebook, Skype y Messenger.

La infección comienza cuando una víctima visita una tienda de aplicaciones de Android falsa llamada "DigitalApps" y descarga aplicaciones como Telegram, Threema y weMessage, lo que sugiere que la motivación del grupo para hacerse pasar por aplicaciones de mensajería es "justificar los diversos permisos solicitados por el malware". "

Además de solicitar permisos invasivos para leer notificaciones, desactivar Google Play Protect y grabar la pantalla de un usuario bajo la apariencia de funciones de seguridad y privacidad, el malware se comunica con su servidor de comando y control (C2) para registrar a la víctima recién infectada. y transmitir la información del dispositivo.

Los servidores C2, que generalmente se hacen pasar por sitios web en mantenimiento, también son responsables de transmitir los comandos al teléfono comprometido, que se puede usar para grabar audio, reiniciar Wi-Fi, desinstalar cualquier aplicación instalada en el dispositivo, entre otros.

Además, también viene equipado con una nueva función que le permite hacer una llamada sigilosamente mientras crea una superposición de pantalla negra para enmascarar la actividad de la llamada.

Citar"Nuestra investigación muestra que el grupo APT-C-23 aún está activo, mejorando su conjunto de herramientas móviles y ejecutando nuevas operaciones. Android / SpyC32.A, la versión de software espía más reciente del grupo, presenta varias mejoras que lo hacen más peligroso para las víctimas", dijo ESET. .

Las aplicaciones descargadas de tiendas de aplicaciones de terceros fraudulentas han sido un conducto para el malware de Android en los últimos años. Siempre es esencial atenerse a las fuentes oficiales para limitar el riesgo y analizar los permisos solicitados por las aplicaciones antes de instalarlas en el dispositivo.

Vía: The Hacker News