PhoneSpy: campaña de software espía dirigida a usuarios de Corea del Sur

Una campaña de software espía en curso denominada 'PhoneSpy' se dirige a los usuarios de Corea del Sur a través de una variedad de aplicaciones de estilo de vida que se anidan en el dispositivo y filtran silenciosamente los datos.

La campaña implementa un poderoso malware de Android capaz de robar información sensible de los usuarios y apoderarse del micrófono y la cámara del dispositivo.

Los investigadores de  Zimperium  que descubrieron la campaña informaron sus hallazgos a las autoridades de Estados Unidos y Corea del Sur, pero el host que admite el servidor C2 aún no se ha eliminado.

Oculto en aplicaciones "inofensivas"

El software espía 'PhoneSpy' viene disfrazado como una aplicación complementaria de Yoga, la aplicación de mensajería Kakao Talk, un navegador de galería de imágenes, una herramienta de edición de fotos y más.

Zimperium identificó 23 aplicaciones atadas que aparecen como aplicaciones de estilo de vida inofensivas, pero en segundo plano, las aplicaciones se ejecutan todo el tiempo, espiando silenciosamente al usuario.

Para hacer eso, las aplicaciones le piden a la víctima que otorgue numerosos permisos durante la instalación, que es la única etapa en la que los usuarios cautelosos notarían signos de problemas.


El software espía que se esconde dentro de las aplicaciones enmascaradas puede hacer lo siguiente en un dispositivo comprometido:

- Obtenga la lista completa de las aplicaciones instaladas
- Desinstale cualquier aplicación en el dispositivo
- Instale aplicaciones descargando APK desde los enlaces proporcionados por C2
- Robar credenciales mediante URL de phishing enviadas por C2
- Robar imágenes (tanto de la memoria interna como de la tarjeta SD)
- Monitoreo de la ubicación GPS
- Robar mensajes SMS
- Robar contactos telefónicos
- Robar registros de llamadas
- Grabe audio en tiempo real
- Grabe video en tiempo real usando cámaras frontales y traseras
- Acceda a la cámara para tomar fotos con las cámaras frontal y trasera
- Envíe SMS a un número de teléfono controlado por el atacante con texto controlado por el atacante
- Extraer información del dispositivo (IMEI, marca, nombre del dispositivo, versión de Android)
- Oculte su presencia ocultando el icono del cajón / menú del dispositivo

El espectro de datos robados es lo suficientemente amplio como para admitir casi cualquier actividad maliciosa, desde espiar a cónyuges y empleados hasta realizar ciberespionaje corporativo y chantajear a personas.

Además de la funcionalidad del software espía, algunas aplicaciones también intentan activamente robar las credenciales de las personas mostrando páginas de inicio de sesión falsas para varios sitios.

Las plantillas de phishing utilizadas en la campaña PhoneSpy imitan los portales de inicio de sesión de cuentas de Facebook, Instagram, Kakao y Google.


Distribución de aplicaciones atadas

Se desconoce el canal de distribución inicial para las aplicaciones enlazadas, y los actores de amenazas no cargaron las aplicaciones en Google Play Store.

Podría distribuirse a través de sitios web, tiendas de APK de fiestas oscuras, redes sociales, foros o incluso  webhards y torrents .

Un método de distribución potencial puede ser a través de SMS enviados por el dispositivo comprometido a su lista de contactos, ya que el malware es capaz.

El uso de mensajes de texto SMS aumenta las posibilidades de que los destinatarios toquen el enlace que lleva a descargar las aplicaciones enlazadas, ya que proviene de una persona que conocen y en quien confían.


Si cree que puede haber descargado una aplicación peligrosa que contiene software espía, elimínela inmediatamente y luego ejecute un escáner AV para limpiar su dispositivo de cualquier resto.

En los casos en que la privacidad y la seguridad sean imperativas, realice un restablecimiento de fábrica en el dispositivo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta