Los investigadores de seguridad de Zimperium, conocidos por haber encontrado miles de aplicaciones maliciosas en Play Store, han identificado un nuevo malware Android potencialmente muy peligroso que se hace pasar por una actualización crítica del sistema que tenía que instalarse fuera de Google Play. Una vez instalada por el usuario, la aplicación oculta y extrae sigilosamente los datos del dispositivo de la víctima a los servidores del operador.
Investigadores de la firma de seguridad móvil Zimperium, que descubrieron la aplicación maliciosa, dijeron que una vez que la víctima instala la aplicación maliciosa, el malware se comunica con el servidor Firebase del operador, que se utiliza para controlar de forma remota el dispositivo. El software espía puede robar mensajes, contactos, detalles del dispositivo, marcadores del navegador e historial de búsqueda, grabar llamadas y sonido ambiental del micrófono y tomar fotos con las cámaras del teléfono. El malware también rastrea la ubicación de la víctima, busca archivos de documentos y toma datos copiados del portapapeles del dispositivo.
El nuevo malware se esconde de la víctima e intenta evadir la captura reduciendo la cantidad de datos de red que consume cargando miniaturas en los servidores del atacante en lugar de la imagen completa. El malware también captura los datos más actualizados, incluida la ubicación y las fotos.
El CEO de Zimperium, Shridhar Mittal, dijo que el malware probablemente era parte de un ataque dirigido
“Es fácilmente el más sofisticado que hemos visto”, dijo Mittal. “Creo que se dedicó mucho tiempo y esfuerzo a la creación de esta aplicación. Creemos que existen otras aplicaciones como esta y estamos haciendo todo lo posible para encontrarlas lo antes posible».
Engañar a alguien para que instale una aplicación maliciosa es una forma sencilla pero eficaz de poner en peligro el dispositivo de la víctima. Es por eso que los dispositivos Android advierten a los usuarios que no instalen aplicaciones desde fuera de la tienda de aplicaciones. Pero muchos dispositivos más antiguos no ejecutan las aplicaciones más recientes, lo que obliga a los usuarios a confiar en versiones anteriores de sus aplicaciones de las tiendas de aplicaciones piratas.
Mittal confirmó que la aplicación maliciosa nunca se instaló en Google Play. Cuando se le comunicó, un portavoz de Google no quiso comentar sobre los pasos que estaba tomando la compañía para evitar que el malware ingresara a la tienda de aplicaciones de Android. Google ha visto aplicaciones maliciosas pasar por sus filtros antes.
Este tipo de malware tiene acceso de largo alcance al dispositivo de la víctima y viene en una variedad de formas y nombres, pero en gran parte hace lo mismo. En los primeros días de Internet, los troyanos de acceso remoto, o RAT, permitían a los fisgones espiar a las víctimas a través de sus cámaras web. Hoy en día, las aplicaciones de monitoreo de niños a menudo se reutilizan para espiar al cónyuge de una persona, lo que se conoce como stalkerware o spouseware.
Pero los investigadores no saben quién creó el malware ni a quién se dirige
“Estamos empezando a ver un número creciente de RAT en dispositivos móviles. Y el nivel de sofisticación parece estar aumentando, parece que los malos actores se han dado cuenta de que los dispositivos móviles tienen la misma cantidad de información y están mucho menos protegidos que los terminales tradicionales”, dijo Mittal.
Origen: A new Android spyware masquerades as a ‘system update’ | TechCrunch