Monokle, el malware Android capaz de realizar acciones dirigidas de ciberespionaje, se esconde dentro de versiones falsificadas de aplicaciones legítimas que pueden descargarse de Google Play y le permite robar datos e información confidencial, seguir a las víctimas y grabar todo lo que hacen en su smartphone.
Monokle, el malware Android capaz de realizar acciones dirigidas de ciberespionaje, se esconde dentro de versiones falsificadas de aplicaciones legítimas que se pueden descargar de Google Play y le permite robar datos e información confidencial, seguir a las víctimas y grabar todo lo que hacen en su smartphone.
Según los analistas de seguridad de Lookout, que han aislado algunas muestras del malware, Monokle dispone de una amplia gama de capacidades de ciberespionaje y utiliza técnicas avanzadas de robo de datos que no requieren un acceso privilegiado de la raíz al dispositivo objetivo.
Los atacantes están distribuyendo Monokle a través de versiones falsas de aplicaciones populares como Evernote, Google Play, Skype y otras populares entre los usuarios de Android. Los piratas informáticos también utilizan la táctica de dejar algunas características legítimas en aplicaciones maliciosas para evitar que las víctimas de ataques selectivos sospechen de una posible amenaza.
Una vez instalado en el smartphone de destino, Monokle permite a sus creadores:
-Rastrear a la víctima usando el módulo GPS.
-Interceptar el audio ambiental.
-Grabar sus llamadas telefónicas.
-Hacer llamadas y enviar mensajes de texto en nombre de las víctimas.
-Tomar fotos, videos y capturas de pantalla.
-Analizar el tráfico web.
-Recuperar la navegación y el historial de llamadas.
-Leer mensajes de chat y aplicaciones de mensajería.
-Robar contactos e información de calendario.
Además, si su dispositivo Android ya está enraizado, Monokle también puede ejecutar comandos avanzados para permitir a los criminales el control total del dispositivo comprometido.
En particular, Monokle consigue abusar de los servicios de accesibilidad de Android para extraer datos de un gran número de aplicaciones de terceros, incluyendo Google Docs, Facebook Messenger, WhatsApp, WeChat y Snapchat, simplemente leyendo el texto que aparece en la pantalla del dispositivo.
Los ciberdelincuentes también han dotado a Monokle de una característica especial que permite a los spyware extraer diccionarios de texto con los términos más utilizados por el usuario para identificar aquellos que son de su interés.
Durante su funcionamiento, Monokle también intenta registrar la pantalla del teléfono durante un evento de desbloqueo de pantalla para comprometer el PIN o contraseña de acceso al dispositivo.
Como si todo esto fuera poco, si el acceso root ya está activo en el dispositivo, el spyware también es capaz de instalar certificados digitales de CA que permiten a los atacantes interceptar fácilmente el tráfico de red cifrado y protegido con el protocolo SSL a través de ataques de hombre en el medio (MiTM).
En total, Monokle es capaz de ejecutar 78 comandos predefinidos diferentes, que los atacantes pueden enviar al malware a través de SMS, llamadas telefónicas, intercambio de mensajes de correo electrónico a través del protocolo POP3 y SMTP o a través de conexiones TCP entrantes y salientes para instruirlo en la extracción de datos e información confidenciales del smartphone comprometido que luego envía al servidor de comando y control (C&C) gestionado por los propios piratas informáticos.
Los analistas de seguridad también encontraron que algunas muestras de Monokle pueden usar el módulo Android Xposed para ocultar la presencia de spyware en la lista de procesos.
Finalmente, el análisis de muestras maliciosas de spyware reveló que Monokle se distribuye a través de un archivo DEX que contiene las funciones criptográficas implementadas en la biblioteca de código abierto spongycastle, instrucciones para el uso de los principales protocolos de correo electrónico y herramientas para la extracción y exfiltración de todos los datos del dispositivo de la víctima.
Las características técnicas de Monokle y sus capacidades maliciosas analizadas hasta ahora recuerdan al potente malware de vigilancia Pegasus, desarrollado por el grupo israelí NSO Group para dispositivos Apple iOS y Google Android.
La única diferencia entre las dos aplicaciones de vigilancia remota es la presencia a bordo de Pegasus de potentes exploits de día cero que le permiten instalar spyware en un dispositivo específico sin que el usuario tenga que interactuar.
Sin embargo, incluso en el caso de Monokle tenemos un malware particularmente avanzado y muy peligroso.
Con información de: El Mundo.