Home Sociedad Malware para Android, se esconde como una aplicación de actualización del sistema,...

Malware para Android, se esconde como una aplicación de actualización del sistema, para espiarte

En las últimas semanas, investigadores de Zimperium zLabs revelaron configuraciones no seguras en la nube que exponían los datos de los usuarios en miles de aplicaciones legítimas de Android e iOS. Ahora, zLabs advierte a los usuarios de Android sobre una nueva aplicación inteligente y maliciosa para Android.

Este último malware adopta la forma de una aplicación de actualización del sistema para robar datos, imágenes, mensajes y usurpar el control de teléfonos Android completos. Después de asumir el control, los atacantes pueden grabar audio y llamadas telefónicas, ver el historial del navegador, tomar fotos y acceder a los mensajes de WhatsApp, entre otras actividades.

Los investigadores de zLabs descubrieron esta supuesta aplicación de actualización del sistema después de detectar una aplicación marcada por el motor de malware z9, que es el encargado de la detección en el dispositivo de zIPS. Una investigación demostró que esta actividad se remonta a una campaña de spyware avanzado con capacidades intrincadas. Los investigadores cerraron el trato después de confirmar con Google que dicha aplicación nunca había existido ni estaba previsto que se publicara en Google Play.

Con una extensa lista de capacidades de compromiso, este malware puede robar mensajes de los sistemas de mensajería instantánea y sus archivos de base de datos utilizando el root, examinar los marcadores y búsquedas por defecto de los navegadores, inspeccionar el historial de marcadores y búsquedas de los navegadores de Internet Google Chrome, Mozilla Firefox y Samsung, buscar archivos con las extensiones específicas . doc, .docx, .pdf, .xls y .xlsx; examinar los datos del portapapeles y el contenido de las notificaciones, tomar fotos periódicas a través de la cámara frontal o trasera, ver las aplicaciones instaladas, robar imágenes y vídeos, monitorizar a través del GPS, robar los contactos del teléfono y los mensajes SMS, así como los registros de llamadas y exfiltrar información del dispositivo, como el nombre del mismo y los datos de almacenamiento. Además, el malware puede incluso ocultarse ocultando su icono en el menú de los dispositivos.

El programa malicioso, funciona mediante la ejecución de Firebase Command and Control (C&C) tras su instalación desde una tienda de aplicaciones de terceros que no es de Google, bajo los nombres de “update” y “refreshAllData”. Para aumentar su sensación de legitimidad, la aplicación contiene información sobre características como la presencia de WhatsApp, el porcentaje de batería, las estadísticas de almacenamiento, el tipo de conexión a Internet y el token del servicio de mensajería Firebase. Una vez que el usuario selecciona “actualizar” la información existente, la app se infiltra en el dispositivo afectado. Tras la difusión, el C&C recibe todos los datos relevantes, incluido el nuevo token de Firebase generado.

Mientras la comunicación de Firebase realiza los comandos necesarios, el servidor de C&C dedicado utiliza una solicitud POST para recoger los datos robados. Entre las acciones más destacadas que desencadenan la exfiltración por parte de la aplicación se encuentran añadir un nuevo contacto, instalar una nueva aplicación a través del contentObserver de Android o recibir un nuevo SMS.

Con información de: Hipertextual.