Un paquete de instalación maliciosa de Android ha sido detectado apuntando al personal de defensa de la India, desde, al menos, julio de 2021.
La noticia proviene de un informe de la plataforma de gestión del panorama de amenazas externas Cyfirma.
“El archivo APK [android package kit], en este caso, es una copia señuelo de una carta de promoción al rango ‘Subs Naik'”, reza el escrito técnico. “Una vez que la víctima es presa de este APK malicioso, y tras su instalación, esta app aparece como un icono de la aplicación Adobe Reader (look-alike) en el dispositivo”.
Una vez instalada, la app pide varios permisos, como el de la cámara, el del micrófono, el de internet y el de almacenamiento. “El acceso a cualquiera de ellos puede ser peligroso y catastrófico para la seguridad nacional”, escribió Cyfirma.
Otras investigaciones de la compañía revelaron que los actores de la amenaza detrás de la herramienta estaban utilizando una variante de Spymax RAT (troyano de acceso remoto), una herramienta cuyo código fuente ya está disponible en foros clandestinos.
En los ataques observados por Cyfirma, los actores de la amenaza utilizaron un enlace de Google Drive que apuntaba a un archivo PDF que contenía una lista de personal de defensa indio al que se le concedían ascensos a un rango superior. Al parecer, el enlace se compartió a través de WhatsApp.
Al mismo tiempo, basándose en los datos analizados, el equipo de investigación dijo que no podía atribuir el actual ataque a un grupo específico de actores de amenazas de estado-nación.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian