Falsa actualización del sistema instala spyware en dispositivos Android

Investigadores de seguridad cibernética descubrieron un nuevo troyano que roba información, dirigido a los dispositivos Android, que cuenta con una gran cantidad de capacidades de exfiltración de datos, desde la recopilación de búsquedas en el navegador hasta la grabación de audio y llamadas telefónicas.

Aunque el malware en Android antes se ha disfrazado de aplicaciones similares, que tienen nombres parecidos a piezas de software legítimas, esta nueva y sofisticada aplicación maliciosa se hace pasar por una aplicación de actualización del sistema para tomar el control de los dispositivos comprometidos.

«El software espía crea una notificación si la pantalla del dispositivo está apagada cuando recibe un comando mediante el servicio de mensajería Firebase. ‘Buscando actualización…’ no es una notificación legítima del sistema operativo, sino del software espía», dijeron los investigadores de Zimperium.

Al instalarse la aplicación, la sofisticada campaña de software espía comienza al registrar el dispositivo con un servidor de comando y control (C2) de Firebase, con información como el porcentaje de batería, estadísticas de almacenamiento y si el teléfono tiene WhatsApp instalado, seguido de la acumulación y exportación de cualquier dato de interés para el servidor en forma de archivo ZIP cifrado.

El spyware presenta innumerables capacidades con un enfoque sigiloso, incluidas tácticas para robar contactos, marcadores del navegador e historial de búsqueda, robar mensajes al abusar de los servicios de accesibilidad, grabar audio y llamadas telefónicas y tomar fotos con las cámaras del teléfono. También puede rastrear la ubicación de la víctima, buscar archivos con extensiones específicas y obtener datos del portapapeles del dispositivo.

«La funcionalidad del software espía y la exfiltración de datos se activan bajo múltiples condiciones, como un nuevo contacto agregado, un nuevo SMS recibido o una nueva aplicación instalada haciendo uso de los receptores contentObserver y Broadcast de Android», dijeron los investigadores.

Además, el malware no solo organiza los datos recopilados en distintas carpetas de su almacenamiento privado, sino que también elimina cualquier rastro de actividad maliciosa al eliminar los archivos ZIP tan pronto como recibe un mensaje de ‘éxito’ del servidor C2 después de la exfiltración. En un intento adicional por evadir la detección y pasar desapercibido, el software espía también reduce su consumo de ancho de banda al cargar miniaturas en lugar de las imágenes y videos reales presentes en el almacenamiento externo.

Aunque la aplicación «System Update» nunca se distribuyó por medio de la tienda oficial de Google Play, la investigación destaca una vez más cómo las tiendas de aplicaciones de terceros pueden albergar malware peligroso. La identidad de los autores de malware, las víctimas objetivo y el motivo último de la campaña aún no están claros.

Grupo de WhatsApp: https://chat.whatsapp.com/Ch45FZaJcbxDb7WeHAOtAQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *