Investigadores descubren nuevo spyware para Android con servidor C2 vinculado a los hackers de Turla

Se detectó una aplicación de software espía de Android que se hace pasar por un servicio de «Administrador de procesos» para desviar de forma sigilosa la información confidencial almacenada en los dispositivos infectados.

La aplicación, con el nombre de paquete «com.remote.app«, establece contacto con un servidor de comando y control remoto, 82.146.35[.]240, que se identificó previamente como una infraestructura perteneciente a un grupo de piratería de Rusia conocido como Turla.

«Cuando se ejecuta la aplicación, aparece una advertencia sobre los permisos otorgados a la aplicación. Estos incluyen intentos de desbloqueo de pantalla, bloqueo de pantalla, configuración del proxy global del dispositivo, configuración de vencimiento de contraseña de bloqueo de pantalla, configuración de cifrado de almacenamiento y desactivación de cámaras», dijeron los investigadores de Lab52.

Una vez que la aplicación está «activada», el malware elimina su icono con forma de engranaje de la pantalla de inicio y se ejecuta en segundo plano, abusando de sus amplios permisos para acceder a los contactos y registros de llamadas del dispositivo, rastrear su ubicación, enviar y leer mensajes, acceder a almacenamiento, tomar fotografías y grabar audio.

La información recopilada es capturada en formato JSON y posteriormente transmitida al servidor remoto antes mencionado. A pesar de la superposición en el servidor C2 utilizado, Lab52 dijo que no tiene suficiente evidencia para atribuir definitivamente el malware al grupo Turla.

También se desconoce en esta etapa el vector de acceso inicial exacto empleado para distribuir el software espía y los objetivos previstos de la campaña.

La aplicación maliciosa de Android también intenta descargar una aplicación legítima llamada Roz Dhan (que significa «riqueza diaria», traducido del hindi), que tiene más de 10 millones de instalaciones y permite a los usuarios obtener recompensas en efectivo por completar encuestas y cuestionarios.

«La aplicación, que está en Google Play y se utiliza para ganar dinero, tiene un sistema de referencia que es abusado por el malware. El atacante lo instala en el dispositivo y obtiene una ganancia», dijeron los investigadores.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.