Los investigadores de seguridad cibernética revelaron una nueva operación de spyware dirigida a usuarios en Pakistán que aprovecha las versiones troyanizadas de aplicaciones legítimas de Android para llevar a cabo vigilancia y espionaje encubiertos.
Diseñado para enmascarar aplicaciones como la Porta ciudadano de Pakistánl, una aplicación de reloj de oración musulmana llamada Hora del Salat de Pakistán, Paquetes móviles Pakistán, Comprobador de SIM registradasy Seguro TPLse ha descubierto que las variantes maliciosas ofuscan sus operaciones para descargar sigilosamente una carga útil en forma de un archivo ejecutable Android Dalvik (DEX).
«La carga útil de DEX contiene la mayoría de las características maliciosas, que incluyen la capacidad de filtrar de forma encubierta datos confidenciales como la lista de contactos del usuario y el contenido completo de los mensajes SMS», dijeron los investigadores de amenazas de Sophos, Pankaj Kohli y Andrew Brandt.
«La aplicación luego envía esta información a uno de los pocos sitios web de comando y control alojados en servidores ubicados en Europa del Este».
Curiosamente, el sitio web falso del Pakistan Citizen Portal también se mostró de manera destacada en forma de una imagen estática en el sitio web de Trading Corporation of Pakistan (TCP), potencialmente en un intento de atraer a los usuarios desprevenidos para que descarguen la aplicación con malware.
Al visitar el sitio web de TCP (tcp.gov.pk), ahora aparece el mensaje «Down for Maintenance».
Además de las aplicaciones antes mencionadas, los investigadores de Sophos también descubrieron una aplicación separada llamada Pakistan Chat que no tenía un análogo benigno distribuido a través de Google Play Store. Pero se descubrió que la aplicación aprovechaba la API de un servicio de chat legítimo llamado ChatGum.
Una vez instalada, la aplicación solicita permisos intrusivos, incluida la capacidad de acceder a los contactos, el sistema de archivos, la ubicación, el micrófono y leer mensajes SMS, lo que le permite recopilar una gran cantidad de datos en el dispositivo de la víctima.
Todas estas aplicaciones tienen un único propósito: realizar vigilancia encubierta y filtrar los datos de un dispositivo de destino. Además de enviar el identificador IMEI único, la carga útil DEX transmite información de perfil detallada sobre el teléfono, información de ubicación, listas de contactos, el contenido de los mensajes de texto, registros de llamadas y la lista completa del directorio de cualquier almacenamiento interno o tarjeta SD en el dispositivo.
De manera preocupante, la aplicación maliciosa Pakistan Citizen Portal también transmite información confidencial, como los números de la tarjeta de identidad nacional computarizada (CNIC) de los usuarios, los detalles de su pasaporte y el nombre de usuario y la contraseña de Facebook y otras cuentas.
«La capacidad de espionaje y vigilancia encubierta de estas aplicaciones de Android modificadas resalta los peligros del spyware para los usuarios de teléfonos inteligentes en todas partes», dijo Pankaj Kohli. «Los ciberadversarios apuntan a los móviles no solo para obtener información confidencial y personal, sino porque ofrecen una ventana en tiempo real a la vida de las personas, su ubicación física, movimientos e incluso conversaciones en vivo que tienen lugar dentro del rango de escucha del teléfono infectado. . «
En todo caso, el desarrollo es otra razón más por la que los usuarios deben apegarse a fuentes confiables para descargar aplicaciones de terceros, verificar si una aplicación fue creada por un desarrollador genuino y examinar cuidadosamente los permisos de la aplicación antes de la instalación.
«En el ecosistema actual de Android, las aplicaciones se firman criptográficamente como una forma de certificar que el código se origina en una fuente legítima, vinculando la aplicación a su desarrollador», concluyeron los investigadores. «Sin embargo, Android no hace un buen trabajo al exponer al usuario final cuando el certificado de una aplicación firmada no es legítimo o no se valida. Como tal, los usuarios no tienen una manera fácil de saber si una aplicación fue publicada por su original. desarrollador. «
«Esto permite a los actores de amenazas desarrollar y publicar versiones falsas de aplicaciones populares. La existencia de una gran cantidad de tiendas de aplicaciones y la libertad de los usuarios para instalar una aplicación desde prácticamente cualquier lugar hace que sea aún más difícil combatir tales amenazas».
