Recientemente se descubrió que un grupo de piratería conocido por sus ataques en el Medio Oriente, al menos desde 2017, se hace pasar por aplicaciones de mensajería legítimas como Telegram y Threema para infectar dispositivos Android con un malware nuevo, previamente no documentado.
«En comparación con las versiones documentadas en 2017, Android/SpyC23.A tiene una funcionalidad de espionaje ampliada, incluida la lectura de notificaciones de aplicaciones de mensajería, grabación de llamadas y grabación de pantalla, y nuevas funciones ocultas, como descartar notificaciones de aplicaciones de seguridad integradas de Android». dijo la firma de ciberseguridad ESET en un análisis del miércoles.
Detallado por primera vez por Qihoo 360 en 2017 bajo el nombre de Two-tailed Scorpion (también conocido como APT-C-23 o Desert Scorpion), el malware móvil se ha considerado «software de vigilancia» por su capacidad para espiar los dispositivos de las personas seleccionadas, filtrando los registros de llamadas. , contactos, ubicación, mensajes, fotos y otros documentos confidenciales en el proceso.
En 2018, Symantec descubrió una variante más nueva de la campaña que empleaba un reproductor multimedia malicioso como señuelo para obtener información del dispositivo y engañar a las víctimas para que instalaran malware adicional.
Luego, a principios de este año, Check Point Research detalló nuevos signos de actividad APT-C-23 cuando los operadores de Hamás se hicieron pasar por adolescentes en Facebook, Instagram y Telegram para atraer a los soldados israelíes a instalar aplicaciones infectadas con malware en sus teléfonos.
La última versión del software espía detallado por ESET amplía estas funciones, incluida la capacidad de recopilar información de las redes sociales y aplicaciones de mensajería a través de capturas de pantalla y capturas de pantalla, e incluso capturar llamadas entrantes y salientes en WhatsApp y leer el texto de las notificaciones de las redes sociales. aplicaciones, incluidas WhatsApp, Viber, Facebook, Skype y Messenger.
La infección comienza cuando una víctima visita una tienda de aplicaciones de Android falsa llamada «DigitalApps» y descarga aplicaciones como Telegram, Threema y weMessage, lo que sugiere que la motivación del grupo para hacerse pasar por aplicaciones de mensajería es «justificar los diversos permisos solicitados por el malware». «
Además de solicitar permisos invasivos para leer notificaciones, desactivar Google Play Protect y grabar la pantalla de un usuario bajo la apariencia de funciones de seguridad y privacidad, el malware se comunica con su servidor de comando y control (C2) para registrar a la víctima recién infectada. y transmitir la información del dispositivo.
Los servidores C2, que generalmente se hacen pasar por sitios web en mantenimiento, también son responsables de transmitir los comandos al teléfono comprometido, que se puede usar para grabar audio, reiniciar Wi-Fi, desinstalar cualquier aplicación instalada en el dispositivo, entre otros.
Además, también viene equipado con una nueva función que le permite realizar una llamada sigilosamente mientras crea una superposición de pantalla negra para enmascarar la actividad de la llamada.
«Nuestra investigación muestra que el grupo APT-C-23 sigue activo, mejorando su conjunto de herramientas móviles y ejecutando nuevas operaciones. Android/SpyC23.A, la versión más reciente del spyware del grupo, presenta varias mejoras que lo hacen más peligroso para las víctimas». ESET dijo.
Las aplicaciones descargadas de tiendas de aplicaciones fraudulentas de terceros han sido un conducto para el malware de Android en los últimos años. Siempre es esencial ceñirse a las fuentes oficiales para limitar el riesgo y examinar los permisos solicitados por las aplicaciones antes de instalarlas en el dispositivo.
