Clicky

Nuevo malware Android graba secretamente llamadas telefónicas y roba datos privados

Categoría: Seguridad
Visitas: 1969
Malware KevDroid teléfono Android

Denominado KevDroid, el malware se distribuyen como una falsa aplicación antivirus llamada "Naver Defender"

Investigadores de seguridad de Cisco Talos han descubierto variantes de un nuevo troyano de Android que se distribuyen de forma desenfrenada como una falsa aplicación antivirus, llamada "Naver Defender".

Denominado KevDroid, el malware es una herramienta de administración remota (RAT) diseñada para robar información sensible de dispositivos Android comprometidos, así como también capaz de grabar llamadas telefónicas.

Investigadores de Talos publicaron el lunes detalles técnicos sobre dos recientes variantes de KevDroid detectadas en la naturaleza, tras el descubrimiento inicial del troyano por la firma de seguridad cibernética de Corea del Sur, ESTsecurity, hace dos semanas.

Aunque los investigadores no han atribuido el malware a ningún grupo de hackers o patrocinado por el estado, los medios de Corea del Sur han vinculado a KevDroid con el grupo de piratería cibernética patrocinado por el estado "Grupo 123", conocido principalmente por objetivos en Corea del Sur.

La variante más reciente de malware KevDroid, detectada en marzo de este año, tiene las siguientes capacidades:

• Grabar llamadas telefónicas y audio
• Robar historial web y archivos
• Obtener acceso a la raízrobar registros de llamadas, SMS, correos electrónicos
• Recolectar la ubicación del dispositivo cada 10 segundos
• Recoger una lista de aplicaciones instaladas

El malware utiliza una biblioteca de código abierto, disponible en GitHub, para obtener la capacidad de grabar llamadas entrantes y salientes desde el dispositivo Android comprometido.

App falsa Naver Defender

Aunque ambas muestras de malware tienen las mismas capacidades de robar información en el dispositivo comprometido y registrar las llamadas telefónicas de la víctima, una de las variantes incluso explota una falla conocida de Android (CVE-2015-3636) para obtener acceso raíz en el dispositivo comprometido.

A continuación, todos los datos robados se envían a un servidor de control y comando controlado por atacante (C2), alojado en la red global de flujo de datos de PubNub, utilizando una solicitud HTTP POST.

"Si un adversario logra obtener parte de la información que KevDroid es capaz de recopilar, podría dar lugar a una multitud de problemas para la víctima", dando como resultado "la fuga de datos, lo que podría llevar a una serie de cosas, como el secuestro de un ser querido, el chantaje mediante el uso de imágenes o información que se considera secreta, la recolección de credenciales, acceso simbólico de múltiples factores (SMS MFA), implicaciones bancarias/financieras y acceso a información privilegiada, tal vez a través de correos electrónicos/textos", dice Talos.

"Muchos usuarios acceden a su correo electrónico corporativo a través de dispositivos móviles. Esto podría provocar que el ciberespionaje sea un posible resultado para KevDroid".

Los investigadores también descubrieron otra RAT, diseñada para los usuarios de Windows, que comparten el mismo servidor de C&C y también utiliza la API PubNub para enviar comandos a los dispositivos comprometidos.

Cómo mantener tu teléfono inteligente seguro

Se recomienda a los usuarios de Android que realicen una comprobación cruzada de las aplicaciones instaladas en sus dispositivos para encontrar y eliminar si hay en la lista alguna aplicación maliciosa/desconocida/innecesaria sin tu conocimiento o consentimiento.

Tal malware de Android también se puede utilizar para orientar los dispositivos, por lo que si posees un dispositivo Android, te recomendamos que sigas estos simples pasos para evitar que esto le suceda:

• Nunca instales aplicaciones en tiendas de terceros.
• Asegúrate de que ya hayas optado por Google Play Protect.
• Habilita la función 'verificar aplicaciones' desde la configuración.
• Mantén deshabilitadas las "fuentes desconocidas" mientras no las estés usando.
• Instala software antivirus y de seguridad de un proveedor de ciberseguridad conocido.
• Haz una copia de seguridad de tu teléfono regularmente.
• Usa siempre una aplicación de encriptación para proteger cualquier información sensible en tu teléfono.
• Nunca abras documentos que no estás esperando, incluso si parece que es de alguien que conoces.
• Proteje tus dispositivos con un bloqueo de PIN o contraseña para que nadie pueda obtener acceso no autorizado a tu dispositivo cuando permanece desatendido.
• Mantén tu dispositivo siempre actualizado con los últimos parches de seguridad.