La infección comienza cuando una víctima visita una falsa tienda de aplicaciones de Android llamada "DigitalApps"
Recientemente se descubrió que un grupo de piratas informáticos conocido por sus ataques en el Medio Oriente, al menos desde 2017, se hacía pasar por aplicaciones de mensajería legítimas como Telegram y Threema para infectar dispositivos Android con un nuevo malware previamente indocumentado.
"En comparación con las versiones documentadas en 2017, Android/SpyC23.A tiene una funcionalidad de espionaje extendida, incluida la lectura de notificaciones de aplicaciones de mensajería, grabación de llamadas y grabación de pantalla, y nuevas funciones sigilosas, como descartar notificaciones de aplicaciones de seguridad integradas de Android", dijo la firma de ciberseguridad ESET en un análisis del miércoles.
Detallado por primera vez por Qihoo 360 en 2017 bajo el nombre de Two-tailed Scorpion (también conocido como APT-C-23 o Desert Scorpion), el malware móvil se ha considerado "software de vigilancia" por su capacidad para espiar en el proceso los dispositivos de las personas objetivo, exfiltrando registros de llamadas, contactos, ubicación, mensajes, fotos y otros documentos confidenciales.
En 2018, Symantec descubrió una variante más nueva de la campaña que empleaba como señuelo un reproductor multimedia malicioso para obtener información del dispositivo y engañar a las víctimas para que instalen malware adicional.
Luego, a principios de este año, Check Point Research detalló nuevos signos de actividad APT-C-23 cuando los operadores de Hamas se hicieron pasar por jóvenes adolescentes en Facebook, Instagram y Telegram para atraer a los soldados israelíes a instalar en sus teléfonos aplicaciones infectadas con malware.
La última versión del software espía detallado por ESET amplía estas características, incluida la capacidad de recopilar información de las redes sociales y aplicaciones de mensajería a través de la grabación de pantalla y capturas de pantalla, e incluso capture las llamadas entrantes y salientes en WhatsApp y lea el texto de las notificaciones de las aplicaciones de redes sociales, como WhatsApp, Viber, Facebook, Skype y Messenger.
La infección comienza cuando una víctima visita una falsa tienda de aplicaciones de Android llamada "DigitalApps" y descarga aplicaciones como Telegram, Threema y weMessage, lo que sugiere que la motivación del grupo para hacerse pasar por aplicaciones de mensajería es "justificar los diversos permisos solicitados por el malware".
Además de solicitar permisos invasivos para leer notificaciones, desactivar Google Play Protect y grabar la pantalla de un usuario bajo la apariencia de funciones de seguridad y privacidad, el malware se comunica con su servidor de comando y control (C2) para registrar a la víctima recién infectada y transmitir la información del dispositivo.
Los servidores C2, que generalmente se hacen pasar por sitios web en mantenimiento, también son responsables de transmitir los comandos al teléfono comprometido, que se puede usar para grabar audio, reiniciar Wi-Fi, desinstalar cualquier aplicación instalada en el dispositivo, entre otros.
Además, también viene equipado con una nueva función que le permite hacer sigilosamente una llamada mientras crea una superposición de pantalla negra para enmascarar la actividad de la llamada.
"Nuestra investigación muestra que el grupo APT-C-23 todavía está activo, mejorando su conjunto de herramientas móviles y ejecutando nuevas operaciones. Android/SpyC32.A, la versión de software espía más reciente del grupo, presenta varias mejoras que lo hacen más peligroso para las víctimas", dijo ESET.
Las aplicaciones descargadas de tiendas fraudulentas de aplicaciones de terceros han sido un conducto para el malware de Android en los últimos años. Siempre es esencial atenerse a las fuentes oficiales para limitar el riesgo y analizar los permisos solicitados por las aplicaciones antes de instalarlas en el dispositivo.
