Se hace pasar por una aplicación de actualización del sistema para tomar el control de los dispositivos comprometidos

Los investigadores han descubierto un nuevo troyano que roba información, que se dirige a los dispositivos Android con una avalancha de capacidades de exfiltración de datos, desde la recopilación de búsquedas en el navegador hasta la grabación de audio y llamadas telefónicas.

Si bien el malware en Android se ha disfrazado anteriormente de aplicaciones de imitación, que tienen nombres similares a piezas de software legítimas, esta nueva y sofisticada aplicación maliciosa se hace pasar por una aplicación de actualización del sistema para tomar el control de los dispositivos comprometidos.

"El software espía crea una notificación si la pantalla del dispositivo está apagada cuando recibe un comando usando el servicio de mensajería Firebase", dijeron los investigadores de Zimperium en un análisis del viernes. "El 'Buscando actualización ...' no es una notificación legítima del sistema operativo, sino del software espía".

Una vez instalada, la sofisticada campaña de software espía comienza su tarea registrando el dispositivo con un servidor de comando y control (C2) de Firebase con información como el porcentaje de batería, estadísticas de almacenamiento, y si el teléfono tiene WhatsApp instalado, seguido de acumular y exportar al servidor cualquier dato de interés en forma de un archivo ZIP encriptado.

comandos del Malware de actualización Android

El software espía presenta innumerables capacidades con un enfoque en el sigilo, incluidas tácticas para robar contactos, marcadores del navegador e historial de búsqueda, robar mensajes al abusar de los servicios de accesibilidad, grabar audio y llamadas telefónicas y tomar fotos con las cámaras del teléfono. También puede rastrear la ubicación de la víctima, buscar archivos con extensiones específicas y obtener datos del portapapeles del dispositivo.

"La funcionalidad del software espía y la exfiltración de datos se activan bajo múltiples condiciones, como un nuevo contacto agregado, un nuevo SMS recibido o una nueva aplicación instalada haciendo uso de los receptores contentObserver y Broadcast de Android", dijeron los investigadores.

Además, el malware no solo organiza los datos recopilados en varias carpetas dentro de su almacenamiento privado, sino que también elimina cualquier rastro de actividad maliciosa al eliminar los archivos ZIP tan pronto como recibe un mensaje de "éxito" del servidor C2 después de la exfiltración. En un intento adicional por evadir la detección y pasar desapercibido, el software espía también reduce el consumo de ancho de banda al cargar miniaturas en lugar de las imágenes y vídeos reales presentes en el almacenamiento externo.

Aunque la aplicación "System Update" nunca se distribuyó a través de la tienda oficial de Google Play, la investigación destaca una vez más cómo las tiendas de aplicaciones de terceros pueden albergar malware peligroso. Aún no están claros la identidad de los autores de malware, las víctimas objetivo y el motivo final de la campaña.

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete