Descubren nuevo spyware para Android similar a Pegasus
Investigadores descubrieron que una campaña de spyware en curso denominada ‘PhoneSpy’ está atacando a usuarios de Corea del Sur. El spyware ataca través de una variedad de aplicaciones de estilo de vida que se anidan en el dispositivo y filtran silenciosamente los datos.
La campaña implementa un poderoso malware de Android capaz de robar información sensible de los usuarios y apoderarse del micrófono y la cámara del dispositivo.
Los investigadores de Zimperium que descubrieron la campaña informaron sus hallazgos a las autoridades de Estados Unidos y Corea del Sur. Sin embargo, el host que da soporte al servidor de comando y control (C2) aún no ha sido eliminado.
Oculto en aplicaciones “inofensivas”
El spyware ‘PhoneSpy’ se esconde en muchas aplicaciones. Por ejemplo, una aplicación complementaria de Yoga, la aplicación de mensajería Kakao Talk, un navegador de galería de imágenes, una herramienta de edición de fotos, entre otras.
Zimperium identificó 23 aplicaciones que aparecen como aplicaciones de estilo de vida inofensivas. No obstante, en segundo plano, las aplicaciones se ejecutan todo el tiempo, espiando silenciosamente al usuario.
Para hacer eso, las aplicaciones le piden a la víctima que otorgue numerosos permisos durante la instalación, que es la única etapa en la que los usuarios cautelosos notarían signos de problemas.
Características maliciosas del spyware
El spyware que se esconde dentro de las aplicaciones enmascaradas puede hacer lo siguiente en un dispositivo comprometido:
- Obtener la lista completa de las aplicaciones instaladas
- Desinstalar cualquier aplicación en el dispositivo
- Instalar aplicaciones descargando APKs desde los enlaces proporcionados por el C2
- Robar credenciales mediante URL de phishing enviadas por el C2
- Robar imágenes (tanto de la memoria interna como de la memoria SD)
- Monitorear la ubicación GPS
- Robar mensajes SMS
- Obtener contactos telefónicos
- Robar registros de llamadas
- Grabar audio en tiempo real
- Grabar video en tiempo real usando cámaras frontales y traseras
- Acceder a la cámara para tomar fotos con las cámaras frontal y trasera
- Enviar SMS a un número de teléfono controlado por el atacante con texto controlado por el atacante
- Extraer información del dispositivo (IMEI, marca, nombre del dispositivo, versión de Android)
- Ocultar su presencia escondiendo el icono del menú del dispositivo
El espectro de datos robados es lo suficientemente amplio como para admitir casi cualquier actividad maliciosa, desde espiar a cónyuges y empleados hasta realizar ciberespionaje corporativo y chantajear a personas.
Además de la funcionalidad del spyware, algunas aplicaciones también intentan activamente robar las credenciales de las personas mostrando páginas de inicio de sesión falsas para varios sitios.
Las plantillas de phishing utilizadas por PhoneSpy imitan los portales de inicio de sesión de cuentas de Facebook, Instagram, Kakao y Google.
Distribución de aplicaciones
Se desconoce el canal de distribución inicial para las aplicaciones maliciosas porque los actores de amenazas no subieron las aplicaciones a Google Play Store.
Podría distribuirse a través de sitios web, tiendas de APKs, redes sociales, foros o incluso webhards y torrents.
Un método de distribución potencial puede ser a través de SMS enviados por el dispositivo comprometido a su lista de contactos.
El uso de mensajes de texto SMS aumenta las posibilidades de que los destinatarios toquen el enlace que lleva a descargar las aplicaciones maliciosas. Esto porque proviene de una persona que conocen y en quien confían.
Si crees que puedes haber descargado una aplicación peligrosa que contiene spyware, elimínala inmediatamente y luego debes ejecuta un antivirus para limpiar tu dispositivo.
En los casos en que la privacidad y la seguridad sean imperativas, debes realizar un restablecimiento de fábrica en el dispositivo.