Descubren un nuevo y peligroso malware para Android que rastrea tu ubicación
Un malware para Android previamente desconocido utiliza la misma infraestructura de alojamiento compartido que el grupo APT ruso conocido como Turla utilizó anteriormente, aunque no es posible atribuirlo al grupo de hackers.
Turla es un grupo de hacking respaldado por el estado ruso. El grupo es conocido por usar malware personalizado para atacar sistemas europeos y estadounidenses, principalmente para espionaje.
Estos ciberdelincuentes fueron vinculados recientemente con la puerta trasera Sunburst utilizada en el ataque a la cadena de suministro de SolarWinds en diciembre de 2020.
Nuevo spyware de Android descubierto
Investigadores de Lab52 identificaron un APK malicioso [VirusTotal] llamado “Process Manager”. Esta aplicación actúa como spyware de Android, cargando información a los atacantes.
Si bien no está claro cómo se ha distribuido el spyware, una vez instalado, Process Manager intenta ocultarse en un dispositivo Android usando un ícono en forma de engranaje. Es decir, simula ser un componente del sistema.
Tras su primer lanzamiento, la aplicación solicita al usuario que le permita usar los siguientes 18 permisos:
- Acceder a la ubicación aproximada
- Acceso a la ubicación exacta
- Acceso al estado de la red
- Acceder al estado Wi-Fi
- Cámara
- Servicio de primer plano
- Internet
- Modificar la configuración de audio
- Lectura de registro de llamadas
- Leer contactos
- Leer almacenamiento externo
- Escribir almacenamiento externo
- Leer estado del teléfono
- Leer SMSs
- Recibir el inicio completo
- Grabar audio
- Enviar SMSs
- Registro de activación
Estos permisos son un grave riesgo para la privacidad, ya que permiten que la aplicación obtenga la ubicación de un dispositivo. Asimismo, la aplicación puede envíar y leer mensajes de texto, acceder al almacenamiento, tomar fotografías con la cámara y grabar audio.
Spyware oculto
No está claro si el malware abusa del servicio de accesibilidad de Android para otorgarse permisos o si engaña al usuario para que apruebe una solicitud.
Después de recibir los permisos, el spyware elimina su icono y se ejecuta en segundo plano con solo una notificación permanente que indica su presencia.
Este aspecto es bastante extraño para el spyware. Normalmente el spyware debería esforzarse por permanecer oculto para la víctima, especialmente si es obra de un grupo APT (amenaza persistente avanzada) sofisticado.
La información recopilada por el dispositivo, incluidas listas, registros, SMSs, grabaciones y notificaciones de eventos, se envía en formato JSON al servidor de comando y control (C2) en 82.146.35[.]240, que se encuentra en Rusia.
Hasta el momento se desconoce el método de distribución del APK. Sin embargo, si es Turla, comúnmente usan ingeniería social, phishing, ataques de abrevadero, etc., por lo que podría ser cualquier cosa.
Extraño caso de abuso con fines de lucro
Mientras investigaba la aplicación, el equipo de Lab52 también descubrió que descarga payloads adicionales al dispositivo. Asimismo, encontraron un caso de una aplicación obtenida directamente de la Play Store.
La aplicación se llama “Roz Dhan: Earn Wallet cash” y es una aplicación popular (10,000,000 de descargas) que presenta un sistema de referencia que genera dinero.
Hasta donde sabemos, el spyware descarga el APK a través del sistema de referencia de la aplicación. Esto probablemente le permita ganar una comisión, lo cual es algo extraño dado que el actor en particular se dedica al espionaje cibernético.
Esto, además de la implementación aparentemente poco sofisticada del spyware de Android, nos lleva a creer que el C2 analizado por Lab52 puede ser parte de una infraestructura compartida.
Los actores estatales son conocidos por seguir esta táctica, aunque sea rara, les ayuda a ocultar sus huellas y a confundir a los analistas.
Debido a la baja sofisticación de las capacidades de amenaza del malware y el uso de la monetización basada en referencias, dan una idea más o menos clara del atacante. Los investigadores no creen que esto sea obra de un actor de un estado-nación, como Turla.
“Entonces, en este informe, queremos compartir nuestro análisis sobre las capacidades de esta pieza de malware. No obstante, la atribución a Turla no parece posible dadas sus capacidades de amenaza”. Investigadores de Lab52.
Mantente alejado el malware
Si eres usuario de dispositivos Android te recomendamos que revises los permisos que has otorgado a la aplicación. Esto debería ser bastante fácil en las versiones de Android 10 y posteriores. Además, debes revocar aquellos que parezcan demasiado riesgosos.
Asimismo, a partir de Android 12, el sistema operativo envía indicaciones cuando la cámara o el micrófono están activos. Por lo tanto, si estos aparecen activos, el spyware se está escondiendo en tu dispositivo.
Estas herramientas son particularmente peligrosas cuando se anidan dentro de dispositivos Internet de las Cosas que ejecutan versiones anteriores de Android. Estos les permiten generar dinero para sus operadores remotos durante períodos prolongados sin que nadie se dé cuenta del compromiso.