Este nuevo y peligroso malware para Android puede robar tus datos y grabar audio
En los últimos años, el spyware móvil ha pasado de ser una herramienta de uso común de los gobiernos y de las organizaciones de inteligencia que operan en el anonimato. No obstante, a medida que surgen organizaciones de spyware más pequeñas, que utilizan modelos de distribución establecidos para compartir código nuevo y actualizado, junto con malware como oferta de servicio a través de la dark web, la barrera de entrada para el spyware se reduce.
Recientemente, el equipo de investigación de Zimperium zLabs descubrió un spyware dirigido a dispositivos móviles de empresas de Oriente Medio. Zimperium comenzó a monitorear la actividad de una nueva familia de spyware para Android que desde entonces han bautizado como RatMilad.
La empresa de seguridad advierte que el malware podría usarse para espionaje cibernético, extorsión o para espiar las conversaciones de las víctimas.
“Al igual que otros programas espía móviles que hemos visto, los datos robados de estos dispositivos podrían usarse para acceder a sistemas corporativos privados. Asimismo, servirían para chantajear a una víctima y más”.
“Los actores malintencionados podrían entonces producir notas sobre la víctima, descargar cualquier material robado y recopilar datos para otras prácticas nefastas”.
Advertencia de Zimperium Labs en un nuevo informe publicado recientemente.
Distribuido a través de aplicaciones de Android falsas
La variante original de RatMilad se escondió detrás de una VPN y una aplicación de suplantación de números de teléfono llamada Text Me. Se escondió con la premisa de permitir que un usuario verifique una cuenta de redes sociales a través de un teléfono. Esta es una técnica común utilizada por los usuarios de redes sociales en países donde el acceso podría estar restringido, o para aquellos que podrían querer una segunda cuenta verificada.
No obstante, según los últimos hallazgos, el software espía se está distribuyendo a través de un generador de números virtuales falsos llamado “NumRent”. NumRent se utiliza para activar cuentas de redes sociales Cuando se instala, la aplicación solicita permisos riesgosos y luego abusa de ellos para descargar el payload malicioso de RatMilad.
Tal como puedes ver en el video de instalación de demostración a continuación, se le pide al usuario que permita un acceso casi completo al dispositivo. Entre otras, solicita ver contactos, registros de llamadas telefónicas, ubicación del dispositivo, medios y archivos, así como enviar y ver mensajes SMS y llamadas telefónicas.
El principal canal de distribución de la aplicación falsa es Telegram. Esto porque que NumRent u otros troyanos que incluyen RatMilad no están disponibles en Google Play Store ni en tiendas de terceros.
Los atacantes detrás de RatMilad también crearon un sitio web dedicado para promover el troyano de acceso remoto móvil (RAT) para que la aplicación parezca más convincente. Este sitio web se promociona a través de URLs compartidas en Telegram u otras redes sociales y plataformas de comunicación.
Después de instalarse con éxito en el dispositivo de una víctima, RatMilad se esconde detrás de una conexión VPN e intenta robar los siguientes datos:
- Información básica del dispositivo (modelo, marca, buildID, versión de Android)
- Dirección MAC del dispositivo
- Lista de contactos
- SMSs
- Registros de llamadas
- Nombres de cuentas y permisos
- Lista de aplicaciones instaladas y permisos
- Datos del portapapeles
- Datos de ubicación GPS
- Información SIM (número, país, IMEI, estado)
- Listar archivos
- Contenido de archivos
Además, RatMilad puede realizar acciones de archivo, como eliminar archivos y robar archivos, modificar los permisos de la aplicación instalada o incluso usar el micrófono del dispositivo para grabar audio y escuchar a escondidas en la habitación.
Estas capacidades son más que suficientes para recopilar información corporativa, datos personales, comunicaciones privadas, fotos, videos, documentos, etc.
Zimperium descubrió RatMilad después de que el spyware no se pudo instalar en el dispositivo de un cliente y procedió a analizar el malware.
Descubrimiento de RatMilad
“El spyware como RatMilad está diseñado para ejecutarse silenciosamente en segundo plano. Es decir, espía constantemente a sus víctimas sin levantar sospechas”.
“Creemos que los ciberdelincuentes responsables de RatMilad adquirieron el código del grupo AppMilad y lo integraron en una aplicación falsa para distribuir a las víctimas desprevenidas”.
A partir de la evidencia, Zimperium concluye que los operadores de RatMilad están siguiendo un enfoque de objetivos aleatorios en lugar de ejecutar una campaña enfocada en un objetivo.
En el momento de la investigación, el canal de Telegram utilizado para distribuir el spyware fue visto más de 4,700 veces y contó con más de 200 acciones externas.
Para protegerte de las infecciones de software espía de Android como esta, debes evitar descargar aplicaciones fuera de Google Play Store. Además, debes ejecutar un análisis antivirus en los APKs recién descargados y revisar cuidadosamente los permisos solicitados durante la instalación.
“El spyware RatMilad y el grupo de hackers con sede en Irán AppMilad representan un entorno cambiante que afecta la seguridad de los dispositivos móviles”.
“Desde Pegasus hasta PhoneSpy, existe un creciente mercado de spyware móvil disponible a través de fuentes legítimas e ilegítimas, y RatMilad es solo uno de ellos”.
Richard Melick, director de inteligencia de amenazas móviles de Zimperium.