Este peligroso spyware para Android se hace pasar por Telegram y Threema
A partir de una muestra de malware poco conocida, los investigadores de seguridad rastrearon un nuevo software espía (spyware) de Android. El spyware está siendo distribuido a través de aplicaciones de mensajería falsas como Threema, Telegram y WeMessage.
El malware es de APT-C-23, un grupo de hackers avanzados que llevan a cabo campañas de espionaje contra instituciones militares y educativas. El grupo está operando desde antes de julio de 2015.
Una versión actualizad descubierta a principios de este año muestra un impresionante conjunto de nuevas características. Estas características permiten que el software espía descarte las notificaciones de las soluciones de seguridad que se ejecutan en los dispositivos Samsung, Xiaomi y Huawei. Así puede operar en silencio.
Oculto en aplicaciones falsas
En abril de 2020, el investigador de seguridad MalwareHunterTeam tuiteó sobre un spyware para Android que tenía una tasa de detección muy baja en VirusTotal. Al examinar la muestra, investigadores de ESET descubrieron que formaba parte del conjunto de herramientas de malware utilizado por el actor de amenazas APT-C-23.
Aproximadamente dos meses después, en junio, MalwareHunterTeam encontró una nueva muestra del mismo malware oculto en el archivo de instalación de la aplicación de Telegram. La aplicación está disponible en DigitalApps, una tienda no oficial de Android.
Dado que su solución de seguridad fue una de las pocas que detectaron en la naturaleza el nuevo spyware de APT-C-23, ESET comenzó a investigar. Los investigadores descubrieron que el software malicioso también estaba oculto en otras aplicaciones disponibles en la tienda.
Lo encontraron en Threema, una plataforma de mensajería segura. También lo encontraron en AndroidUpdate, una aplicación que se hace pasar por una actualización del sistema para la plataforma móvil.
Con Threema y Telegram, la víctima obtendría la funcionalidad completa de las aplicaciones junto con el malware. Así, los atacantes ocultan la naturaleza maliciosa de las aplicaciones falsas.
Posiblemente en un intento por limitar la propagación del malware, los atacantes agregaron una puerta de descarga falsa al requerir un código de seis dígitos.
Otros métodos de distribución
ESET cree que usar la tienda DigitalApps es solo uno de los métodos de distribución que el actor de amenazas usó para infectar a las víctimas. Esto porque encontraron otras aplicaciones que no estaban disponibles en la tienda pero que contenían el mismo software espía.
“En junio de 2020, los sistemas de ESET bloquearon este software espía en los dispositivos cliente en Israel. Las muestras de malware detectadas se disfrazaron como la aplicación de mensajería ‘WeMessage’”
ESET
Sin embargo, la interfaz gráfica de la aplicación maliciosa difería mucho de la original y parece haber sido creada por el atacante, lo que indica que no se estaba haciendo pasar por el producto legítimo.
Conjunto mejorado de características
El grupo APT-C-23 es rastreado con diferentes nombres (Big Bang APT, Two-tailed Scorpion) por otras empresas de ciberseguridad. El grupo implementa malware para plataformas Windows (KasperAgent, Micropsia) y Android (GnatSpy, Vamp, FrozenCell), atacando objetivos en el Medio Oriente.
En comparación con el spyware anterior para Android, la última versión de APT-C-23 extiende la funcionalidad más allá de la grabación de audio. Este demás roba registros de llamadas/SMS/contactos y tipos de archivos específicos (PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).
ESET observó que la lista de funciones ahora incluye la posibilidad de silenciar las notificaciones de aplicaciones de seguridad integradas. Permite silenciar las notificaciones en dispositivos de Samsung, Xiaomi y Huawei, lo que le permite permanecer oculto incluso si se detecta su actividad.
Además, ahora puede leer notificaciones de aplicaciones de mensajería (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), robando efectivamente los mensajes entrantes.
El spyware también puede grabar la pantalla (video e imagen), así como las llamadas entrantes y salientes a través de WhatsApp. También puede realizar llamadas de forma encubierta, creando una superposición de pantalla negra que imita un teléfono inactivo.
ESET publicó un informe técnico que detalla las nuevas capacidades del spyware mejorado de APT-C-23, que proporciona indicadores útiles de compromiso.
