A partir de una muestra de malware poco conocida, los investigadores de seguridad rastrearon un nuevo software espía de Android distribuido a través de aplicaciones de mensajería falsas como Threema, Telegram y WeMessage.
El malware es de APT-C-23, un grupo de piratas informáticos avanzados que llevan a cabo campañas de espionaje contra instituciones militares y educativas desde antes de julio de 2015. En abril de 2020, el investigador de seguridad MalwareHunterTeam tuiteó sobre un software espía para Android que tenía una tasa de detección muy baja en VirusTotal. Al examinar la muestra, los investigadores de ESET descubrieron que formaba parte del conjunto de herramientas de malware utilizado por el actor de amenazas APT-C-23.
Aproximadamente dos meses después, en junio, MalwareHunterTeam encontró una nueva muestra del mismo malware oculto en el archivo de instalación de la aplicación de mensajería Telegram disponible en DigitalApps, una tienda no oficial de Android.
Dado que su solución de seguridad fue una de las pocas que detectaron en la naturaleza el nuevo software espía de APT-C-23, ESET comenzó a investigar y descubrió que el software malicioso también estaba oculto en otras aplicaciones enumeradas en la tienda. Lo encontraron en Threema, una plataforma de mensajería segura, y en AndroidUpdate, una aplicación que se hace pasar por una actualización del sistema para la plataforma móvil.
Con Threema y Telegram, la víctima obtendría la funcionalidad completa de las aplicaciones junto con el malware, ocultando así la naturaleza maliciosa de las aplicaciones falsas. No obstante, una forma de identificar comportamiento sospechoso de estas aplicaciones es notar la diferencia en la interfaz gráfica de las aplicaciones.
Además, ahora puede leer notificaciones de aplicaciones de mensajería (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), robando efectivamente los mensajes entrantes. El software espía también puede grabar la pantalla (video e imagen), así como las llamadas entrantes y salientes a través de WhatsApp. También puede realizar llamadas de forma encubierta, creando una superposición de pantalla negra que imita un teléfono inactivo.
La recomendación de seguridad para los usuarios finales es siempre descargar e instalar aplicaciones de las tiendas digitales oficiales, como son Google Play Store y Apple App Store.
Referencia: