El malware puede tomar el control total del dispositivo de la víctima.
Los investigadores de seguridad dicen que un nuevo y poderoso malware de Android disfrazado de actualización crítica del sistema puede tomar el control completo del dispositivo de una víctima y robar sus datos.El malware se encontró incluido en una aplicación que tenía que instalarse fuera de Google Play, la tienda de aplicaciones para dispositivos Android. Una vez instalada por el usuario, la aplicación oculta y extrae sigilosamente los datos del dispositivo de la víctima a los servidores del operador.
Investigadores de la empresa de seguridad móvil Zimperium, que descubrió la aplicación maliciosa, dijeron que una vez que la víctima instala la aplicación maliciosa, el malware se comunica con el servidor Firebase del operador, que se utiliza para controlar de forma remota el dispositivo.El software espía puede robar mensajes, contactos, detalles del dispositivo, marcadores del navegador e historial de búsqueda, grabar llamadas y sonido ambiental del micrófono y tomar fotos con las cámaras del teléfono. El malware también rastrea la ubicación de la víctima, busca archivos de documentos y toma datos copiados del portapapeles del dispositivo.
El malware se esconde de la víctima e intenta evadir la captura reduciendo la cantidad de datos de red que consume cargando miniaturas en los servidores del atacante en lugar de la imagen completa. El malware también captura los datos más actualizados, incluida la ubicación y las fotos.El CEO de Zimperium, Shridhar Mittal, dijo que el malware probablemente era parte de un ataque dirigido.
“Es fácilmente el más sofisticado que hemos visto”, dijo Mittal. “Creo que se dedicó mucho tiempo y esfuerzo a la creación de esta aplicación. Creemos que existen otras aplicaciones como esta y estamos haciendo todo lo posible para encontrarlas lo antes posible «.
Engañar a alguien para que instale una aplicación maliciosa es una forma sencilla pero eficaz de comprometer el dispositivo de la víctima. Es por eso que los dispositivos Android advierten a los usuarios que no instalen aplicaciones desde fuera de la tienda de aplicaciones . Pero muchos dispositivos más antiguos no ejecutan las aplicaciones más recientes, lo que obliga a los usuarios a confiar en versiones anteriores de sus aplicaciones de las tiendas de aplicaciones piratas.
Mittal confirmó que la aplicación maliciosa nunca se instaló en Google Play. Cuando se le comunicó, un portavoz de Google no quiso comentar sobre los pasos que estaba tomando la compañía para evitar que el malware ingresara a la tienda de aplicaciones de Android. Google ha visto aplicaciones maliciosas pasar por sus filtros antes.
Este tipo de malware tiene un acceso de largo alcance al dispositivo de la víctima, viene en una variedad de formas y nombres, pero en gran parte hace lo mismo. En los primeros días de Internet, los troyanos de acceso remoto o RAT permitían a los fisgones espiar a las víctimas a través de sus cámaras web. Hoy en día, las aplicaciones de monitoreo de niños a menudo se reutilizan para espiar al cónyuge de una persona, lo que se conoce como stalkerware o spouseware.
El año pasado, TechCrunch informó sobre el stalkerware KidsGuard , aparentemente una aplicación de monitoreo de niños, que usaba una «actualización del sistema» similar para infectar los dispositivos de las víctimas. Pero los investigadores no saben quién creó el malware ni a quién se dirige.
“Estamos empezando a ver un número creciente de RAT en dispositivos móviles. Y el nivel de sofisticación parece estar aumentando, parece que los malos actores se han dado cuenta de que los dispositivos móviles tienen la misma cantidad de información y están mucho menos protegidos que los terminales tradicionales ”, dijo Mittal.