Hallan en la Play Store una variante de un spyware de origen iraquí

Investigadores en seguridad que trabajan para la empresa Lookout han descubierto al menos tres aplicaciones para Android disponibles en la Play Store que contienen un spyware de origen iraquí.

Una de las aplicaciones subidas es una versión modificada del cliente de Telegram, la cual consiguió colar en la tienda oficial de Google sin ser detectado por Bouncer.

El ciberdelincuente consiguió subir el malware al menos a través de tres aplicaciones llamadas Soniac, Hulk Messenger y Troy Chat. Sin embargo, cuando el spyware fue descubierto por los investigadores de Lookout, solo estaba activo en Soniac, mientras que las otras aplicaciones habían desparecido de la Play Store, muy posiblemente porque el propio desarrollador las hubiese retirado. Esto abre la puerta a un posible comportamiento similar al visto en Dvmap, con los desarrolladores retirando y volviendo a incorporar el malware para así dificultar su detección.

Desde Lookout han llegado a la conclusión de que el malware se trata de una nueva versión SpyNote, un viejo conocido entre los spywares contra Android. Por otro lado, los investigadores también creen que su desarrollador es el mismo que el de SonicSpy, otro spyware del cual hay más de mil variantes.

Para llegar a la conclusión del párrafo anterior se basan en ciertos aspectos que comparten ambos malware, como el hecho de utilizar el puerto no estándar 2222 para los servicios de DNS, inyectan código malicioso y recompilan la misma utilidad para el escritorio, posiblemente como parte de un sistema de compilación personalizada y automatizada.

¿Qué acciones maliciosas lleva a cabo SpyNote? La realidad es que se trata de un malware bastante completo, capaz de realizar 73 acciones diferentes que recibe a modo de órdenes procedentes de un servidor de mando y control. Sin embargo, de todo lo que puede hacer se puede destacar lo siguiente:

Grabar audio de forma silenciosa.
Tomar fotos de forma silenciosa de las cámaras.
Realizar llamadas.
Enviar SMS.
Recuperar el registro de llamadas.
Obtener datos de puntos de acceso Wi-Fi.

Debido a que el malware ha sido hallado en la Play Store, los mejores consejos que se pueden dar a los usuarios es utilizar siempre las aplicaciones oficiales (usar el Telegram oficial en lugar de un cliente alternativo) y comprobar concienzudamente los permisos solicitados. En caso de ver que los permisos solicitados sean demasiados para el tipo de aplicación, se recomienda no instalarla.

Fuente: BleepingComputer, Muyseguridad

Comparte esto en:

Tags: , , , , , ,

Deja un Comentario