Las aplicaciones Fake Threema y Telegram ocultan software espía para ataques dirigidos


Comenzando con una muestra de malware poco conocida, los investigadores de seguridad rastrearon un nuevo software espía de Android distribuido a través de aplicaciones de mensajería falsas como Threema, Telegram y WeMessage.

El malware proviene de APT-C-23, un grupo de piratas informáticos avanzados que han estado realizando campañas de espionaje contra instituciones militares y educativas desde antes de julio de 2015.

Una versión actualizada descubierta a principios de este año muestra una impresionante variedad de nuevas características que permiten que el software espía ignore las notificaciones de las soluciones de seguridad que se ejecutan en los dispositivos Samsung, Xiaomi y Huawei, lo que le permite operar en silencio.

Esconderse en aplicaciones falsas

En abril de 2020, investigador de seguridad MalwareHunterTeam tuiteó en un software espía para Android con una tasa de detección muy baja en VirusTotal. Al examinar la muestra, los investigadores de ESET encontraron que era parte del conjunto de herramientas de malware utilizado por el actor de amenazas APT-C-23.

Aproximadamente dos meses después, en junio, MalwareHunterTeam ha encontrado una nueva muestra del mismo malware oculto en el archivo de instalación de la aplicación de mensajería Telegram disponible en DigitalApps, una tienda no oficial de Android.

Como su solución de seguridad fue una de las pocas que detectó nuevo software espía de APT-C-23 en la naturaleza, ESET comenzó a investigar y descubrió que el malware también estaba oculto en otras aplicaciones incluidas en la tienda.

Lo encontraron en Threema, una plataforma de mensajería segura y en AndroidUpdate, una aplicación que viene como una actualización del sistema para la plataforma móvil.

Con Threema y Telegram, la víctima obtendría la funcionalidad completa de las aplicaciones junto con el malware, ocultando así la naturaleza maliciosa de las aplicaciones falsas.

Quizás en un intento por limitar la propagación del malware, los atacantes agregaron un portal de descarga falso solicitando un código de seis dígitos.

ESET cree que usar el repositorio de DigitalApps es solo uno de los métodos de distribución que el actor de amenazas usó para infectar a las víctimas porque encontró otras aplicaciones que no estaban disponibles en la tienda pero que contenían el mismo software espía.

“En junio de 2020, los sistemas de ESET bloquearon este software espía en los dispositivos cliente en Israel. Las muestras de malware detectadas fueron disfrazadas por la aplicación de mensajería "WeMessage" - ESET

Sin embargo, la GUI de la aplicación maliciosa era muy diferente de la original y parece haber sido creada por el atacante, lo que indica que no se estaba haciendo pasar por el producto legítimo.

Conjunto de funciones mejoradas

El APT-C-23 es rastreado con diferentes nombres (Big Bang APT, Two-tailed Scorpion) por otras empresas de ciberseguridad. El grupo distribuye malware para plataformas Windows (KasperAgent, Micropsia) y Android (GnatSpy, Vamp, FrozenCell) [1, 2, 3, 4, 5], atacando objetivos en el Medio Oriente.

En comparación con el software espía anterior para Android, la última versión de APT-C-23 extiende la funcionalidad más allá de la grabación de audio, el robo de registros de llamadas / SMS / contactos y tipos de archivos específicos (PDF, DOC, DOCX, PPT , PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).

ESET señaló que la lista de funciones ahora incluye la capacidad de silenciar las notificaciones de las aplicaciones de seguridad integradas con los dispositivos Samsung, Xiaomi y Huawei, lo que le permite permanecer oculto incluso si se detecta su actividad.

Además, ahora puede leer notificaciones de aplicaciones de mensajería (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), robando efectivamente los mensajes entrantes.

El software espía también puede grabar la pantalla (video e imagen), así como las llamadas entrantes y salientes a través de WhatsApp. También puede realizar llamadas de forma encubierta, creando una superposición de pantalla negra que imita a un teléfono inactivo.

ESET ha publicado un reporte técnico detallando las nuevas características del software espía mejorado de APT-C-23, que proporciona indicadores útiles de compromiso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir