Esta app tipo WhatsApp espía a sus usuarios y roba sus datos
Welcome Chat es una app de mensajería descubierta por ESET y atribuida a un conocido grupo de ciberespionaje.
Imagina que te bajas una aplicación de mensajería para conversar igual que haces por WhatsApp, pero usando otra app distinta. Una app que resulta ser un arma de espionaje disfrazada de aplicación legítima. Eso sucede con la app Welcome Chat, que ha sido descubierta por los expertos de ciberseguridad de ESET y catalogada como una amenaza que roba los datos de quien la instale en su móvil y la use.
Welcome Chat
Según el análisis al que ESET la ha sometido, Welcome Chat permite espiar a sus víctimas, aunque sin embargo la app no es un simple malware de categoría spyware: Welcome Chat es una aplicación de mensajería en funcionamiento que “ofrece la funcionalidad prometida junto con su capacidad de espionaje oculta”, por lo que te permite chatear con ella como harías con cualquier otra aplicación del estilo, sin saber que por detrás te está espiando, analizando y robando.
Una vez que el usuario descarga la aplicación, necesita que se active la opción "Permitir la instalación de aplicaciones de fuentes desconocidas" ya que la aplicación no figura dentro de la Play Store, la tienda oficial de Android, sino que te la bajas de un sitio web de terceros malicioso que sólo está en idioma árabe. Este ya es el primer indicativo para desconfiar, la que una regla de seguridad es no descargar aplicaciones que no sean de tiendas oficiales como Play Store o Apple Store.
Después de la instalación, la aplicación maliciosa le pedirá a la víctima permisos como:
- Enviar y ver mensajes SMS
- Acceder a archivos
- Grabar audio
- Acceder a los contactos
- Acceder a la ubicación del dispositivo
Una lista tan extensa de permisos intrusivos normalmente podría hacer que las víctimas sospechen, pero con una aplicación de mensajería, es natural que se necesiten para que la aplicación ofrezca la funcionalidad prometida. Para poder comunicarse con otros usuarios de esta aplicación, el usuario debe registrarse y crear una cuenta personal. E inmediatamente después de recibir estos permisos, Welcome Chat envía información sobre el dispositivo a su C&C (módulo de Mando y Control) y está listo para recibir comandos, además de diseñado para contactar con el servidor del C&C cada 5 minutos.
Parte de una campaña de ciber-espionaje en Oriente Medio
Además de su funcionalidad principal de espionaje - monitorear las comunicaciones de chat de sus usuarios - la aplicación puede realizar las siguientes acciones maliciosas exfiltrando los:
- Mensajes SMS enviados y recibidos
- El historial de llamadas
- La lista de contactos
- Las fotos de los usuarios
- Las llamadas telefónicas grabadas
- La ubicación GPS del dispositivo
- La información del dispositivo.
Según los ciberexpertos de ESET, Welcome Chat es una herramienta en una nueva operación dentro de “una larga campaña de ciber-espionaje en el Medio Oriente”. Dirigida a usuarios de Android a través de la aplicación maliciosas, la operación parece tener vínculos con el malware llamado BadPatch, que MITRE vincula con el grupo de Hackers de Gaza conocido también como Molerats.
La aplicación de espionaje, creada ex profeso para ello ya que no hay constancia de que Welcome Chat haya sido una app legítima infectada por el grupo hacker, pertenece a la misma familia de malware para Android que ESET identificó a principios de 2018.
Ese malware utilizó el mismo servidor de C&C, pal4u.net, que la campaña de espionaje BadPatch dirigida a Oriente Medio. A finales de 2019, Fortinet describió otra operación de espionaje centrada en objetivos palestinos con el dominio pal4u.net entre sus indicadores de compromiso.