Descubren un malware Android que se disfraza de actualización del SO
Cuidado al actualizar el móvil, porque puede ser que actives en su lugar un nuevo tipo de malware descubierto.
Si en el mundo de la droga los narcotraficantes tienen que usar métodos más y más novedosos para poder cruzar fronteras con su mercancía ilegal, en el mundo del cibercrimen los hackers tienen que hacer lo mismo para sortear los mecanismos de defensa y seguridad de las tiendas de apps, sistemas operativos, etc.
Pero en Zimperium zLabs han descubierto uno de esos malware que da miedo, porque puede disfrazarse de actualización del sistema operativo.
Un malware disfrazado de update del SO
Investigadores de Zimperium zLabs han descubierto una nueva aplicación “inteligente y maliciosa para Android”, un malware capaz de adoptar la forma de una aplicación de actualización del sistema para robar datos, imágenes, mensajes y usurpar el control de teléfonos Android completos.
Los investigadores de zLabs descubrieron esta supuesta aplicación de actualización del sistema después de detectar una aplicación marcada por el motor de malware z9, que es el encargado de la detección en el dispositivo de zIPS. Una investigación demostró que esta actividad se remonta a una campaña de spyware avanzado, y los investigadores corroboraron con Google que dicha app nunca había existido ni estaba previsto su lanzamiento en Google Play.
Capaz de ocultarse en tu dispositivo
Una vez que ha atacado e invadido tu dispositivo, este malware y los atacantes que están detrás de él pueden llevar a cabo acciones como:
- Robar mensajes de los sistemas de mensajería instantánea (WhatsApp, Messenger, Telegram) y de sus archivos de base de datos
- Examinar los marcadores y búsquedas por defecto de los navegadores
- Inspeccionar el historial de marcadores y búsquedas de los navegadores de Internet Google Chrome, Mozilla Firefox y Samsung
- Buscar archivos con las extensiones específicas . doc, .docx, .pdf, .xls y .xlsx
- Examinar los datos del portapapeles y el contenido de las notificaciones
- Tener el control de la cámara del móvil y hacer fotos periódicas a través de la cámara frontal o trasera
- Ver las aplicaciones instaladas
- Robar imágenes y vídeos
- Monitorizar a través del GPS
- Robar los contactos del teléfono y los mensajes SMS así como los registros de llamadas
- Exfiltrar información del dispositivo, como el nombre del mismo y los datos de almacenamiento.
El malware, que puede incluso ocultarse ocultando su icono en el menú de los dispositivos, funciona mediante la ejecución de Firebase Command and Control (C&C) tras su instalación desde una tienda de aplicaciones de terceros que no es de Google, bajo los nombres de "update" y "refreshAllData". Para aumentar su sensación de legitimidad, la aplicación contiene información sobre características como:
- La presencia de WhatsApp
- El porcentaje de batería
- Las estadísticas de almacenamiento
- El tipo de conexión a Internet
- El token del servicio de mensajería Firebase
Una vez que el usuario selecciona "actualizar" la información existente, la app se infiltra en el dispositivo afectado. Tras la difusión, el C&C recibe todos los datos relevantes, incluido el nuevo token de Firebase generado.
Se instala por terceros
Mientras la comunicación de Firebase realiza los comandos necesarios, el servidor de C&C dedicado utiliza una solicitud POST para recoger los datos robados. Entre las acciones más destacadas que desencadenan la exfiltración por parte de la aplicación se encuentran añadir un nuevo contacto, instalar una nueva aplicación a través del contentObserver de Android o recibir un nuevo SMS.
Lo único bueno de esta historia es que la aplicación sólo se puede instalar a través de terceros, y nunca por Google Play Store o la App Store, algo que refuerza el consejo de que nunca nunca instales una app que no venga de una tienda oficial.