Un troyano de acceso remoto que actúa como software espía para Android, ha sido descubierto por investigadores de Zimperium y lo destacamos porque se enmascara como actualización de sistema con lo que ello supone.
El software espía se distribuye a través de tiendas de aplicaciones de Android de terceros y no está disponible en la Google Play Store. Esto limita drásticamente la cantidad de dispositivos que puede infectar, dado que la mayoría de usuarios solo instalan software desde la tienda oficial. Además, sus capacidades de propagación son limitadas ya que carece de un método para infectar otros dispositivos Android por sí mismo.
Sin embargo, se trata de un software espía para Android sumamente peligroso al enmascararse como actualización del sistema y por su enorme capacidad de recopilar y filtrar una amplia cantidad de información a su servidor de comando y control.
Un «ejemplo» de software espía para Android
Los investigadores de Zimperium que detectaron este troyano de acceso remoto (RAT) lo observaron mientras «robaban datos, mensajes, imágenes y tomaban el control de los teléfonos Android». Una vez tomado el control los piratas informáticos pueden acceder al total de los dispositivos, grabar audio y llamadas telefónicas. Zimperium dijo que su amplia gama de capacidades de robo de datos incluye:
► Robar mensajes de mensajería instantánea
► Robar archivos de base de datos de mensajería instantánea
► Inspeccionar los marcadores y las búsquedas del navegador predeterminado
► Inspeccionar el historial de marcadores y búsquedas de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung
► Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx)
► Inspeccionar los datos del portapapeles
► Inspeccionar el contenido de las notificaciones
► Grabación de audio
► Grabación de llamadas telefónicas
► Toma periódica de fotografías (ya sea a través de la cámara frontal o trasera)
► Listado de las aplicaciones instaladas
► Robar imágenes y vídeos
► Monitorización de la ubicación GPS
► Robar mensajes SMS
► Robar contactos telefónicos
► Robar registros de llamadas
► Extraer información del dispositivo
Una vez instalado en un dispositivo Android, el malware enviará varios datos a su servidor de comando y control (C2) de Firebase, incluidas las estadísticas de almacenamiento, el tipo de conexión a Internet y la presencia de aplicaciones. El software recopila datos directamente si tiene acceso de root o utiliza los servicios de accesibilidad después de engañar a las víctimas para que habiliten la función en el dispositivo comprometido.
También escaneará el almacenamiento externo en busca de datos almacenados o en caché, los recopilará y los entregará a los servidores C2 cuando el usuario se conecte a una red Wi-Fi. El software espía también oculta su presencia en los dispositivos Android infectados al ocultar el icono del cajón / menú.
Créditos: Juan Ranchal
