Malware para Android puede tomar fotos, videos y espiar el historial de tus apps

El malware Monokle está enfocado en el espionaje para objetivos seleccionados, y tiene capacidades de registro y recuperación de historial de apps y navegación. Esto incluye el registro de teclas, la toma de fotos y videos, la recuperación del historial de aplicaciones, incluídos los navegadores web, los servicios de redes sociales y los mensajeros, el […]

El malware Monokle está enfocado en el espionaje para objetivos seleccionados, y tiene capacidades de registro y recuperación de historial de apps y navegación.

Esto incluye el registro de teclas, la toma de fotos y videos, la recuperación del historial de aplicaciones, incluídos los navegadores web, los servicios de redes sociales y los mensajeros, el seguimiento de la ubicación del usuario y mucho más.

Además, Monokle tiene la capacidad de instalar certificados de confianza que le permiten obtener acceso de root al dispositivo. Esto permite a los atacantes desplegar capacidades únicas en su búsqueda para robar datos.

Gran parte de esto se logra aprovechando los servicios de accesibilidad y adaptándolos para robar datos de aplicaciones de terceros, así como utilizando los diccionarios de texto predictivo del usuario para obtener información sobre los tipos de temas que les interesan. El malware también puede grabar la pantalla cuando se desbloquea para revelar el código de acceso de la víctima.

Si bien Monokle actualmente solo apunta a dispositivos Android, los investigadores dicen que varias muestras del malware contienen comandos no utilizados y objetos de transferencia de datos que apuntan a la existencia de una versión de iOS, lo que sugiere que el grupo desearía apuntar a los iPhones en el futuro.

Se cree que el malware ha estado activo desde 2016, con pequeñas ráfagas de actividad contra objetivos en la región del Cáucaso, que abarca Armenia, Azerbaiyán y Georgia, así como objetivos en Siria. El número total de usuarios comprometidos actualmente no se conoce.

No se sabe exactamente cómo se distribuye Monokle, pero los investigadores señalan que algunas muestras del malware se crean en torno a versiones troyanas de aplicaciones reales, completas con la misma apariencia y funcionalidad, y que el phishing podría desempeñar un papel en la entrega.

Lookout ha vinculado la infraestructura detrás de Monokle a Special Technology Center (STC), una compañía rusa que trabaja en San Petersburgo.

STC fue una de varias compañías rusas sujetas a sanciones por parte de la administración de Obama en diciembre de 2016 por ser “cómplice de actividades maliciosas cibernéticas” contra Estados Unidos. El contratista de defensa es una de las tres compañías sancionadas por brindar apoyo material a la Dirección Principal de Inteligencia (GRU) en campañas de interferencia electoral.

Los investigadores dicen que STC ha estado desarrollando un conjunto de aplicaciones de seguridad de Android que comparten infraestructura y enlaces con Monokle, que incluye compartir los mismos servidores de comando y control.