Investigadores de seguridad advierten a los usuarios de Android sobre una nueva y sofisticada aplicación maliciosa. Así lo revela una investigación de zLabs. El nuevo malware se disfraza como una aplicación de actualización del sistema y está robando datos, mensajes, imágenes y tomando el control de los teléfonos Android. Una vez que tienen el control, los ciberatacantes […]
Investigadores de seguridad advierten a los usuarios de Android sobre una nueva y sofisticada aplicación maliciosa.
Así lo revela una investigación de zLabs. El nuevo malware se disfraza como una aplicación de actualización del sistema y está robando datos, mensajes, imágenes y tomando el control de los teléfonos Android.
Una vez que tienen el control, los ciberatacantes pueden grabar audio y llamadas telefónicas, tomar fotos, revisar el historial del navegador, acceder a los mensajes de WhatsApp y más.
La aplicación “System Update” fue identificada por los investigadores de zLabs que notaron que el motor de malware z9 detectaba una aplicación de Android que activa la detección en el dispositivo de zIPS. Los expertos compartieron sus hallazgos con Google, que confirmó que la aplicación maliciosa nunca se cargó en Google Play.
La aplicación móvil representa una amenaza para los dispositivos Android al funcionar como un troyano de acceso remoto (RAT) que recibe y ejecuta comandos para recopilar y exfiltrar una amplia gama de datos y realizar una amplia gama de acciones maliciosas, como:
Una vez descargada la aplicación maliciosa de una tienda de terceros y instalada, el software espía se registra en un servidor de comando y control (C2) de Firebase con información como la presencia de WhatsApp, el porcentaje de batería y las estadísticas de almacenamiento.
El malware extrae datos de los dispositivos infectados en forma de un archivo ZIP cifrado.
Las acciones y la exfiltración del software espía se desencadenan en diferentes circunstancias, incluida la creación de un nuevo contacto, cuando se recibe un nuevo SMS o cuando las víctimas instalan una nueva aplicación.
El malware recibe comandos a través del servicio de mensajería de Firebase para iniciar acciones como grabar audio desde el micrófono. Los datos robados se exfiltran a un C2 dedicado a través de una solicitud POST. A continuación, se muestra la lista de comandos admitidos por el software espía:
El software espía es capaz de realizar una amplia gama de actividades maliciosas para espiar a la víctima mientras se hace pasar por una aplicación de “Actualización del sistema”, concluye el informe.
Una falla de diseño descubierta en la arquitectura de la división de redes 5G puede permitir que actores malintencionados accedan a datos potencialmente confidenciales y lancen ataques de denegación de servicio (DoS), afirma la empresa de seguridad de redes móviles AdaptiveMobile Security.