Nuevo malware de Android se hace pasar por una «actualización del sistema» para robar mensajes, imágenes y tomar el control de los teléfonos Android

Investigadores de seguridad advierten a los usuarios de Android sobre una nueva y sofisticada aplicación maliciosa.

Así lo revela una investigación de zLabs. El nuevo malware se disfraza como una aplicación de actualización del sistema y está robando datos, mensajes, imágenes y tomando el control de los teléfonos Android.

Una vez que tienen el control, los ciberatacantes pueden grabar audio y llamadas telefónicas, tomar fotos, revisar el historial del navegador, acceder a los mensajes de WhatsApp y más.

La aplicación «System Update» fue identificada por los investigadores de zLabs que notaron que el motor de malware z9 detectaba una aplicación de Android que activa la detección en el dispositivo de zIPS. Los expertos compartieron sus hallazgos con Google, que confirmó que la aplicación maliciosa nunca se cargó en Google Play.

¿Qué puede hacer el malware?

La aplicación móvil representa una amenaza para los dispositivos Android al funcionar como un troyano de acceso remoto (RAT) que recibe y ejecuta comandos para recopilar y exfiltrar una amplia gama de datos y realizar una amplia gama de acciones maliciosas, como:

  • Robo de mensajes de mensajería instantánea;
  • Robar archivos de base de datos de mensajería instantánea (si la raíz está disponible);
  • Inspeccionar los marcadores y las búsquedas del navegador predeterminado;
  • Inspeccionar el historial de búsqueda y marcadores de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung;
  • Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx);
  • Inspeccionar los datos del portapapeles;
  • Inspeccionar el contenido de las notificaciones;
  • Grabación de audio;
  • Grabación de llamadas telefónicas;
  • Tome fotografías periódicamente (ya sea a través de la cámara frontal o trasera);
  • Listado de las aplicaciones instaladas;
  • Robar imágenes y videos;
  • Monitoreo de la ubicación GPS;
  • Robar mensajes SMS;
  • Robar contactos telefónicos;
  • Robar registros de llamadas;
  • Extraer información del dispositivo (por ejemplo, aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento); y
  • Ocultar su presencia ocultando el icono del cajón / menú del dispositivo.

¿Cómo funciona el malware?

Una vez descargada la aplicación maliciosa de una tienda de terceros y instalada, el software espía se registra en un servidor de comando y control (C2) de Firebase con información como la presencia de WhatsApp, el porcentaje de batería y las estadísticas de almacenamiento.

El malware extrae datos de los dispositivos infectados en forma de un archivo ZIP cifrado.

Las acciones y la exfiltración del software espía se desencadenan en diferentes circunstancias, incluida la creación de un nuevo contacto, cuando se recibe un nuevo SMS o cuando las víctimas instalan una nueva aplicación.

El malware recibe comandos a través del servicio de mensajería de Firebase para iniciar acciones como grabar audio desde el micrófono. Los datos robados se exfiltran a un C2 dedicado a través de una solicitud POST. A continuación, se muestra la lista de comandos admitidos por el software espía:

El software espía es capaz de realizar una amplia gama de actividades maliciosas para espiar a la víctima mientras se hace pasar por una aplicación de «Actualización del sistema», concluye el informe.