Una cepa sofisticada de malware capaz de robar datos de usuario de dispositivos Android infectados se disfraza como la aplicación de actualización del sistema.
Aplicación móvil maliciosa que funciona como Troyano con acceso remoto (RAT), es parte de una sofisticada campaña de software espía que tiene la capacidad de grabar audio desde dispositivos, tomar fotos y acceder a mensajes de WhatsApp, según Investigadores de Zimperium.
Una vez instalado, se registra con su propio servidor de comando y control de Firebase (C&C), normalmente utilizado por legítimos Desarrolladores de Android, así como un segundo servidor C&C independiente, para enviar a través de un caché inicial de información. Esto incluye información sobre si WhatsApp está instalado o no, porcentaje de batería, estadísticas de almacenamiento y otra información. Solo se puede instalar desde una tienda de terceros y no desde la tienda de Google Play.
Luego, el malware recibe comandos para iniciar varias acciones, como grabar audio desde el micrófono o exfiltración de datos. Los investigadores también encontraron que el malware es capaz de inspeccionar datos de navegación web, robar imágenes y videos, monitorear ubicaciones de GPS, robar contactos telefónicos y registros de llamadas y filtrar información del dispositivo.
El dispositivo también solicita permiso para habilitar los servicios de accesibilidad y abusa de ellos para recopilar conversaciones y detalles de mensajes. Whatsapp raspando el contenido de la pantalla después de detectar si el usuario está accediendo al servicio de mensajería.
Se oculta ocultando el icono en el menú principal o en el cajón de la aplicación del dispositivo, al tiempo que se presenta como la aplicación legítima de actualización del sistema para evitar sospechas. Cuando la pantalla del dispositivo está apagada, el software espía crea una notificación de «verificación de actualización» mediante el servicio de mensajería de Firebase que le permite generar notificaciones automáticas.
La funcionalidad de software espía se activa en diversas condiciones, incluso cuando se agrega un nuevo contacto, se recibe un nuevo mensaje de texto o se instala una nueva aplicación. Lo hace explotando los receptores de Android, incluidos «contentObserver» y «Broadcast», que permite la comunicación entre el dispositivo y el servidor.
El servicio de mensajería de Firebase solo se usa para iniciar funciones dañinas, como la grabación de audio o la filtración de datos, mediante el envío de comandos a los dispositivos infectados. Los datos en sí son luego recopilados por el segundo servidor C&C dedicado.
Además, el software espía recopila solo información actualizada, con una frecuencia de actualización de aproximadamente cinco minutos para la ubicación y los datos de red. Lo mismo ocurre con las fotos tomadas con la cámara, pero el valor se establece en 40 minutos.
Hasta ahora, los investigadores no han podido determinar quién está detrás de la campaña o si los piratas informáticos están tratando de apuntar a ciertos usuarios. Debido a que este software espía solo se puede descargar fuera de Google Play Store, se recomienda a los usuarios que no descarguen aplicaciones en sus teléfonos de fuentes de terceros inseguras.
