Los dispositivos Android vuelven a ser objetivo de los ciberdelincuentes una vez más. Los piratas informáticos se están sirviendo de una app de Android falsa denominada 'SafeChat' que infecta con software espía los dispositivos de las víctimas para obtener información sensible de los teléfonos.
SafeChat cuenta con una interfaz engañosa que la hace parecer una app de chat real. Para ofrecer mayor credibilidad, lleva a la víctima un proceso de registro aparentemente legítimo que agrega credibilidad y sirve como una gran tapadera para el software espía.
Como algo clave para la infección, SafeChat adquiere permisos para usar los Servicios de Accesibilidad, los cuales se usan a posterori para otorgar de forma automática más permisos al spyware.
Con estos últimos el software malicioso puede acceder a la lista de contactos de la víctima, los SMS, el registro de llamadas, el almacenamiento en dispositivos externos e incluso datos de ubicación GPS precisos de los terminales.
Según se hace eco Bleeping Computer, la app también solicita al usuario que apruebe la exclusión del subsistema de optimización de la batería de Android, que concluye los procesos en segundo plano cuando el usuario no está interactuando de manera activa con la aplicación.
Los investigadores sospechan que esta amenaza podría ser una variante de Coverlm, un malware que roba datos de apps de comunicaciones como WhatsApp, Telegram, Signal, Viber y Facebok Messenger.
Quién está detrás
Se cree que el grupo de amenazas persistentes avanzadas (APT) de origen indio Bahamut se encuentra detrás de esta campaña. Así al menos lo apuntan los investigadores de CYFIRMA.
Esta pandilla ha realizado últimamente ataques mediante mensajes de phising en WhatsApp que envían las cargas maliciosas directamente a las víctimas. A finales del año pasado Bahamut utilizó apps VPN falsas para la plataforma Android que incluían amplias funciones de espionaje.
Además, desde CYFIRMA encuentran varias similitudes con otro grupo APT patrocinado por el estado indio. Se trata de 'DoNot APT' (APT-C-35), que anteriormente habían llenado Google Play con apps de chat falsas que también actuaban como spyware.