El nuevo malware para Android que se esconde en Telegram

Guardar

telegram-videollamadas
telegram-videollamadas

La compañía de ciberseguridad ESET ha alertado de que ha descubierto una nueva versión de spyware en Android utilizada por el grupo de delincuentes APT-C-23. "El nuevo malware, detectado está diseñado sobre otras versiones de spyware con funcionalidades extendidas de espionaje, nuevas funcionalidades de ocultación y una comunicación actualizada con el servidor de mando y control. Una de las maneras en las que el grupo APT-C23, activo desde 2017 y conocido por sus ataques a organizaciones en Oriente Medio, distribuye este spyware es a través de aplicaciones falsas de mensajería como Threema o Telegram desde una tienda falsa de aplicaciones para Android", ha explicado la compañía de ciberseguridad a través de un comunicado.

Se disfrazaba de apps como Telegram

Según declara la compañía, sus investigadores empezaron a analizar este malware a raíz de un tweet publicado por un investigador el pasado mes de abril, en el que apuntaba a una muestra de malware para Android desconocida y poco detectada. "Colaboramos en un análisis que demostró que este malware era parte de una versión nueva y mejorada del spyware móvil que utiliza el grupo APT-C-23", señala Lukas Stefanko, el investigador de ESET que ha analizado Android/SpyC23.A.

El spyware se escondía en unatienda falsa de aplicaciones para Android como una aplicación aparentementelegítima. "Cuando analizamos latienda falsa, encontramos aplicaciones legítimas y otras maliciosas. El malwarese ocultaba en aplicaciones que se hacían pasar por Telegram, Threema yAndroidUpdate. En algunos casos, las víctimas acababan instalando tanto elmalware como la aplicación falsa", prosigue Stefanko.

Puede llevar a cabo una serie de actividades de espionaje

Una vez instalado, el malwarerequería una serie de permisos sensibles como si fueran funciones de privacidady seguridad. "Los atacantes utilizantécnicas similares a las que se usan en ingeniería social para engañar a lasvíctimas intentando que estas otorguen privilegios sensibles, como permisospara leer las notificaciones camuflados como una funcionalidad de cifrado demensajes", detalla  Stefanko.  

ESET también explica que, una vez que se inicia el malware, este puede llevar a cabo una serie de actividades de espionaje basadas en los comandos recibidos desde su servidor de mando y control, como grabar audios, extraer registros de llamadas, mensajes SMS o contactos, robar archivos o incluso leer notificaciones de las aplicaciones de mensajería, grabar llamadas o la pantalla y eliminar notificaciones de las aplicaciones de seguridad incluidas en Android.

Asimismo, la compañía de ciberseguridad subraya que la comunicación del malware también se ha mejorado, dificultando la identificación por parte de los expertos en seguridad.

Respecto al grupo APT-C-23, ESETindica que es conocido por haber utilizado componentes de Android y de Windowsen sus operaciones y que fue descubierto por primera vez en 2017. Asimismo, advierte que desde entonces se han publicado numerososanálisis de su malware móvil y que Android/SpyC23.A es solamente la últimaversión de su spyware e incorpora diferentes mejoras que lo hacen aún máspeligroso que las operaciones anteriores.

"Para mantenerse protegido del spyware, ESET recomienda a los usuarios de Android instalar solamente aplicaciones desde la tienda oficial Google Play Store, comprobar los permisos que se solicitan y contar con una solución de seguridad especialmente diseñada para dispositivos móviles y que sea de confianza", concluye Lukas Stefanko.