El equipo de amenazas móviles de Zimperium Labs ha alertado de la presencia de un software espía que ha sido bautizado como PhoneSpy dirigido a usuarios de Android en Corea del Sur. La compañía lo ha hallado en 23 apps, que ya habrían infectado a miles de víctimas.
El software espía se camuflaba como varias aplicaciones de estilo de vida dirigidas a usuarios de habla coreana. Los expertos sospechan que se podría haber distribuído mediante la redirección de tráfico web o la ingeniería social, ya que aparentemente no se ha encontrado en las tiendas de Android, ni en la oficial ni en las de terceros.
"A diferencia de otras campañas de software espía que hemos cubierto que aprovechan las vulnerabilidades en el dispositivo, PhoneSpy se esconde a simple vista, disfrazándose como una aplicación regular con propósitos que van desde aprender Yoga hasta ver televisión y videos, o buscar fotos. Pero en realidad, la aplicación está robando datos, mensajes, imágenes y el control remoto de teléfonos Android", señalan desde Zimperium.
Tras su instalación las citadas apps solicitaban permisos y llevaban a una página de phising que imita a la página de inicio de sesión de la popular aplicación coreana Kakao Talk, con el fin de robar las credenciales de esta.
Se da el caso de que esta última herramienta funciona como una suerte de Facebook Connect en el país, ya que con ella se puede iniciar sesión en otros servicios en Corea del Sur con la función de inicio de sesión único.
PhoneSpy funcionaría como un troyano avanzado de acceso remoto que recibe y ejecuta comandos para recopilar una amplia variedad de datos y efectuar un amplio abanico de acciones maliciosas.
Todo lo que PhoneSpy puede hacer
El spyware es capaz de acceder al listado completo de apps instaladas en un teléfono, robar credenciales a través de phising, robar imágens, monitorizar la ubicación GPS, sustraer mensajes SMS, robar contactos telefónicos, hacerse con registros de llamadas, grabar audio en tiempo real, grabar vídeo en tiempo real usando cámaras frontales y traseras, acceder a las cámaras también para tirar fotos, enviar SMS a un número de teléfono controlado por el atacante, extraer información sobre el dispositivo (como el IMEI) y ocultar su presencia escondiendo el icono de menú.
"Creemos que los actores maliciosos responsables de PhoneSpy han recopilado cantidades significativas de información personal y corporativa de sus víctimas, incluidas comunicaciones privadas y fotos", advierten desde la firma de seguridad.
Se desconoce si las víctimas tienen una conexión entre sí, pero desde Zimperium Labs alertan de que es relativamente fácil que esto se haya producido, ya que el software espía puede descargar las listas de contactos y enviar mensajes SMS en nombre de cada víctima.