Descubierta Nueva Variante Del Spyware Para Android De APT‑C‑23

La nueva versión del spyware incluye nuevas funciones como lectura de notificaciones de aplicaciones de mensajería, grabación de llamadas y de pantalla, y nuevas medidas para permanecer oculto.

Durante el estudio del grupo de espionaje APT-C-23, investigadores de Welivesecurity de ESET han descubierto una nueva variante del spyware para Android utilizado por este grupo, el cual añade nuevas funcionalidades (y permisos requeridos) para espiar al usuario y ocultar las actividades del malware en el móvil.

Entre las nuevas funcionalidades de esta nueva versión podemos destacar:

  • Leer notificaciones de aplicaciones de mensajería y redes sociales como WhatsApp, Telegram, Skype, Viber, Imo, Facebook o Instagram.
  • Grabación de pantalla y realizar capturas de la misma.
  • Grabación de llamadas entrantes y salientes de aplicaciones como WhatsApp.
  • Realizar llamadas telefónicas mientras se superpone una pantalla por encima para ocultar que se está llamando.
  • Descartar notificaciones de aplicaciones de seguridad de SecurityLogAgent, MIUI o Huawei Phone Manager.

Para no levantar sospechas por el alto número de permisos solicitados en la instalación, el malware se oculta bajo el nombre de aplicaciones de mensajería conocidas, como weMessage o Telegram. En algunos casos como el de weMessage, el malware no tenía ninguna funcionalidad real, guiando al usuario en la instalación de la aplicación fidedigna mientras el malware se oculta en el dispositivo.

Las actividades del grupo APT-C-23 fueron documentadas por primera vez en marzo de 2017 por la empresa Qihoo 360, descubriéndose nuevas variantes del spyware utilizado en el mismo año, además de en 2018 y ahora en 2020. En lo que llevamos de año esta es la tercera variante tras las descubiertas en abril y en junio por el grupo MalwareHunterTeam.

Estas nuevas variantes demuestran que el grupo de espionaje, el cual centra sus ataques a Oriente Mediosigue todavía en activo. Los ataques anteriores, com.puretalk y com.telegram.safe, pueden encontrarse en la comunidad de Koodous para su análisis y descarga.

Fuente: welivesecurity

Comments are closed.