Malware Android disfrazado de actualización del sistema

 

Investigadores de Zimperium zLabs han descubierto una nueva aplicación maliciosa con múltiples funcionalidades que se hace pasar por una actualización del sistema.

Este nuevo troyano enfocado al robo de información cuenta con múltiples funcionalidades, desde la recopilación de búsquedas en el navegador hasta la grabación de audio y llamadas telefónicas. A continuación dejamos una lista con las características.

Funcionalidades

Robo de mensajes de aplicaciones de mensajería.
Robo de archivos de base de datos de las aplicaciones de mensajería instantánea.
Inspeccionar los marcadores y las búsquedas del navegador predeterminado.
Inspeccionar el historial de marcadores y búsquedas de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung.
Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx).
Inspeccionar los datos del portapapeles.
Inspeccionar el contenido de las notificaciones.
Grabación de audio.
Grabación de llamadas telefónicas.
Tomar fotografías periódicamente (ya sea a través de la cámara frontal o trasera).
Listar las aplicaciones instaladas.
Robar imágenes y vídeos.
Monitoreo de la ubicación GPS.
Robo de mensajes SMS.
Robo de contactos telefónicos.
Robo del registro de llamadas.
Extracción de información del dispositivo (por ejemplo, aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento).
Ocultar su presencia ocultando el icono.

Si bien el malware en Android anteriormente se ha disfrazado de aplicaciones legítimas esta nueva aplicación maliciosa se hace pasar por una actualización del sistema para tomar el control de los dispositivos comprometidos.

«El software espía crea una notificación si la pantalla del dispositivo está apagada usando el servicio de mensajería Firebase», dijeron los investigadores de Zimperium. Esta notificación nos notifica una búsqueda de actualizaciones falsa.

Una vez instalada, la aplicación espía comienza su tarea registrando el dispositivo en un servidor de comando y control (C2) de Firebase con información como el porcentaje de batería, estadísticas de almacenamiento y si el teléfono tiene WhatsApp instalado, seguido de la acumulación y exportación de cualquier dato de interés para el servidor en forma de archivo ZIP cifrado.

«La funcionalidad del software espía y la exfiltración de datos se activan bajo múltiples condiciones, como un nuevo contacto agregado, un nuevo SMS recibido o una nueva aplicación instalada haciendo uso de los receptores contentObserver y Broadcast de Android«, dijeron los investigadores.

Además, el malware no solo organiza los datos recopilados en varias carpetas dentro de su almacenamiento privado, sino que también elimina cualquier rastro de actividad sospechosa al eliminar los archivos ZIP tan pronto como recibe un mensaje de «éxito» del servidor C2 después del envío de los datos robados.

Aunque la aplicación «System Update» nunca se ha distribuido a través de la tienda oficial de Google Play, la investigación destaca una vez más cómo las tiendas de aplicaciones de terceros pueden albergar malware peligroso. La identidad de los autores de este malware y el objetivo o motivo final de la campaña aún no están claros.

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies