Se detectó una aplicación de software espía de Android que se hace pasar por un servicio de “Administrador de procesos” para desviar sigilosamente información confidencial almacenada en los dispositivos infectados.
Curiosamente, la aplicación, que tiene el nombre del paquete “com.remote.app“: establece contacto con un servidor remoto de comando y control, 82.146.35[.]240, que se identificó previamente como infraestructura perteneciente al grupo de piratería con sede en Rusia conocido como Turla.
“Cuando se ejecuta la aplicación, aparece una advertencia sobre los permisos otorgados a la aplicación”, investigadores de Lab52 dijo. “Estos incluyen intentos de desbloqueo de pantalla, bloqueo de pantalla, configuración del proxy global del dispositivo, configuración de vencimiento de contraseña de bloqueo de pantalla, configuración de cifrado de almacenamiento y desactivación de cámaras”.
Una vez que la aplicación está “activada”, el malware elimina su icono con forma de engranaje de la pantalla de inicio y se ejecuta en segundo plano, abusando de sus amplios permisos para acceder a los contactos y registros de llamadas del dispositivo, rastrear su ubicación, enviar y leer mensajes, acceder a almacenamiento, tomar fotografías y grabar audio.
La información recopilada es capturada en formato JSON y posteriormente transmitida al mencionado servidor remoto. A pesar de la superposición en el servidor C2 utilizado, Lab52 dijo que no tiene pruebas suficientes para atribuir el malware al grupo Turla.
También se desconoce en esta etapa el vector de acceso inicial exacto empleado para distribuir el spyware y los objetivos previstos de la campaña.
Dicho esto, la aplicación no autorizada de Android también intenta descargar una aplicación legítima llamada Roz Dhan (que significa “riqueza diaria” en hindi) que tiene más de 10 millones de instalaciones y permite a los usuarios obtener recompensas en efectivo por completar encuestas y cuestionarios.
“La aplicación, [which] está en Google Play y se usa para ganar dinero, tiene un sistema de referencia que es abusado por el malware”, dijeron los investigadores. “El atacante lo instala en el dispositivo y obtiene ganancias”.
About the Author
