Los lectores de habla urdu de un sitio web de noticias regional que atiende a la región de Gilgit-Baltistan probablemente se hayan convertido en el objetivo de un ataque de abrevadero diseñado para entregar un software espía de Android previamente indocumentado denominado Kamran.
La campaña, ESET ha descubiertoaprovecha Hunza News (urdu.hunzanews[.]net), que, cuando se abre en un dispositivo móvil, solicita a los visitantes de la versión urdu que instalen su aplicación de Android alojada directamente en el sitio web.
La aplicación, sin embargo, incorpora capacidades de espionaje malicioso y el ataque ha comprometido al menos 20 dispositivos móviles hasta la fecha. Ha estado disponible en el sitio web desde el 7 de enero y el 21 de marzo de 2023, aproximadamente cuando protestas masivas se llevaron a cabo en la región por derechos sobre la tierra, impuestos y grandes cortes de energía.
El malware, que se activa tras la instalación del paquete, solicita permisos intrusivos, lo que le permite recopilar información confidencial de los dispositivos.
Esto incluye contactos, registros de llamadas, eventos del calendario, información de ubicación, archivos, mensajes SMS, fotos, lista de aplicaciones instaladas y metadatos del dispositivo. Posteriormente, los datos recopilados se cargan en un servidor de comando y control (C2) alojado en Firebase.
Kamran carece de capacidades de control remoto y también es simplista por diseño, ya que lleva a cabo sus actividades de exfiltración solo cuando la víctima abre la aplicación y carece de disposiciones para realizar un seguimiento de los datos que ya se han transmitido.
Esto significa que envía repetidamente la misma información, junto con cualquier dato nuevo que cumpla con sus criterios de búsqueda, al servidor C2. Kamran aún no se ha atribuido a ningún actor o grupo de amenazas conocido.
«Como esta aplicación maliciosa nunca se ha ofrecido a través de la tienda Google Play y se descarga de una fuente no identificada a la que Google hace referencia como desconocida, para instalar esta aplicación, se solicita al usuario que habilite la opción de instalar aplicaciones de fuentes desconocidas», seguridad afirmó el investigador Lukáš Štefanko.