Se detect\u00f3 una aplicaci\u00f3n de software esp\u00eda de Android que se hace pasar por un servicio de “Administrador de procesos” para desviar sigilosamente informaci\u00f3n confidencial almacenada en los dispositivos infectados.<\/p>\n
Curiosamente, la aplicaci\u00f3n, que tiene el nombre del paquete “com.remote.app<\/a>“: establece contacto con un servidor remoto de comando y control, 82.146.35[.]240, que se identific\u00f3 previamente como infraestructura perteneciente al grupo de pirater\u00eda con sede en Rusia conocido como Turla.<\/p>\n \u201cCuando se ejecuta la aplicaci\u00f3n, aparece una advertencia sobre los permisos otorgados a la aplicaci\u00f3n\u201d, investigadores de Lab52 dijo<\/a>. “Estos incluyen intentos de desbloqueo de pantalla, bloqueo de pantalla, configuraci\u00f3n del proxy global del dispositivo, configuraci\u00f3n de vencimiento de contrase\u00f1a de bloqueo de pantalla, configuraci\u00f3n de cifrado de almacenamiento y desactivaci\u00f3n de c\u00e1maras”.<\/p>\n Una vez que la aplicaci\u00f3n est\u00e1 “activada”, el malware elimina su icono con forma de engranaje de la pantalla de inicio y se ejecuta en segundo plano, abusando de sus amplios permisos para acceder a los contactos y registros de llamadas del dispositivo, rastrear su ubicaci\u00f3n, enviar y leer mensajes, acceder a almacenamiento, tomar fotograf\u00edas y grabar audio.<\/p>\n La informaci\u00f3n recopilada es capturada en formato JSON y posteriormente transmitida al mencionado servidor remoto. A pesar de la superposici\u00f3n en el servidor C2 utilizado, Lab52 dijo que no tiene pruebas suficientes para atribuir el malware al grupo Turla.<\/p>\n Tambi\u00e9n se desconoce en esta etapa el vector de acceso inicial exacto empleado para distribuir el spyware y los objetivos previstos de la campa\u00f1a.<\/p>\n Dicho esto, la aplicaci\u00f3n no autorizada de Android tambi\u00e9n intenta descargar una aplicaci\u00f3n leg\u00edtima llamada Roz Dhan<\/a> (que significa “riqueza diaria” en hindi) que tiene m\u00e1s de 10 millones de instalaciones y permite a los usuarios obtener recompensas en efectivo por completar encuestas y cuestionarios.<\/p>\n “La aplicaci\u00f3n, [which] est\u00e1 en Google Play y se usa para ganar dinero, tiene un sistema de referencia que es abusado por el malware\u201d, dijeron los investigadores. \u201cEl atacante lo instala en el dispositivo y obtiene ganancias\u201d.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/images\/-b2ieWo0PeVw\/YVHQq_NfHwI\/AAAAAAAA4Z8\/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ\/s728-e100\/rewind-2-728.png\")
<\/a><\/div>\n![\"Software](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgutyl1AC5zmnhPsoOq0j2U8G5jPuG6WmdIuPZThzQX0MPiKNA-qT2J3K8TqpedAN0ik2Oz5H43Ttj2q1XI2Y7NiVe8zQSKd9_rNqBpt3IgpaJZQyTm_jkixSNeyG3C50gFHWyFPCMYEW80lPuF80ZNRn4IKlkhVLNGz-bcz3Ec5qNZYRuC9oqauHbK\/s728-e1000\/android.jpg\" "\\"Software")
<\/div>\n<\/a><\/div>\n